Titelbild Expertenbericht IAM zu FINMA Rundschreiben

FINMA-Rundschreiben:
IAM-Unterstützung für
Banken & Finanzinstitute
in der Schweiz

FINMA Rundschreiben 2023/1

Am 07. Dezember 2022 wurde das Rundschreiben 2023/1 «Operationelle Risiken und Resilienz – Banken» von der Eidgenössischen Finanzmarktaufsicht (FINMA) erlassen. Es tritt zum 01. Januar 2024 in der Schweiz in Kraft und richtet sich an Schweizer Banken, Versicherungen und Finanzinstitute. Es löst das bisherige Rundschreiben 2008/21 ab. Die FINMA aktualisiert damit ihre Aufsichtspraxis in Bezug auf das Management operationeller Risiken im Zusammenspiel mit den Informations- und Kommunikationstechnologie (IKT) , sowie dem Umgang mit den Cyber-Risiken und mit kritischen Daten (nicht nur Kundendaten). Die qualitativen Anforderungen als Schwerpunkte dieser Revision sind in 8 Grundsätzen definiert.

Wie kann ein Lösungsweg für ihr Unternehmen durch die Nutzung einer Identity- und Accessmanagement (auch Identity- and Access-Governance) Software (IAM) zur Erfüllung der Anforderungen der 8 Grundsätze aussehen:

Grundsatz 1 – Generelle Anforderung an das Management der operationellen Risiken (Rz 22-46)

Das FINMA Rundschreiben 2023/1 legt die generellen Anforderungen an das Management der operationellen Risiken im Finanzsektor fest. Der Grundsatz 1 dieses Rundschreibens beinhaltet die Notwendigkeit einer klaren Governance-Struktur, einer umfassenden Risikobeurteilung und der regelmässigen Überwachung der Risikomanagementprozesse. Um diese Anforderungen effizient zu erfüllen, kann die Nutzung einer Identity- und Accessmanagement Software (IAM) als Hilfestellung dienen. H3: Rollen und Aufgaben: Gemäss dem Grundsatz 1 ist die Trennung der Aufgaben, Kompetenzen und Verantwortlichkeiten (AKV) zur Sicherstellung der Unabhängigkeit und Vorbeugung von Interessenskonflikten von grosser Bedeutung. Eine IAM-Software ermöglicht es, die Rollen und Berechtigungen der Mitarbeiter klar zu definieren und zu kontrollieren. Durch Implementierung von Rollen-basiertem Zugriffsmanagement (RBAC) und der Einhaltung des Prinzips der Funktionstrennung (segregation of duties, SOD; u.a. Möglichkeit zur Trennung der AKV) können potenzielle Interessenskonflikte minimiert werden. Ein weiterer Vorteil des RBAC besteht in der effizienten, automatisierbaren Rechtevergabe auf Mitarbeitenden- bzw. Funktionsprofil-Ebene. Gerade im Falle der Neueintritte, Personalveränderungen und auch bei Austritten (Joiner/Mover/Leaver) spielt die Zeiteinsparung für die Berechtigungspflege einen adäquaten Vorteil im Unternehmen aus.

Überwachung und Dokumentation:

Die regelmässige Überwachung der operationellen Risiken, einschliesslich der IAM-Prozesse, ist essenziell für das Risikomanagement. Eine IAM-Software kann eine lückenlose Aufzeichnung und Überwachung sämtlicher Zugriffe und Berechtigungen der Benutzer ermöglichen. Mithilfe von automatisierten Reports und Audit-Logs können Compliance und Nachvollziehbarkeit der IAM-Prozesse sichergestellt werden. Die regelmässigen und auch anlassbezogenen Rezertifizierungen aller Berechtigungsrollen, deren Inhalte, die zugeordneten Berechtigungen zu Mitarbeitenden, zu Geräten und zu Systemen, sowie die Abweichungen von SOLL zu IST können strukturiert, dokumentiert und revisionssicher durch die Beteiligten und Verantwortlichen schlank vorgenommen werden. Die Ergebnisse von Prüfungen und Überwachungen können in das Risikobewertungs- und Risikomanagementsystem integriert werden und die Berichterstattung systematisieren und sicherstellen.

