Ausgangssituation

Die technisch-organisatorischen Anforderungen aus der MaRisk AT 7.2 der BaFin auf der einen Seite standen den gewachsenen, technikorientierten Berechtigungsstrukturen mit systemindividuellen, schwer nachvollziehbaren und aufwendigen Berechtigungsvergaben und -kontrollen auf der anderen Seite gegenüber. Ziel des Kunden war, die technisch-organisatorischen Anforderungen aus der MaRisk AT 7.2 umzusetzen und die Einhaltung dauerhaft sicherzustellen.

Aufgabenstellung

Die Aufgabe von MAYERL & HEINEMANN bestand darin, ein einheitliches, aufgaben- und rollenorientiertes Verfahren für die Vergabe, die Rezertifizierung und den Entzug von Rechten zu definieren und zu etablieren.

Vorgehensweise

Bei der Leistungserbringung wurde in folgenden Schritten vorgegangen:

• Analysieren bestehender Prozess-, Aufgaben-, Rollen- und Berechtigungsstrukturen
• (Re-)Designen der Rollen mit Aufgaben und Zugriffsberechtigungen auf Informationen
• Konkretisieren der Anforderungen an die Berechtigungsstrukturen und das Verfahren
• Konzipieren des aufgaben- und rollenorientierten Berechtigungsverfahrens
• Umsetzen in Stufen: zunächst Pilotierung in ausgewählten Produktivszenarien, dann schrittweises Überführen in den Breiteneinsatz

Ergebnisse

Ein einheitliches Verfahren für Zugriffsberechtigungen gemäß MaRisk AT 7.2 wurde definiert und etabliert. Nachvollziehbare Berechtigungsstrukturen wurden durch Zuordnung von Rechten zu Rollen geschaffen und ein Rollenmanagement zur Pflege der Berechtigungsstrukturen wurde in der Linie verankert. Des Weiteren wurden die Informationsverantwortlichen für die Genehmigung und Ablehnung von Berechtigungsanträgen besetzt und eine Systemlösung zur Unterstützung der Provisionierung/Deprovisionierung der Rechte sowie einer effizienten Kontrolldurchführung in die bestehende Systemlandschaft integriert.