IAM im Kontext der VAIT: Die 12 häufigsten Gaps der Versicherer

Publish date:

Die BaFin fordert mit den „Versicherungsaufsichtlichen Anforderungen an die IT“ (VAIT) seit Juli 2018 ein engmaschigeres IT-Risikomanagement von Versicherungen. Diese zwölf häufigsten Gaps sollten sie dabei vermeiden.

Wie Versicherungshäuser ihr Benutzerberechtigungs-Management BaFin-sicher umsetzen

Florian Hübner, Capgemini Invent

Mit den „Versicherungsaufsichtlichen Anforderungen an die IT“ (VAIT) fordert die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) seit Juli 2018 ein engmaschigeres IT-Risikomanagement von Versicherungsunternehmen. Eines der entscheidenden Mittel dazu ist die zentrale Verwaltung der Identitäten und Zugriffsrechte aller Mitarbeiter.

Bei zahlreichen Versicherungsunternehmen konnten wir die Ist-Situation des Benutzerberechtigungs-Managements kennenlernen – und mit ihr die zwölf häufigsten sicherheitskritischen Berechtigungsfehler, die bei einer VAIT-Prüfung der BaFin zu Nachspielen führen könnten: von weiterführenden Prüfungen und präventiven Maßnahmen bis hin zu erheblichen Bußgeldern. Diese sicherheitskritischen Lücken (Gaps) sind über alle fünf Umsetzungsebenen des Benutzerberechtigungs-Managements verteilt und betreffen zentrale Anforderungen der VAIT.

Abbildung 1: Schwerpunkte der BaFin bei der VAIT-Prüfung, Capgemini Invent

Ebene 1: Vergabegrundsätze & -verfahren / VAIT-Teilziffern (Tz.) 33, 34, 37, 39

Gap 1: Die versicherungsaufsichtlichen Anforderungen an die IT verlangen ein formales Verfahren, das die Einrichtung, Änderung, Deaktivierung und Löschung von Benutzern und Berechtigungen nachvollziehbar, auswertbar und manipulationssicher dokumentiert. In der Praxis existiert ein solches Verfahren oft nicht – oder es bestehen mehrere, oftmals informale Verfahren nebeneinander.

Gap 2: Die Vergabe und Änderung von Berechtigungen ist gemäß der VAIT nur im Mehraugenprinzip und mit der Zustimmung der fachlich verantwortlichen Stelle vorzunehmen. Tatsächlich erfolgt die Berechtigungsvergabe teilweise ohne Einbindung der autorisierten Stelle, da das Vorgehen im Unternehmen nicht eindeutig geregelt ist.

Gap 3: Es gibt zwei wesentliche Grundsätze bei der Zugangs- und Zugriffsvergabe: Das Prinzip der minimalen Berechtigungsvergabe und das der Funktionstrennung (Segregation of Duties). Die BaFin fordert, dass sie nachweisbar eingehalten werden. Häufig existieren keine systematischen Verfahren zur Einhaltung beider Prinzipien und so ist sie für den Prüfer der BaFin nicht nachvollziehbar.

Abbildung 2: Aufbau eines zentralen Rollen- und Rechtemanagements, Capgemini Invent

Ebene 2: Berechtigungskonzepte / VAIT-Teilziffer (Tz.) 34

Gap 4: Verfahren und Regelungen zur Einrichtung, Änderung, Deaktivierung und Löschung sowie Rezertifizierung von Benutzern und Berechtigungen sind laut  VAIT vollständig und nachvollziehbar zu dokumentieren. Die Berechtigungskonzepte vieler Versicherer enthalten aber nicht alle für die Berechtigungssteuerung relevanten Informationen und unterscheiden sich sehr stark voneinander, je nach Motivation und Wissen des Erstellers

Gap 5: Für alle Anwendungen ist – abhängig von der Datenkritikalität – der jeweilige Schutzbedarf zu ermitteln (Tz.21). An diesem haben sich auch die Benutzer- und Berechtigungskonzepte zu orientieren. Insbesondere die Umsetzung der Funktionstrennung und minimale Berechtigungsvergabe sind dabei zu berücksichtigen. In der Realität hat der Schutzbedarf der Anwendung oft keine Auswirkung auf den Umfang und die Nutzungsbedingungen der Berechtigungen. Zum Teil ist er auch nicht eindeutig bestimmt worden.