Berechtigungsmanagement:

Eine IAM-Software ermöglicht es, Berechtigungskonzepte zu definieren und zu verwalten. Diese Konzepte müssen regelmässig überprüft und anlassbezogen angepasst werden. Durch die Nutzung einer IAM-Software können diese Prozesse automatisiert und effizient durchgeführt werden. Zudem ermöglicht die Software eine einfache Zuweisung und Entfernung von Benutzerrechten, was das Risiko von unberechtigten Zugriffen und Datenlecks minimiert.

Strategische Integration:

IAM-Prozesse sollten Teil der gesamten IT-Strategie und der Unternehmensstrategie sein. Eine IAM-Software bietet Möglichkeiten zur Integration in bestehende IT-Infrastrukturen und können so nahtlos in die Unternehmensprozesse integriert werden. Dadurch wird eine effektive Governance-Struktur geschaffen, die die operationellen Risiken im Unternehmen berücksichtigt.

Fazit:

Die klare Definition und Überwachung von Rollen, Berechtigungen und Zugriffen ermöglicht eine effiziente Trennung von Aufgaben, Kompetenzen und Verantwortlichkeiten. Die regelmässige Überprüfung und Anpassung der Berechtigungskonzepte gewährleistet den Schutz vor unberechtigten Zugriffen. Eine IAM-Software integriert sich nahtlos in die IT-Strategie und schafft eine effektive Governance-Struktur zur Identifizierung, Beurteilung und Überwachung der operationellen Risiken im Berechtigungsmanagement.

Grundsatz 2 – Management der IKT-Risiken (Rz 47-60)

Über den Grundsatz 2 haben die Schweizer Finanzinstitute die Richtlinien erhalten, um die Informations- und Kommunikationstechnologie (IKT)-Risiken effektiv zu managen. Er legt den Fokus auf die Sicherstellung der Vertraulichkeit, Integrität und Verfügbarkeit der IKT (äussere und innere Betrugsrisiken sind zu betrachten). In Bezug auf diese Anforderungen bietet der IAM-Software-Einsatz potenzielle Hilfestellungen und Lösungswege.

IT-Betrieb und -Wartung:

Gemäss Grundsatz 2 sind geeignete Verfahren, Prozesse, Verantwortlichkeiten und Ressourcen für den IKT-Betrieb erforderlich. IAM-Systeme bieten ein Framework, das den IT-Betrieb und die -Wartung in Bezug auf Zugriffsrechte und Identitätsmanagement unterstützt. Durch die Nutzung einer IAM-Software können Finanzinstitute sicherstellen, dass alle erforderlichen Prozesse ordnungsgemäss dokumentiert sind und den Compliance-Anforderungen entsprechen. Die Vernetzung des IAM-Konzeptes in ein Software-Lifecycle ist sinnvoll. Hierdurch kann sichergestellt werden, dass die Berechtigungslandschaft aktuell gehalten und «Datenmüll» vermieden wird.

Getrennte Systemlandschaft:

Grundsatz 2 fordert die Verfügbarkeit einer getrennten Systemlandschaft für Test- und Produktionsumgebungen. IAM-Systeme unterstützen diese Anforderung durch die Implementierung von Zweisystemlandschaften oder Stages wie Quality und Production. Durch diese Trennung wird die Gefahr von unbefugten Zugriffen und Fehlkonfigurationen minimiert. Ebenfalls werden die Zugriffe auf die Systeme regelmässig rezertifizierbar, um sicherzustellen, dass die Zugriffsrechte aktuell und korrekt sind.

IT-Inventar und Backup-Prozesse:

Das FINMA Rundschreiben verlangt ein vollständiges IT-Inventar, einschliesslich der Ablageorte kritischer Daten. Hier ermöglicht die IAM-Software eine zentrale Verwaltung und Kontrolle über Benutzerkonten und Zugriffsrechte. Darüber hinaus sollten Backup- und Restoreprozesse für IAM-Systeme definiert, getestet und validiert werden, um im Falle eines Systemausfalls oder eines Datenverlustes eine schnelle Wiederherstellung sicherzustellen.

