Im AT 4.3.1 der MaRisk heißt es: " Prozesse sowie die damit verbundenen Aufgaben, Kompetenzen, Verantwortlichkeiten, Kontrollen sowie Kommunikationswege sind klar zu definieren und aufeinander abzustimmen. Dies beinhaltet auch die regelmäßige und anlassbezogene Überprüfung von IT-Berechtigungen, Zeichnungsberechtigungen und sonstigen eingeräumten Kompetenzen. Das gilt auch bezüglich der Schnittstellen zu wesentlichen Auslagerungen".
In komplexen IT-Landschaften erweist sich diese Anforderung als außerordentlich ambitioniert; denn die Vielfalt der eingesetzten Software und die der handelnden Menschen macht die regelmäßige Überprüfung von vergebenen Rechten zum Problem. Sollte ein Berechtigungskonzept tatsächlich fixiert sein, ist dieses oftmals relativ statisch, und nach einer gewissen Lebensdauer beginnt die im Alltag verständliche Inkonsequenz. In größeren Einheiten werden oftmals die IT-Abteilungen mit der Aufgabe der
Überprüfung der Einhaltung des Berechtigungskonzeptes bedacht. Die "IT-ler" haben es dabei allerdings schwer, denn ihnen fehlt oft die fachspezifische Information, warum wer welche Berechtigung besitzt. Da die BaFin insbesondere das Thema Datenschutz im Fokus hat und auch der Jahresabschlussprüfer und WpHG-Prüfer die Einhaltung der MaRisk im Blick hat, wäre die Nutzung von softwareübergreifenden Tools außerordentlich hilfreich. Eine derartige Anwendung stellt bspw. "daccord" dar. Daccord ist eine datenbankbasierende Softwarelösung für die Überwachung von Zugriffsrechten von nahezu jeder beliebigen Anwendung.
Lückenlose Reports auf Knopfdruck
Daccord vergleicht in dem vom Unternehmen vorgegebenen Rhythmus, ob z.B. aktuelle Berechtigungen von Mitarbeitern mit den unternehmensseitig gewünschten Berechtigungen (Soll-Ist-Vergleich) übereinstimmen. Dieses regelmäßige und kontinuierliche Validieren ermöglicht dem Finanzinstitut den Vorweis einer lückenlosen Historie.
Alles ist so auf einen Blick einsehbar und belegbar - ob für den Abteilungsleiter, den Geschäftsführer oder den Wirtschaftsprüfer.
Sicherheitslücken erkennen und schließen
Weiter verknüpft Daccord als intelligente Software die unterschiedlichen Benutzeraccounts in den Systemen mit den natürlichen Personen im Unternehmen. Beim Abgleich findet Daccord so auch "verwaiste" Accounts, also Accounts von Kollegen im Ruhestand, in Elternzeit oder von Kollegen, die das Unternehmen bereits verlassen haben. Oft sind diese Accounts noch lange nach dem Ausscheiden der Mitarbeiter freigeschaltet. Dies kostet zum einen Geld, z. B. für Lizenzen, und zum anderen geht von "verwaisten" Accounts, gerade beim Wechsel eines Mitarbeiters zu einem Konkurrenzinstitut, ein echtes Sicherheitsrisiko aus.
MaRisk-konform, zeitsparend und effizient
Die Entscheidung, sich bei der Umsetzung wichtiger MaRisk-Anforderungen durch eine Softwarelösung unterstützen zu lassen, entlastet Unternehmen im Banken- und Finanzbereich also enorm.
Sie erfüllen so im Risikocontrolling- und Compliance- Bereich viele der neuesten MaRisk-Anforderun-gen und wissen ihre datensensiblen Bereiche sicher, effizient und zeitsparend verwaltet.
In komplexen IT-Landschaften erweist sich diese Anforderung als außerordentlich ambitioniert; denn die Vielfalt der eingesetzten Software und die der handelnden Menschen macht die regelmäßige Überprüfung von vergebenen Rechten zum Problem. Sollte ein Berechtigungskonzept tatsächlich fixiert sein, ist dieses oftmals relativ statisch, und nach einer gewissen Lebensdauer beginnt die im Alltag verständliche Inkonsequenz. In größeren Einheiten werden oftmals die IT-Abteilungen mit der Aufgabe der
Überprüfung der Einhaltung des Berechtigungskonzeptes bedacht. Die "IT-ler" haben es dabei allerdings schwer, denn ihnen fehlt oft die fachspezifische Information, warum wer welche Berechtigung besitzt. Da die BaFin insbesondere das Thema Datenschutz im Fokus hat und auch der Jahresabschlussprüfer und WpHG-Prüfer die Einhaltung der MaRisk im Blick hat, wäre die Nutzung von softwareübergreifenden Tools außerordentlich hilfreich. Eine derartige Anwendung stellt bspw. "daccord" dar. Daccord ist eine datenbankbasierende Softwarelösung für die Überwachung von Zugriffsrechten von nahezu jeder beliebigen Anwendung.
Lückenlose Reports auf Knopfdruck
Daccord vergleicht in dem vom Unternehmen vorgegebenen Rhythmus, ob z.B. aktuelle Berechtigungen von Mitarbeitern mit den unternehmensseitig gewünschten Berechtigungen (Soll-Ist-Vergleich) übereinstimmen. Dieses regelmäßige und kontinuierliche Validieren ermöglicht dem Finanzinstitut den Vorweis einer lückenlosen Historie.
Alles ist so auf einen Blick einsehbar und belegbar - ob für den Abteilungsleiter, den Geschäftsführer oder den Wirtschaftsprüfer.
Sicherheitslücken erkennen und schließen
Weiter verknüpft Daccord als intelligente Software die unterschiedlichen Benutzeraccounts in den Systemen mit den natürlichen Personen im Unternehmen. Beim Abgleich findet Daccord so auch "verwaiste" Accounts, also Accounts von Kollegen im Ruhestand, in Elternzeit oder von Kollegen, die das Unternehmen bereits verlassen haben. Oft sind diese Accounts noch lange nach dem Ausscheiden der Mitarbeiter freigeschaltet. Dies kostet zum einen Geld, z. B. für Lizenzen, und zum anderen geht von "verwaisten" Accounts, gerade beim Wechsel eines Mitarbeiters zu einem Konkurrenzinstitut, ein echtes Sicherheitsrisiko aus.
MaRisk-konform, zeitsparend und effizient
Die Entscheidung, sich bei der Umsetzung wichtiger MaRisk-Anforderungen durch eine Softwarelösung unterstützen zu lassen, entlastet Unternehmen im Banken- und Finanzbereich also enorm.
Sie erfüllen so im Risikocontrolling- und Compliance- Bereich viele der neuesten MaRisk-Anforderun-gen und wissen ihre datensensiblen Bereiche sicher, effizient und zeitsparend verwaltet.