Ebene 3: Technische User, Funktionalaccounts und privilegierte Benutzerkonten / VAIT-Teilziffern (Tz.) 35, 36, 40

Gap 6: Auch nichtpersonalisierte Berechtigungen und technische User sollen jederzeit zweifelsfrei der jeweils handelnden natürlichen Person zugeordnet werden können. Abweichungen sind in begründeten Ausnahmefällen gestattet, die hieraus resultierenden Risiken aber genehmigungs- und dokumentationspflichtig. In der Praxis ist eine Zuordnung der technischen User zu natürlichen Personen nur mit erhöhtem manuellem Aufwand und nicht vollständig möglich, da vorhandene dezentrale technische User durch das zentrale User-Management oftmals nicht erfasst werden. Darüber hinaus werden Systembenutzer keiner natürlichen Person oder Gruppe von autorisierten Mitarbeitern zugeordnet und Administrator-Benutzerkonten werden generisch eingesetzt.

Gap 7: Die Nutzung von Funktionalaccounts und Benutzerkonten mit weitreichenden Berechtigungen ist gemäß der VAIT nur einem kleinen Mitarbeiterkreis zu gestatten, sodass möglichst nachvollziehbar bleibt, wer sie für welche Aktivitäten verwendet hat. Tatsächlich ist es für viele Versicherer häufig nicht möglich, Einzelpersonen die Aktivitäten in Funktionalaccounts nachträglich eindeutig zuzuschreiben, da Systembenutzer – wie oben beschrieben – keiner natürlichen Person zugeordnet sind.

Ebene 4: Rezertifizierung / VAIT-Teilziffern (Tz.) 37, 38, 39

Gap 8: Im Rahmen der Rezertifizierung sind die zuständigen Kontrollinstanzen einzubinden sowie die Daten zentral, nachvollziehbar und auswertbar zu verwalten. In der Praxis erscheint der Aufwand dafür vielen Versicherern unverhältnismäßig hoch, sodass sie dem nicht bei jedem Nutzer für alle genutzten Anwendungen und Berechtigungen vollständig und zentral nachkommen.

Gap 9: Benutzer und deren Berechtigungen sind regelmäßig daraufhin zu prüfen, ob die Benutzer noch aktiv sind und die vergebenen Berechtigungen zum Mitarbeiterprofil passen (Prinzipien der minimalen Berechtigungsvergabe und systematischen Funktionstrennung). So ist die Rezertifizierung vieler Versicherer oftmals nicht systemgestützt und die Zusammensetzung der Berechtigungen wird höchstens stichprobenartig kontrolliert.

Gap 10: Je nach Art der Berechtigungen fordert die BaFin eine Rezertifizierung in folgenden Abständen:

  • besonders kritische Berechtigungen, wie sie beispielsweise bei Administratoren und privilegierten Benutzerkonten vorkommen, sind mindestens halbjährlich zu überprüfen
  • wesentliche Berechtigungen – etwa für die rechnungslegungsrelevanten Systeme – sind mindestens jährlich zu überprüfen
  • alle anderen Berechtigungen sind mindestens alle drei Jahre zu überprüfen

Zahlreiche Versicherungshäuser überprüfen kritische und wesentliche Berechtigungen nicht innerhalb der vorgesehenen Fristen.

Ebene 5: Protokollierung und begleitende technisch-organisatorische Maßnahmen / VAIT-Teilziffern (Tz.) 40, 41 

Gap 11: Bei Anwendungen mit hohem Schutzbedarf und für privilegierte Benutzerkonten wie Administratoren- oder Notfallzugänge sind Verfahren zur Protokollierung der Berechtigungen gefordert. Sie sollen überprüfbar machen, dass die Berechtigungen nur für den festgelegten Zweck eingesetzt werden. Die Verantwortung für die Aufzeichnung und Auswertung ist einer Stelle zuzuordnen, die unabhängig vom berechtigten Benutzer oder dessen Organisationseinheit ist.

Bei vielen Versicherern existieren bisher keine Regelungen für die Protokollierung und Überwachung von Berechtigungen. Benutzer mit weitreichenden Berechtigungen, sogenannte Super-User, werden daher nicht ausreichend kontrolliert.

Gap 12: Die Regelungen und Verfahren der Berechtigungskonzepte sind durch angemessene Authentifizierungs- und Autorisierungsverfahren umzusetzen. Dazu gehören auch die Implementierung einer Richtlinie zur Wahl sicherer Passwörter und die Verschlüsselung von Daten. Darüber hinaus ist die Anwendung der Verfahren manipulationssicher zu protokollieren und durch Sensibilisierung der Mitarbeiter sicherzustellen, dass sie die Regelungen einhalten.

