How to be compliant?

How to be compliant?

Berechtigungsmanagement im Spannungsfeld agiler Bankenorganisationen

Banken und andere Finanzinstitute bewegen sich derzeit in einem herausfordernden Umfeld, das durch COVID-19, Digitalisierung, niedrige Zinsen, zunehmende regulatorische Anforderungen und einen insgesamt steigenden Kostendruck beeinflusst wird. Fintechs, deren IT-Infrastruktur nicht an Altsysteme gebunden ist, sind oft besser positioniert, um Kundenbedürfnisse bedarfsgerecht zu erfüllen und zeigen sich flexibler. Viele Häuser bedienen sich agiler Arbeitsweisen, um ihre Organisation zu transformieren und neue Produkte schneller auf den Markt bringen zu können. Damit dieses Werkzeug seine volle Kraft entfalten kann, werden alte Denkmuster von Fachbereich und IT aufgebrochen. Bisherige hierarchische Organisationsstrukturen finden keine Anwendung mehr. Auf allen Ebenen werden durch agile Arbeitsweisen völlig neue Rollen etabliert. In den cross-funktionalen Teams werden alle Funktionen und Skills, die für die Entwicklung des Produkts gebraucht werden, gebündelt. Die Teams sind selbstorganisiert und haben in der Person des Product Owners eine „end-to-end Verantwortung“ für das Produkt.

Viele unserer Kunden stehen vor der Herausforderung ihre agilen Projektaufsätze und neuen Strukturen in Einklang mit aufsichtsrechtlichen Anforderungen zu bringen. Einen großen Stellenwert nimmt die Frage ein, wie das Berechtigungsmanagement in einem agilen Kontext unter Berücksichtigung der regulatorischen Anforderungen aufgesetzt werden kann.
Die Bankenaufsicht BaFin gibt in ihrem “Rundschreiben zu Bankaufsichtlichen Anforderungen an die IT” (BAIT) den Rahmen für die technisch-organisatorische Ausstattung der Institute vor. Insbesondere für das Management der IT-Ressourcen und für das IT-Risikomanagement werden Anforderungen definiert. Das Berechtigungsmanagement muss darüber hinaus die Mindestanforderungen an das Risikomanagement erfüllen (MaRisk). In Absatz II Kapitel 5 der BAIT werden spezielle Regeln für das Berechtigungsmanagement formuliert. Vorgabe ist hierbei, dass das Berechtigungskonzept schriftlich festzulegen und regelmäßig zu aktualisieren ist. Bei der Erarbeitung des Konzepts sind relevante fachliche Ansprechpartner einzubinden. Im Wesentlichen kristallisieren sich aus den Anforderungen für das Berechtigungsmanagement drei zentrale Säulen heraus: Das „Need-to-know-Prinzip“, eine ordnungsgemäße Funktionstrennung sowie der richtige Umgang mit privilegierten Berechtigungen. Diese regulatorischen Anforderungen gilt es in den klassisch prozessorientierten Organisationen wie auch in agilen Organisationsformen einzuhalten. In Ersteren herrscht typischerweise eine strikte Funktionstrennung, sodass Planungs-, Steuerungs- und Überwachungstätigkeiten entweder von eigenen Einheiten (z. B. Prozessmanagement sowie Qualitätsmanagement) oder von übergeordneten Hierarchieebenen ausgeführt werden. In Organisationsformen nach agilen Prinzipien hingegen sind diese Funktionen idealerweise in einem Team gebündelt, was zu einem Spannungsfeld zwischen klassisch prozessorientiertem Rollen- und Berechtigungsmanagement und agilen Arbeitsweisen führt.

Die Erfahrung zeigt, dass diesem Spannungsfeld durch konkrete Aktivitäten in den drei Säulen aktiv begegnet werden kann, um die Compliance des Berechtigungsmanagements sicherzustellen.

