IT-Systeme und die dazugehörigen IT-Prozesse sind für viele Unternehmen – insbesondere für die Geschäftsprozesse bei Finanzinstituten – zu einem wesentlichen Risikofaktor geworden.
Die Aufsichtsbehörden tragen in Form von verschärfter Prüfung der IT-Aufsicht dieser Entwicklung Rechnung. Zentraler Prüfungsbaustein ist hierbei das Berechtigungswesen,
unter welches sowohl das Identity und Access Management (IAM) als auch die Kontrolle der Nutzung von privilegierten Rechten,
also das Privileged Account Management (PAM) fällt.
Im Umfeld von Finanzdienstleistungsunternehmen verlangt die Bundesanstalt für Finanzdienstleistungsaufsicht in ihren Mindestanforderungen an das Risikomanagement MaRisk AT 7.2 eine „angemessene IT-Berechtigungsvergabe“. In der MaRisk AT 4.3.1 wird die „regelmäßige und anlassbezogene Überprüfung von IT-Berechtigungen,
Zeichnungsberechtigungen und sonstigen eingeräumten Kompetenzen“ eingefordert.
Die dafür notwendigen Prozesse und Systeme für die IT-Berechtigungsvergabe und die regelmäßige Überprüfung / Re-Zertifizierung der Berechtigungen müssen im Unternehmen umgesetzt und gelebt werden. Idealerweise sind sie auch mit einer Lösung zur Überwachung der privilegierten User verknüpft.