Dokumentierte Verfahren und Kontrollen:

Eine weitere Anforderung des Grundsatzes 2 besteht darin, dass relevante Änderungs- und Betriebsmanagementverfahren, Prozesse und Kontrollen dokumentiert werden. IAM-Software ermöglicht die umfassende Dokumentation aller durchgeführten Aktionen, einschliesslich Berechtigungsänderungen, Zugriffsrechten und Compliance-Nachweisen. Dies erleichtert eine effektive Überwachung und Kontrolle des Systems.

Genehmigung und Überwachung:

Durch den Einsatz von IAM-Software können Finanzinstitute eine granulare Zugriffskontrolle implementieren, die Zugriffe nur nach vorheriger Genehmigung durch die Einbindung der Verantwortlichen Stellen/Personen im Unternehmen ermöglicht. Die kontinuierliche Überwachung und Protokollierung von Zugriffen und Aktivitäten innerhalb der IAM-Software schafft die Möglichkeit, potenzielle Sicherheitsbedrohungen frühzeitig zu erkennen.

Fazit:

IAM-Software bietet den Unternehmen eine effektive Lösung, um die Anforderungen des Grundsatzes 2 zu erfüllen. Durch die Implementierung von IAM-Systemen können sie die Vertraulichkeit, Integrität und Verfügbarkeit der IKT sicherstellen, getrennte Systemlandschaften schaffen, Backup-Prozesse definieren und kontrollieren, relevante Abläufe dokumentieren und kontrollieren sowie eine umfassende Genehmigung und Überwachung sicherstellen. Diese Massnahmen tragen insgesamt zur Stärkung der Informationssicherheit bei.

Grundsatz 3 – Management der Cyber Risiken (Rz 61-70)

Grundsatz 3 präzisiert die angemessene Behandlung von Cyber-Risiken für Finanzinstitute und deren entscheidender Bedeutung wird klargestellt. Die Potenziale und Lösungswege durch die Nutzung einer IAM-Software finden hier Beleuchtung.

Die klare Definition von Rollen, Verantwortlichkeiten und Prozessen für die Erhebung, Beurteilung und Dokumentation von Cyberrisiken werden in Grundsatz 3 gefordert. Es geht auch darum, geeignete Verfahren, Prozesse, Verantwortlichkeiten und Ressourcen sicherzustellen, um die Vertraulichkeit, Integrität und Verfügbarkeit kritischer Daten und IKT-Komponenten zu schützen. Durch eine IAM-Lösung können Finanzinstitute die Sicherheit und den Schutz ihrer kritischen Daten und IKT-Komponenten effektiv gewährleisten. Die IAM-Systeme unterstützen, die Schwachstellen in den Zugriffsmechanismen zu minimieren. Über das Zusammenspiel von Funktionsprofilen (RBAC), SOD Funktionstrennung (im Hinblick AKV), der automatischen Benutzerprovisionierung, der Einbindung von fachlichen Verantwortlichen, beispielsweise in der Genehmigung von Berechtigungen und auch die wiederkehrenden Rezertifizierungen schaffen Schutzmassnahmen für Risiken. Die regelmässige Prüfung dieser Systeme stellt sicher, dass alle Zugriffsmechanismen und die Funktionsrollen (Rechtepakete) des Rollen-basiertem Zugriffsmanagement (RBAC) auf dem neuesten Stand sind und potenzielle Einfallstore für Cyber-Angriffe so minimiert werden. Im Falle eines Angriffes verhilft die schnelle und effiziente Rollenanpassung zu einer zeitnahen Reaktion im Berechtigungsmanagement. Die Einbindung der verantwortlichen Stellen in die Genehmigung der Veränderungen und der möglichen Automation der Rechteanpassung bei aufbau-organisatorischen sowie personellen Veränderungen minimiert erheblich die Risiken einer Cyber-Attacke.

Es ist wichtig zu beachten, dass das Management der Cyber-Risiken nicht isoliert betrachtet werden kann, sondern eng mit dem Management der IKT-Risiken zusammenhängt. Das Eintreten von IKT-Risiken kann zu höheren Cyber-Risiken führen und umgekehrt. IAM-Systeme spielen eine entscheidende Rolle beim Schutz vor IKT-Risiken, da sie eine zentrale Kontrolle über die Zugriffe auf IKT-Komponenten ermöglichen. Durch die Implementierung und Verwaltung definierter Zugriffsrechte für Mitarbeitende, KundInnen und PartnerInnen kann das Risiko von Fehlkonfigurationen oder unberechtigten Zugriffen minimiert werden.