Infografik

Need-to-know-Prinzip

Das Sparsamkeitsprinzip besagt, dass nur die Berechtigungen zu genehmigen und einzurichten sind, die für die Erfüllung einer konkreten Aufgabe benötigt werden. Dementsprechend ist es entscheidend, dass bei agilen Arbeitsformen in regelmäßigen Abständen die erteilten und gegebenenfalls noch benötigten Berechtigungen überprüft werden. Diese anlassbezogene Prüfung kann beispielswiese kontinuierlich innerhalb der Sprint-Planung stattfinden. Darüber hinaus ist diese Art der Prüfung auch bei Austritt eines Teammitglieds aus der Organisation oder aus dem Team dringend anzuwenden. Gegebenenfalls gehen mit dem Austritt benötigte Berechtigungen für die Betreuung oder Weiterentwicklung des Produkts innerhalb des Teams verloren und dieses ist letztlich nicht vollumfänglich arbeitsfähig. Damit dieses Problem vermieden wird, ist es sinnvoll Tool-gestützte und/oder automatisierte Prozesse bei der Vergabe und dem Entzug von Berechtigungen zu etablieren. So können über eine Verknüpfung vordefinierter Rollen bzw. Skill-Profile (beispielsweise dem Entwickler) zugehörige Berechtigungen automatisiert erteilt werden.

Ordnungsgemäße Funktionstrennung

Bei der Funktionstrennung muss darauf geachtet werden, dass es nicht zu Interessenkonflikten kommt. Ein Beispiel hierfür ist, wenn das Teammitglied, welches für die Entwicklung zuständig ist, die (Software-) Änderung auch gleichzeitig in Betrieb nehmen könnte. Solche Konflikte müssen umgehend erkannt und entsprechend behandelt werden. Im genannten Fall ist es beispielsweise zwingend notwendig, dass mindestens eine weitere Person die Änderung prüft und freigibt. Wenn sich Finanzinstitute für einen DevOps-Ansatz entscheiden, hierbei werden Development und IT-Operations in einem Team vereint, wird die Herausforderung der ordnungsgemäßen Funktionstrennung, aufgrund der Konzentration verschiedener Verantwortlichkeiten und Rollen in einem Team, noch größer. Ein weiteres Beispiel für einen Interessenkonflikt gäbe es, wenn der Entwickler ebenfalls den Test und/ oder die Abnahme durchführen würde. Diese Rollenkonstellation ist darüber hinaus auch unabhängig von der Projektmethodik (klassisch oder agil) aus regulatorischer Sicht nicht zulässig. Festzuhalten ist, dass die Einhaltung des „Vier-Augenprinzips“ essenziell für eine ordnungsgemäße Funktionstrennung ist. In diesem Zusammenhang ist eine Compliance auch gewährleistet, wenn eine Freigabe systemseitig von mindestens zwei unterschiedlichen und vom Profil her geeigneten Personen erfolgt. Im Zuge der agilen Arbeits- und Rollenverteilung hat die strikte Einhaltung von Rollen und Verantwortlichkeiten innerhalb des agilen Teams eine besondere Wichtigkeit, da nur so eine angemessene kritische Distanz gewahrt wird.

Umgang mit kritischen Berechtigungen

Privilegierte Berechtigungen müssen klar definiert werden und dürfen nur restriktiv Benutzern zugewiesen werden. Bei der Vergabe von Berechtigungen zum Umgang mit sensiblen Daten sind verschiedenste Faktoren zu berücksichtigen. Besonders bei Erteilung dieser Rechte sollte mindestens eine Prüfung der Vergabe durch die fachlich verantwortliche Stelle (Eigentümer der Daten) erfolgen, um eine angemessene Prüfung zu gewährleisten. Aus der Anforderung zum Notfallmanagement (laut MaRisk AT 7.3 Satz II) können kritische Rechtekonstellationen entstehen. So sind auch in agilen Scrum-Teams Vertretungsfunktionen zu etablieren, welche sich zwingend am Skill-Set des Team-Mitglieds orientieren müssen, damit eine Angemessenheit der Vertreterfunktion gewährleistet ist. In diesem Zusammenhang ist besonders auch darauf zu achten, welche privilegierten Berechtigungen mit dem Zugriff auf die IT-Umgebungen wie Entwicklung und Produktion einhergehen. Diese Berechtigungen sollten regelmäßig anhand angemessener Vergabekriterien geprüft werden.

Fazit

Mit einem durchdachten, praktikablen und weitgehend automatisierten Berechtigungsmanagement können Banken auch im Rahmen von agilen Organisationsformen die Compliance zu regulatorischen Anforderungen gewährleisten und gleichzeitig von den Vorteilen agiler Zusammenarbeitsmodelle in einem zunehmend herausfordernden Umfeld profitieren.