Bei vielen Versicherern sind in der Informationssicherheitsrichtlinie für die ordnungsgemäße Umsetzung eines angemessenes Authentifizierungsverfahren technisch-organisatorische Maßnahmen (TOMs) festgelegt, die nicht bzw. nur teilweise die gesetzlichen Anforderungen abdecken.

Effiziente Vorbereitung auf die BaFin-Prüfung

Bei der Umsetzung der VAIT im Benutzerberechtigungs-Management ist es wichtig, systematisch und effizient vorzugehen und darauf zu achten, sie konsistent, vollständig und durchgängig abzubilden. Es empfiehlt sich, im ersten Schritt die Ist-Situation zu analysieren und die bestehenden Gaps zu identifizieren. Im Anschluss können diese nach dem jeweiligen Risiko priorisiert und gezielt geschlossen werden. Dieses Vorgehen ebnet den Weg für eine positive BaFin-Prüfung. Darüber hinaus spart es Zeit und Kosten im Projekt- und Linienbetrieb und erhöht die Qualität der Projekt- und Arbeitsergebnisse.

Steht eine BaFin-Prüfung kurz bevor, hilft es, die wichtigsten Punkte abzuklopfen. Erfahrungsgemäß legt die BaFin bei der VAIT-Prüfung, insbesondere bei der ersten, die Schwerpunkte auf folgende Aspekte:

1. Governance im Benutzerberechtigungs-Management: Sind die organisatorischen und fachlichen Prozesse, Aufgaben, Kompetenzen, Verantwortlichkeiten, Kontrollen und Kommunikationswege unternehmensweit einheitlich geregelt?

Abbildung 3: Funktionsbereiche und Kompetenzen einer IAM Governance-Funktion, Capgemini Invent

 

2. Benutzer- und Berechtigungsverwaltung: Gibt es ein zentrales Verfahren der Identitäten und Berechtigungen mit angemessenen Genehmigungs- und Kontrollschritten? Berücksichtigt es die Prinzipien der minimalen Berechtigungsvergabe und Funktionstrennung?

3. Berechtigungskonzepte: Existieren spezifische Benutzerberechtigungskonzepte für alle eingesetzten Anwendungen? Sind sie vollständig, ist ihre Umsetzung nachvollziehbar und werden sie aktuell gehalten?

4. Rezertifizierung & Monitoring: Finden regelmäßig Rezertifizierungen auf Ebene der Einzelberechtigungen individueller Benutzer statt?

5. (Systemische) Dokumentation: Werden die Zuweisung, Änderung und Löschung von Rollen und Nutzerrechten nachvollziehbar dokumentiert

Abbildung 4: Vorteile eines wirksamen Benutzer- und Berechtigungs-Management, Capgemini Invent

Benutzerberechtigungs-Management – Kostentreiber oder Chance?

Häufig werden die Anforderungen an das Benutzerberechtigungs-Management in erster Linie als Kostentreiber wahrgenommen. Doch wer sie umsetzt, hält sich nicht nur an Compliance- und Sicherheitsvorgaben, sondern etabliert kostensparende automatisierte Prozesse. Ein zentrales Benutzerberechtigungs-Management hebt Effizienzen, indem es die Geschäftsfunktion wirksam unterstützt, Aufwände minimiert und die Eintrittswahrscheinlichkeiten von Risiken senkt. Darüber hinaus liefert es ohne zusätzlichen Aufwand Nachweise darüber, dass die gesetzlichen Pflichten eingehalten werden.

Welche Erfahrungen haben Sie bei der Umsetzung der VAIT gemacht? Wie gut sind Sie vorbereitet auf die Prüfer der BaFin? Ich freue mich auf den Austausch mit Ihnen. 

Weitere Posts

Adaptive Organization

Minimum Viable Organization (MVO)

Markus Cramer
Date icon September 18, 2019

Die MVO revolutioniert die traditionelle Organisationsgestaltung, indem sie Kernbestandteile...

Capgemini Invent

Cloud Security – Sind die Bedenken gerechtfertigt?

Tae Ho Shin
Date icon September 16, 2019

Den enormen Vorteilen der Cloud stehen oftmals Bedenken bezüglich der Cloud Security...

Capgemini Invent

Security first oder Hauptsache innovativ?

Sebastian Heierhoff
Date icon September 12, 2019

Eine Studie von Capgemini Invent und Studenten der Georg-August-Universität Göttingen zeigt:...

cookies.

Mit dem Fortsetzen des Besuchs dieser Website akzeptieren Sie die Verwendung von Cookies.

Für mehr Informationen und zur Änderungen der Cookie-Einstellungen auf Ihrem Computer, lesen Sie bitte Privacy Policy.

Schließen

Cookie Information schließen