Berechtigungsmanagement im Visier der Finanzaufsicht

Experte für Berechtigungsmanagement: Jens Kock — Jens Kock, Director im Bereich Risk Advisory bei Deloitte. Chartered Accountant, CISA Deloitte

Die BaFin hat mit den Versicherungsaufsichtlichen Anforderungen an die IT (VAIT) im Juli 2018 ein Regelwerk veröffentlicht, das die technische und organisatorische Ausstattung von Versicherungen ins Visier nimmt und umfangreiche Anforderungen an die Organisation und Prozesse der IT formuliert. Seit 2019 sind diese Vorgaben zunehmend Gegenstand von BaFin-Prüfungen. Ein zentrales Berechtigungsmanagement, das einheitliche Verfahren und Standards der Berechtigungsvergabe auf Unternehmensebene durchsetzt und durch geeignete Werkzeuge unterstützt, verspricht weit mehr als reine Pflichterfüllung gegenüber der Aufsicht.

von Simon Sulzbach und Jens Kock, Deloitte

Die angemessene Vergabe und Kontrolle von Zugriffsrechten kristallisiert sich in aufsichtlichen Prüfungen als Themenschwerpunkt heraus, der in der jüngsten Vergangenheit nicht selten zur Benennung schwergewichtiger Mängel geführt hat. Beanstandet werden unter anderem fehlende, unternehmensweit umgesetzte Berechtigungsstandards und die daraus folgenden Konsequenzen: Überberechtigungen von Mitarbeitern im Verhältnis zum individuellen Aufgabenbereich, Möglichkeiten zum Missbrauch von Administratorenrechten oder zur Umgehung von Freigabeprozessen sowie die Aufhebung des Vier-Augen-Prinzips.

In einer Deloitte-Studie aus 2019 gaben lediglich rund die Hälfte der befragten Versicherer an, die Berechtigungsvergabe zentral steuern zu können. Nur ein Viertel der Befragten hatte zu diesem Zeitpunkt eine regelmäßige Rezertifizierung von Benutzerrechten umgesetzt.

Experte für Berechtigungsmanagement: Simon Sulzbach — Simon Sulzbach, Direktor im Bereich Insurance Consulting bei Deloitte Deloitte

Baustelle Berechtigungsmanagement: Versicherern droht ungeplanter Aufwand

Die Ursachen für schwergewichtige Mängel liegen häufig in den historisch gewachsenen Anwendungslandschaften der Versicherer. Vor allem für Altsysteme gibt es oft keine Berechtigungskonzepte. Individuelle Zugriffsrechte, die per E-Mail beantragt und in Anlehnung an bereits vergebene Rechte anderer Mitarbeiter eingeräumt werden, sind in den meisten Versicherungsunternehmen gelebte Praxis. Zudem werden Zugriffsrechte für jede Fachanwendung einzeln vergeben, ohne dass sich diese an konsistenten fachlichen Benutzerprofilen orientieren. Durch die fehlende Anbindung an ein zentrales und übergeordnetes Berechtigungssystem sind Benutzerprofile und Authentifizierungsverfahren nicht homogen. Im schlimmsten Fall führt das zu widersprüchlichen Berechtigungen, die nicht im Einklang mit der Rolle des einzelnen Mitarbeiters in der Organisation stehen.

Auch die fehlende Durchgängigkeit in der Umsetzung der Funktionstrennung und des Vier-Augen-Prinzips wird häufig moniert. Zudem liegt bei den Prüfungen ein besonderer Fokus auf privilegierten Zugriffsrechten wie etwa bei Systemadministratoren oder sogenannten „Power Usern“.

VAIT-Prüfungen: Realistische Umsetzungsplanung statt taktische Lösungen

Bevor die BaFin mit den ersten VAIT-Prüfungen begonnen hat, stand das Berechtigungsmanagement zu lange nicht im Fokus der Versicherer. In zukünftigen Prüfungshandlungen der Aufsicht und des Jahresabschlussprüfers werden Schwachstellen in diesem Themenfeld nun systematisch untersucht und aufgedeckt.