Fazit:

Grundsatz 3 des FINMA Rundschreibens 2023/1 betont die Notwendigkeit eines effektiven Managements von Cyber-Risiken. AM-Software bietet eine wertvolle Hilfestellung bei der Umsetzung dieses Grundsatzes, indem sie die Sicherheit, Integrität und Vertraulichkeit kritischer Daten und IKT-Komponenten gewährleistet. Regelmässige Verwundbarkeitsanalysen und Penetrationstests unterstützen die frühzeitige Erkennung von Schwachstellen, während die Einbettung des IAM in das Management der IKT-Risiken die ganzheitliche Abwehr von Bedrohungen ermöglicht. Für Finanzinstitute ist die Implementierung einer IAM-Lösung daher von entscheidender Bedeutung, um den Anforderungen von Grundsatz 3 gerecht zu werden und ihre Cyber-Risiken adäquat zu managen.

Grundsatz 4 – Management der Risiken kritischer Daten (Rz 71-82)

Die Sicherheit und das Management der kritischen Daten finden ihr besonderes Augenmerk im Grundsatz 4. Er fokussiert auf Risikomanagement im Umgang mit diesen Daten. Der Einsatz einer IAM-Software gibt Hilfestellung und Lösungsansätze der verschiedensten Aspekte von Grundsatz 4.

Zugrundeliegende Datenkritikalitäten ermitteln und kontrollieren:

Der erste Schritt besteht darin, die Datenkritikalitäten zu ermitteln und zu kontrollieren. Eine IAM-Software bietet zwar nicht die Möglichkeit, die verschiedenen Arten von kritischen Daten zu kategorisieren, aber die Zugangsrechte entsprechend zu bewerten und zu kritikalisieren, sowie festzulegen. Dadurch wird sichergestellt, dass nur Mitarbeiter mit einem berechtigten Interesse Zugriff auf diese Daten haben und mögliche Risiken minimiert werden.

Implementierung eines Autorisierungssystems:

Ein weiterer Aspekt ist die Implementierung eines Autorisierungssystems. Eine IAM-Software ermöglicht die einfache Verwaltung von Berechtigungen für IT-Systeme, die über kritische Daten verfügen. Durch die Verwendung von Rollen- und funktionsspezifischen Autorisierungssystemen werden die Datenverantwortlichen in die Zuweisung von Berechtigungen entsprechend eingebunden und im Alltag im Bewusstsein auf die Risiken der kritischen Daten gestärkt. Die Berechtigungszuweisung kann anhand der individuellen Aufgaben und Zuständigkeiten der Mitarbeitenden in grossen Teilen automatisiert und vereinfacht werden. Natürlich finden die Prinzipien «Need-to-know» und «Least Privilege» Berücksichtigung hierbei.

Verwaltung und regelmässige Überprüfung privilegierter Zugriffe, Rezertifizierung kritischer Berechtigungen sowie die Kontrolle:

Um mögliche Missbrauchsfälle zu verhindern, ist es unerlässlich, privilegierte Zugriffe regelmässig zu überprüfen und kritische Berechtigungen zu rezertifizieren. Eine IAM-Lösung bietet Funktionen zur Überwachung von privilegierten Zugriffen und ermöglicht es, regelmässige Überprüfungen einfach und effizient durchzuführen. Durch die Automatisierung dieses Prozesses wird sichergestellt, dass alle Berechtigungen aktuell sind und mögliche Sicherheitslücken schnell erkannt und behoben werden können. In der Kombination mit «Sicherheitsinformationen und Ereignismanagement» (SIEM) und Privileged Access Management (PAM) gewährleisten die IAM-Lösungen einen umfassenden Schutz der kritischen Daten. Ein integriertes SIEM-System ermöglicht die Echtzeitüberwachung von privilegierten Aktivitäten und die Erkennung verdächtiger Muster oder Anomalien. Jederzeitige Reports mit einer Liste mit Personen mit privilegierten Berechtigungen (Admin-Berechtigungen oder Anwender mit funktionalem Zugriff auf grosse Datenmengen) werden ermöglicht.

