Gesetzliche Vorgaben

Neben den allgemeinen Compliance-Vorschriften wie ISO27002 oder PCI-DSS, die insbesondere für Finanzdienstleister und Versicherungen bindend sind, gibt es auch gesetzliche Vorgaben, die für viele Branchen Gültigkeit haben. Mit diesen Vorgaben sollen eine strikte Vergabe und Kontrolle von IT-Berechtigungen in Unternehmen gewährleistet werden und damit dem Datenmissbrauch beziehungsweise -diebstahl entgegengewirkt werden.

Das Ergreifen solcher Maßnahmen ist somit aufgrund gesetzlicher und aufsichtsrechtlicher Richtlinien in Deutschland, Österreich und der Schweiz unverzichtbar. In zahlreichen internationalen Compliance-Vorgaben finden sich Regelungen für das Passwort-Management, aber auch in national gültigen Bestimmungen sind entsprechende Vorgaben für IT-Verantwortliche enthalten.

Bundesamt für Sicherheit in der Informationstechnik

In den Richtlinien des Bundesamts für Sicherheit in der Informationstechnik (BSI) finden sich konkrete Vorgaben zum Passwort-Management. In den IT-Grundschutz-Katalogen wird ausgeführt: „Der Passwortschutz eines IT-Systems soll gewährleisten, dass nur solche Benutzer einen Zugriff auf die Daten und IT-Anwendungen erhalten, die eine entsprechende Berechtigung nachweisen.“

Mehr dazu lesen Sie hier.

IT-Sicherheitsgesetz

Zu beachten ist auch das neue IT-Sicherheitsgesetz, das von zahlreichen Unternehmen verlangt, in Zukunft bessere Vorkehrungen gegen Hacker-Angriffe zu treffen, deren Ziel vielfach die privilegierten Benutzerkonten sind. Betreiber kritischer Infrastrukturen wie Energieversorger, Telekommunikationsdienstleister oder Unternehmen des Finanz-, Versicherungs- und Gesundheitswesens müssen künftig ihre Netzwerke nach Mindeststandards absichern, in regelmäßigen Audits nachweisen, dass sie dies tun, und Hackerangriffe an das BSI melden.

Mehr dazu lesen Sie hier.

Bundesdatenschutzgesetz

Das Bundesdatenschutzgesetz (BDSG: Anlage zu §9 Satz 1) beinhaltet eine klare Vorgabe, wie mit den Zugriffsberechtigungen auf Datenverarbeitungssystemen zu verfahren ist. Unternehmen müssen „gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle).“

Mehr dazu lesen Sie hier.

MaRisk und MaRisk (VA)

In den von der BaFin veröffentlichten MaRisk für Banken beziehungsweise MaRisk (VA) für Versicherungsunternehmen heißt es im Hinblick auf die technisch-organisatorische Ausstattung von Finanzinstituten und Versicherungsunternehmen, dass „bei der Ausgestaltung der IT-Systeme und der zugehörigen IT-Prozesse grundsätzlich auf gängige Standards abzustellen“ ist. Konkret verwiesen wird hier auf die Einhaltung der Standards IT-Grundschutz-Katalog des BSI und ISO/IEC 2700X. In den MaRisk für Banken finden sich zudem klare Vorgaben für die Vergabe und Kontrolle von Zugriffsrechten.

Mehr dazu lesen Sie hier: MaRisk und MaRisk (VA).

FINMA (CH)

Konkrete Vorgaben zum IT-Berechtigungsmanagement finden sich im „Rundschreiben 2008/21 Operationelle Risiken Banken“ der FINMA. Ende 2013 hat die FINMA hierzu eine „definitive Fassung des teilrevidierten Rundschreibens“ veröffentlicht. Verschärfte und zusätzliche Richtlinien betreffen hauptsächlich den Umgang mit elektronischen Kundendaten. Direkte Auswirkungen hat das auch auf die Verwaltung und Überwachung privilegierter Benutzerkonten.

Mehr dazu lesen Sie hier.

FMA (A)

Für österreichische Finanzinstitute ist der „Standard Compliance Code der österreichischen Kreditwirtschaft“ der FMA (Finanzmarktaufsicht) zu beachten. In den „Grundsätzen ordnungsmäßiger Compliance“ heißt es etwa: „Die Einhaltung aller compliancerelevanten Pflichten, die sich aus Gesetzen, regulatorischen Vorschriften oder über-/innerbetrieblichen Regelwerken ergeben, muss überwacht werden. Daher hat Compliance entsprechende Monitoringsysteme zu implementieren und deren Effizienz zu überprüfen.“

Mehr dazu lesen Sie hier.

SSAE 16, ISAE 3402 und PS 951

Als Nachweis, dass auch beim Outsourcing alle Anforderungen an das Risikomanagement und unternehmensinterne Kontrollsysteme erfüllt werden, haben sich auf internationaler Ebene die Prüfungsstandards SSAE 16 und ISAE 3402 bewährt. In Deutschland gibt es seit 2007 mit dem vom Institut der Wirtschaftsprüfer veröffentlichten Standard IDW PS 951 eine vergleichbare Richtlinie, die zusätzlich nationale Besonderheiten berücksichtigt.

Mehr dazu lesen Sie hier.