In Vorbereitung auf eine BaFin-Prüfung muss das vom Aufseher erwartete Risikobewusstsein im Unternehmen geschaffen und dokumentiert werden. Erkenntnisse aus bisherigen VAIT-Prüfungen können dabei helfen, den Auslegungsspielraum der VAIT-Vorgaben zu minimieren und ein geeignetes Ambitionsniveau für die Umsetzung zu definieren. Durch die Anwendung des Proportionalitätsprinzips lassen sich Maßnahmen im angemessenen Verhältnis zur eingeschätzten Risikosituation planen und priorisieren. Aber Vorsicht: Eine zu defensive Auslegung der Prinzipien wird im Falle einer Prüfung ebenso hinterfragt wie eine zu optimistische Umsetzungsplanung.

Die BaFin akzeptiert keine taktischen Lösungen und erwartet eine Umsetzungsplanung, der eine realistische Einschätzung von Aufwand und Umsetzungsdauer für ein nachhaltiges Berechtigungsmanagement zugrunde liegen.“

Jens Kock, Chartered Accountant und VAIT-Experte bei Deloitte

Vorsicht vor der Kostenfalle: Abweichungen vom Standard werden teuer

Die Anforderungen der Aufsicht haben weitreichende Folgen für Versicherungsunternehmen, da die wesentlichen IT-Anwendungen und damit auch die meisten Mitarbeiter der Organisation betroffen sind. Strenge, einheitliche Standards müssen in der gesamten Organisation etabliert und regelmäßig überwacht werden. Dazu sind oft umfangreiche Anpassungen in den betroffenen Systemen und in den jeweiligen Praktiken der Berechtigungsvergabe erforderlich.

Autor Simon Sulzbach, Deloitte

Simon Sulzbach verfügt über mehr als 20 Jahre Erfahrung in der Transformations-, Organisations- und Technologieberatung im Financial Services-Bereich. Im Bereich Insurance Operations verantwortet er die Entwicklung von datengetriebenen Geschäftsmodellen und praktischen Lösungsansätzen und berät Versicherungsunternehmen im Rahmen des digitalen Wandels – von der Strategiedefinition über die Einführung von Datenmanagement-Standards bis hin zur organisatorischen Transformation und der Umsetzung innovativer Data Analytics- und K.I.-Lösungen.

Eine besondere Hürde bei der Umsetzung der VAIT-Vorgaben: die Zusammenführung dezentraler Berechtigungsverfahren aus unterschiedlichen technischen Plattformen in einem zentralen Berechtigungsmanagement. Vor allem Altsysteme lassen sich nur sehr schwer integrieren. Das gilt besonders für Anwendungen, deren Berechtigungsvergabe nicht über gängige Standards, wie beispielsweise RACF von IBM oder Active Directory von Microsoft, erfolgt. Die Komplexität bei der Anbindung an ein zentrales Berechtigungsmanagement darf aber auch bei Systemen mit Standardberechtigungsverfahren nicht unterschätzt werden:

Unternehmensspezifische Erweiterungen, Umgehungslösungen zur Überwindung technischer Beschränkungen verwendeter Standards und eine mangelhafte Dokumentation dieser Erweiterungen treiben den Anbindungsaufwand exponentiell in die Höhe.”

Das aktuelle Bestreben vieler Versicherer, IT-Anwendungen in die Cloud auszulagern, wirkt sich auch auf den Aufwand im Bereich der Berechtigungssteuerung aus. Der Zugriff über das Internet macht solche Anwendungen besonders anfällig für Cyber-Attacken und erfordert einen erhöhten Zugriffsschutz. Nicht alle Berechtigungsmanagement-Werkzeuge tragen diesem Umstand ausreichend Rechnung und müssen in diesem Fall durch geeignete Lösungen ersetzt werden.