Erhöhte Authentifizierung für Daten im Ausland oder Zugriff aus dem Ausland:

Gemäss Grundsatz 4 besteht die Anforderung, bei Zugriffen auf Daten im Ausland oder Zugriffen aus dem Ausland eine erhöhte Authentifizierung einzuführen. Hier kann eine IAM-Software durch die Implementierung von Multi-Faktor-Authentifizierung (MFA) eine zusätzliche Sicherheitsebene bieten. Eine MFA-Lösung erhöht den Schutz vor unbefugtem Zugriff, indem sie die Verwendung mehrerer Faktoren wie Passwörter, biometrische Daten oder Smartcards erfordert.

Fazit:

Die deutlichen Anforderungen an das Risikomanagement im Umgang mit kritischen Daten können mit der Nutzung einer Identity- und Access Management Software (IAM) erfüllt werden. Die Implementierung eines Autorisierungssystems, die regelmässige Überprüfung privilegierter Zugriffe und Rezertifizierung kritischer Berechtigungen, die Verwaltung von privilegierten Berechtigungen und die Einführung einer erhöhten Authentifizierung (z.B. MFA) sichern den Betriebsalltag und erfüllen in systemischer Kombination diese regulatorischen Erfordernisse. Hier hilft das Identity und Access Management System, um Sanktionen zu vermeiden, indem es als unterstützende Massnahme für die Erhaltung der Datensicherheit dient. Es werden über das IAM die geforderten technischen Massnahmen für Zugriffssicherheit und Zutrittskontrolle umgesetzt und jederzeit nachweisbar gespeichert.

Grundsatz 5 – Management der Risiken aus dem grenzüberschreitenden Dienstleistungsgeschäft (Rz 97-100)

Das Fundament einer erfolgreichen Nutzung einer IAM-Software besteht aus der Identity und Access-Management-Konzeption. Das Gesamtwerk der im Beitrag bereits genannten Möglichkeiten dieser Software-Unterstützung flankieren und unterstützen die erforderlichen organisatorischen Massnahmen zur Risikoeliminierung und -minimierung. Die effektive und effiziente Pflegemöglichkeit der Berechtigungsstrukturen in der IAM-Software stellt die Einhaltung von Vorgaben auch im grenzüberschreitenden Dienstleistungsgeschäft sicher.

Grundsatz 6 – Business Continuity Management (BCM) (Rz 83-96)

Auch im Grundsatz 6 liegt ein Blickpunkt auf dem Berechtigungsmanagement. Es hat im Rahmen der Business Impact Analyse (BIA) seine kritischen Prozesse und die notwendigen Ressourcen zu identifizieren. Die Sicherstellung der kritischen Prozesse im IAM-Bereich, sowie die zuverlässige und schnelle Wiederherstellung sind hier im Fokus. Um dies zu gewährleisten, ist es zunächst wichtig, die IAM-Prozesse als kritisch einzustufen. Behilflich ist, sich im IAM-Konzept mit allen relevanten Prozessen und deren Abhängigkeiten zu beschäftigen und diese aufzuzeigen. Ein weiterer entscheidender Aspekt ist die Definition von RTO (recovery time objective) und RPO (recovery point objective) für die IAM-Prozesse. Das RTO legt fest, wie schnell ein Prozess nach einem Ausfall wiederhergestellt werden muss, während das RPO angibt, wie viele Daten im schlimmsten Fall verloren gehen dürfen. Diese Vorgaben sollten in Service Level Agreements (SLAs) oder Operational Level Agreements (OLAs) mit den entsprechenden Prozesseignern festgelegt und kontrolliert werden. Die IAM-Software kann hierbei die Überwachung und Einhaltung dieser Vorgaben unterstützen, indem sie automatisierte Prozesse zur Wiederherstellung und Datensicherung bereitstellt.

Ein weiterer wichtiger Schritt ist die Erstellung eines disaster recovery plans (DRP) speziell für die IAM-Prozesse. Dieser Plan sollte regelmässig überprüft und mindestens einmal im Jahr aktualisiert werden. Die IAM-Software kann bei der Erstellung und Pflege dieses Plans behilflich sein, indem sie beispielsweise Vorlagen und Checklisten zur Verfügung stellt. Zudem kann sie dabei helfen, die Wirksamkeit des Plans zu testen, indem sie simulationsgestützte Übungen ermöglicht.