Berechtigungsmanagement: Erprobte Erfolgsfaktoren

Wie kann also vermieden werden, dass Kosten und Dauer für die Umsetzung notwendiger Maßnahmen ausufern? Kostentreiber sind offensichtlich die Anzahl unterschiedlicher IT-Anwendungen und Technologieplattformen, die Vielfalt und Komplexität der Benutzerprofile und das Ausmaß unterschiedlicher, systemseitiger Prozesse innerhalb der Organisation. Je vielfältiger und heterogener die Vergabe von Zugriffsrechten in der Anwendungslandschaft heute organisiert ist, umso aufwändiger ist die Integration in ein zentrales Berechtigungsmanagement.

Durch die Etablierung einer geeigneten Governance werden Konzeption, Umsetzung und Einführung des unternehmensübergreifenden Berechtigungsmanagements und der neuen Berechtigungsprozesse in geordnete Bahnen gelenkt. Eine zentrale, unabhängige Linienfunktion, die End-to-End-Verantwortung für die Umsetzung, den späteren Betrieb und die zukünftige Weiterentwicklung des Berechtigungsmanagements übernimmt, hat sich in vielen Fällen als Erfolgsfaktor erwiesen, um Dauer und Kosten der Umsetzung in den Griff zu bekommen. Zudem empfiehlt sich ein risikobasierter Ansatz, um die Anbindung der IT-Anwendungen an das zentrale Berechtigungsmanagement nach deren Dringlichkeit zu priorisieren und Umsetzungskapazitäten und Budgets zielgerichtet einzusetzen.

Autor Jens Kock, Deloitte

Jens Kock leitet den Bereich IT & Specialized Assurance FSI am Standort Hamburg, hier insbesondere IT-Prüfung und prüfungsnahe Beratung von Versicherungen und Banken. Neben IT-Prüfung sind die Schwerpunktthemen IT-Compliance (VAIT, BAIT und KAIT), IT-Governance, IT-Sicherheit und IT-Risikomanagement. Jens Kock hat 26 Jahre Berufserfahrung in der (IT-) Abschlussprüfung und im IT-Consulting. Neben Deloitte (Webseite) hat er Erfahrung bei einer Großbank, als Berater des Vorstands einer deutschen Versicherung sowie im Führen der Consulting-Abteilung einer Softwarefirma.

Kostenregulierung: Umsetzungsaufwände vermeiden

Die Kosten der technischen Anbindung von IT-Anwendungen an ein zentrales Berechtigungswerkzeug fallen eher gering aus, wenn die Standardkonfiguration, d.h. Berechtigungsobjekte und Schnittstellenformate des ausgewählten Berechtigungswerkzeugs, verwendet wird. Aber genau hier liegt in der Praxis die Hauptursache für explodierende Umsetzungsaufwände. Für eine 1:1-Abbildung der vergebenen Benutzerzugriffsrechte aus sämtlichen IT-Anwendungssystemen müssen die systemspezifischen Berechtigungsobjekte, Nutzerprofile und Rollen vor der Anbindung oft aufwändig adaptiert werden. Der Hebel zur Eindämmung der Umsetzungskosten ist an dieser Stelle am größten. Vor der Einführung eines zentralen Berechtigungsmanagements lohnt es sich daher immer, zunächst unternehmensweit konsistente Standards für fachliche Benutzerrollen und -profile festzulegen und Berechtigungsobjekte nach dem Prinzip des kleinsten gemeinsamen Nenners zu rationalisieren und zu vereinheitlichen. Diese Standards sollten sich möglichst an dem ausgewählten Berechtigungswerkzeug orientieren, bzw. bei der Werkzeugauswahl zugrundegelegt werden. Durch breite Berechtigungsstandards werden auch zukünftige Aufwände, beispielsweise für die Erweiterung von Benutzerrollen oder für die Anbindung weiterer IT-Anwendungen, effektiv begrenzt.