Zusammenfassend lässt sich sagen, dass eine Identity- und Accessmanagement Software eine wertvolle Hilfestellung bieten kann, um sicherzustellen, dass ihre IAM-Prozesse im Falle eines Ausfalls schnell wiederhergestellt werden können. Eine IAM-Software unterstützt dabei mit ihrer Funktion zur Automatisierung und Überwachung dieser Prozesse.

Grundsatz 7- Sicherstellung der operationellen Resilienz (Rz 101-111)

Die Umsetzung von Grundsatz 7 des FINMA Rundschreibens 2023/1 zum Thema operationelle Resilienz erfordert von den Finanzinstituten die Identifikation ihrer kritischen, systemrelevanten Prozesse. Dabei ist es von entscheidender Bedeutung, dass das Risikomanagement effektiv koordiniert wird und das Management der operationellen Risiken, IKT/Cyberrisiken, das Business Continuity Management (BCM), das Management der Auslagerungen und die Notfallplanung gut miteinander verzahnt sind. Das BCM soll sämtliche kritischen Prozesse im Zusammenhang mit der Geschäftserbringung erfassen. Im Rahmen der operationellen Resilienz liegt der Fokus jedoch auf den systemrelevanten Funktionen. Die FINMA gewährt den Finanzinstituten eine Übergangsfrist von zwei Jahren, um die operationelle Resilienz zu erreichen. Bereits nach einem Jahr sollte jedoch die Identifikation der kritischen Funktionen abgeschlossen sein.

Die FINMA definiert operationelle Resilienz im Rundschreiben als "die Fähigkeit eines Instituts, seine kritischen Funktionen bei Unterbrechungen innerhalb der Unterbrechungstoleranz wiederherstellen zu können". Um diese Fähigkeit zu gewährleisten, bietet der Einsatz einer IAM-Software eine wertvolle Hilfestellung. Diese ermöglicht es Finanzinstituten, die Identität und den Zugriff ihrer Benutzer auch im Impact (Katastrophenfall) oder im Eintritt eines Risikos effektiv zu verwalten. Durch die Definition von Rollen und Berechtigungen können kritische Funktionen klar definiert und Zugriffe entsprechend gesteuert werden. Dies reduziert das Risiko unbefugter Zugriffe, erhöht die Transparenz der Zugriffsrechte und minimiert potenzielle Schwachstellen. Ebenfalls bietet die IAM-Software eine einheitliche und effiziente Neugestaltung von Berechtigungsstrukturen im Falle einer notwendigen Neueinführung / Neuaufstellung von Anwendungen/Applikationen.

Darüber hinaus bietet eine IAM-Software eine zentrale Plattform zur Überwachung und Protokollierung von Zugriffsaktivitäten. Dies ermöglicht eine lückenlose Nachverfolgbarkeit und erleichtert die Identifikation von Sicherheitsverletzungen oder verdächtigen Aktivitäten. Durch die Integration von automatisierten Workflows und Prozessen können zudem Notfallmassnahmen schneller und effizienter umgesetzt werden.

Die IAM-Software kann auch als Grundlage für das BCM dienen, indem sie bei der Identifikation und Priorisierung der kritischen Funktionen unterstützt. Durch die Automatisierung von Zugriffsprozessen und die Bereitstellung von Echtzeitdaten können Risiken frühzeitig erkannt und Gegenmassnahmen rechtzeitig eingeleitet werden.

Die FINMA räumt den Finanzinstituten zwei Jahre ein, um die operationelle Resilienz zu erreichen. Die Implementierung einer IAM-Software kann dabei als strategischer Schritt betrachtet werden, um die Vorgaben der FINMA zu erfüllen und gleichzeitig die Sicherheit und Effizienz der Geschäftsprozesse zu verbessern. Durch die klare Identifikation der kritischen Funktionen, die effektive Verwaltung von Benutzeridentitäten und Zugriffsrechten sowie die schnelle Umsetzung von Notfallmassnahmen können Finanzinstitute ihre operationelle Widerstandsfähigkeit erhöhen und sich erfolgreich den Herausforderungen der digitalen Transformation stellen.