Beispiele aus anderen Branchen zeigen weiterführende Möglichkeiten auf, um Kosten einzudämmen. Durch die Auslagerung des Berechtigungsmanagements an einen Partner, der Berechtigungsprozesse und Werkzeuge als Service bereitstellt, lässt sich eine leistungsgerechte und gut skalierbare Kostenstruktur erreichen. Die sich bietenden Kostenvorteile durch ein „Berechtigungsmanagement-as-a-Service“ liegen auf der Hand:

Die Kompetenzbündelung in Bezug auf gängige Plattformen und Werkzeuge in spezialisierten Teams, effiziente Umsetzungsstandards und „Blaupausen“ für verschiedene Technologieplattformen, die Möglichkeit der Auslagerung von Entwicklungs- und Betriebsaufgaben in internationale Lieferzentren und der Einsatz von Cloud-Infrastrukturen sind nur einige Beispiele für Skaleneffekte, die ein externer Servicepartner bieten kann.”

Die Erfüllung der geltenden (aufsichts-)rechtlichen Bestimmungen muss dabei natürlich ein wesentliches Leistungsmerkmal des ausgelagerten Service sein.

Insgesamt sind die Kosten für die Umsetzung eines VAIT-konformen Berechtigungsmanagements nicht zu unterschätzen. Stellt man ihnen jedoch die vielfältigen Risiken möglicher Informationssicherheitsvorfälle gegenüber, die zum Beispiel durch Kompetenzüberschreitung, schädigendes Handeln privilegierter Benutzer oder den Einsatz von Schadsoftware entstehen können, sind diese gut begründet. Bekanntgewordene Fälle aus der Vergangenheit zeigen, dass durch längere Nichtverfügbarkeit wesentlicher Unternehmensanwendungen und den Zwang zu „analogem“ Arbeiten Schäden von mehreren 100 Millionen Euro für das betroffene Unternehmen entstehen können.

Eine Investition, die sich auszahlt: Die Modernisierung des Berechtigungsmanagements trägt sich selbst

Selbst wenn ihnen nicht Sicherheitsvorfälle in Millionenhöhe gegenübergestellt werden, sind Investitionen in ein zentrales Berechtigungsmanagement in der Regel gerechtfertigt.

Versicherer, die sich bei der Modernisierung des Berechtigungsmanagements ausschließlich durch Kostenaspekte leiten lassen, verpassen das Momentum zur Hebung ungenutzter Effizienzsteigerungspotenziale“

Simon Sulzbach, Director im Bereich Insurance Operations bei Deloitte Consulting

Schon die Vereinheitlichung und Bündelung von Berechtigungsprozessen auf Unternehmensebene und die Unterstützung durch geeignete Werkzeuge verspricht weit mehr als reine Pflichterfüllung gegenüber der Aufsicht. Durch konsequente Standardisierung und Zentralisierung lässt sich der Aufwand für die erstmalige Einrichtung von Benutzerberechtigungen bei der Neubesetzung von Stellen im Unternehmen sowie für die regelmäßige Überprüfung der Angemessenheit und für die Re-Zertifizierung der Zugriffsrechte nachhaltig und erheblich reduzieren. Dieser Effekt fällt sogar noch deutlicher aus, wenn eine große Zahl von Vertriebspartnern oder Kunden über Web-Portale Zugriff auf Unternehmensdaten haben.

In weniger regulierten Branchen wie der Automobilwirtschaft, der Telekommunikation oder in Technologieunternehmen ist die Reduzierung der wiederkehrenden manuellen Aufwände bei Linienvorgesetzten und Systemverantwortlichen das häufigste Motiv für die Modernisierung und für die Auslagerung des Berechtigungsmanagements. Für Versicherer, die dieses Leitmotiv bei der Modernisierung ihres Berechtigungsmanagements zugrunde legen und konsequent verfolgen, zahlt sich die Investition nachhaltig aus, bei gleichzeitiger Reduzierung des operationellen Risikos.Simon Sulzbach und Jens Kock, Deloitte

Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/117180