Grundsatz 8 – Weiterführung von kritischen Dienstleistungen bei der Abwicklung und Sanierung von systemrelevanten Banken (Rz 112)

Der Grundsatz 8 bleibt im Vergleich zum vorherigen Rundschreiben weitgehend unverändert. Er besagt, dass systemrelevante Banken sicherstellen müssen, dass ihre kritischen Dienstleistungen auch während einer Abwicklung oder Sanierung aufrechterhalten werden können. Dies gewährleistet die finanzielle Stabilität des Gesamtsystems. Eine IAM-Software ermöglicht eine effiziente Verwaltung der Benutzeridentitäten und -berechtigungen innerhalb der Bank. Durch die klare Zuweisung von Berechtigungen und Rollen können die kritischen Dienstleistungen auch im Falle einer Abwicklung oder Sanierung, auch im Hinblick anreihender Personalveränderungen uneingeschränkt fortgeführt werden. Genau diese Gewährleistung der Kontinuität bei der Ausführung der kritischen Dienstleistungen kann durch eine IAM-Software und durch ein umfassendes Identitäts- und Berechtigungsmanagement unterstützt werden. Durch die zentrale Verwaltung der Benutzeridentitäten können berechtigte Mitarbeiter auch in turbulenten Zeiten die benötigten Systeme und Informationen aufrufen und somit die kritischen Dienstleistungen aufrechterhalten.

Die Compliance-Anforderungen werden durch eine IAM-Software erleichtert. Die Software ermöglicht eine einfache Verwaltung von Zugriffsrechten, sodass alle Mitarbeiter nur auf diejenigen Daten und Systeme zugreifen können, für die sie autorisiert sind. Dadurch werden potenzielle Risiken und Konflikte minimiert und die Einhaltung von gesetzlichen Bestimmungen sichergestellt. Zusätzlich kann eine IAM-Software auch den Zugriff auf sensible Daten und Systeme regulieren und kontrollieren. Dies hilft dabei, die Sicherheit und Vertraulichkeit während einer Abwicklung oder Sanierung zu gewährleisten. Durch die Überwachung und Protokollierung aller Zugriffe können verdächtige Aktivitäten frühzeitig erkannt und entsprechende Massnahmen ergriffen werden.

Gesamtfazit:

Das FINMA Rundschreiben 2023/1 stellt für Banken und Finanzinstitute eine bedeutende Herausforderung dar. Es legt hohe Anforderungen an die Sicherheit und den Schutz von sensiblen Daten fest. In Anbetracht der verschiedenen Regelungen und Anforderungen ist es für die Unternehmen wichtig, geeignete Lösungswege zu finden, um den Anforderungen gerecht zu werden. Die Nutzung einer Identity- und Accessmanagement Software (IAM) kann nachhaltig die verschiedenen Rollen im Unternehmen, darunter das Risikomanagement, der Chief Information Security Officer (CISO), der Business Continuity Manager, die Geschäftsleitung, der Aufsichts-/Verwaltungsrat und allem voran, das Berechtigungsmanagement, effizient und effektiv unterstützen.

Durch die Implementierung einer IAM-Software können Banken und Finanzinstitute die Anforderungen des FINMA Rundschreibens einfacher und effizienter erfüllen. Die Lösungen bieten eine umfangreiche Palette von Funktionen, wie zum Beispiel die automatische Erstellung und Verwaltung von Benutzerkonten, die Kontrolle von Zugriffsrechten, die Überprüfung von Identitäten und die Protokollierung von Zugriffsvorgängen. Durch den Einsatz einer solchen Software können Banken und Finanzinstitute ihre Sicherheitsprozesse optimieren und den Schutz ihrer sensiblen Daten verbessern. Daher ist es ratsam, eine IAM-Software in Betracht zu ziehen, um den neuen Herausforderungen gerecht zu werden.


Sprechen Sie uns an!

Die IPG geht gerne mit Ihnen die Herausforderungen an und hilft Ihnen, Ihre Unternehmensumgebung FINMAS-RS 2023/1-ready zu machen.

Autor

Foto Ulrich Borschenried_Business Consulting IPG
Ulrich Boschenrieder
Senior Business ConsultantIPG Information Process Group AGKontakt