BaFin setzt bei Compliance auf ML

Ein Artikel von Sebastian Drees, Versicherungsexperte bei ForgeRock | 04.03.2022 - 10:38

Im Sommer 2018 hat die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) die „Versicherungsaufsichtlichen Anforderungen an die IT“ (VAIT) veröffentlicht. Als Verwaltungsanweisungen liefern diese – ähnlich wie die „Bankaufsichtlichen Anforderungen an die IT“ (BAIT) für Banken – einen flexiblen und praxisnahen Rahmen für die sichere Ausgestaltung der IT-Systeme in deutschen Versicherungsunternehmen. So definieren die VAIT auch die Anforderungen an die IT-Governance sowie an das IT-Risikomanagement und fungieren damit als ein wesentlicher Baustein für die wirksame Aufsicht über die IT-Prozesse und -Ressourcen in der Versicherungsbranche.

Der BaFin Zwischenbericht (2020) erwähnt, dass bei allen bis dahin geprüften 16 Versicherungsunternehmen IT-Mängel festgestellt wurden. So konnte keiner der geprüften Versicherer die VAIT in vollem Umfang erfüllen. Schwerwiegende Schwachstellen wurden laut des Berichts insbesondere im Informationsrisiko- und Informationssicherheitsmanagement identifiziert. Teilweise verfügten die Unternehmen über keine ausreichenden internen Prozesse zur Erkennung, Bewertung und Steuerung von entsprechenden Risiken.

Zudem legten die Firmen den Schutzbedarf von Daten nicht präzise genug fest. Auch mangelte es an Automatismen zur schnellen Identifizierung von IT-Sicherheitsvorfällen, um rechtzeitig Gegenmaßnahmen einzuleiten. Zwar überwachten laut Feststellungen der BaFin die meisten Versicherungsunternehmen Betriebssysteme und Netzwerkaktivitäten automatisch, dennoch wurden andere wichtige Software-Anwendungen und Hardware-Komponenten nicht einbezogen, was zu einem Sicherheitsrisiko für die gesamte IT des Unternehmens führte. 

BaFin prüft Zugriffs- und Berechtigungsmanagement

Fotolia_Buffaloboy.jpg

©Buffaloboy - stock.adobe.com

Wie die festgestellten Mängel zeigen, sollten die Versicherer die IT-Prüfungen der BaFin zum Anlass nehmen, die VAIT weiter umzusetzen. Dies gilt insbesondere auch für das Berechtigungsmanagement. So müssen sich die Unternehmen weiterhin darauf einstellen, dass entsprechende Systeme zukünftig im Rahmen von Prüfungen systematisch im Detail untersucht werden. Hierfür geben die VAIT diverse Richtlinien vor: Beispielsweise sind toxische Berechtigungskombinationen zu vermeiden, d. h. Berechtigungskonzepte müssen Funktionstrennung wahren und Interessenskonflikte des Personals vermeiden. Darüber hinaus müssen nicht-personalisierte, technische Berechtigungen auf natürliche Personen rückgeführt werden.

Auch ist es erforderlich, Berechtigungen entsprechend dem jeweiligen Konzept unter Einbindung der verantwortlichen Stelle automatisiert zu entziehen. Zudem müssen die notwendigen technischen bzw. organisatorischen Maßnahmen umgesetzt werden. Dazu zählen angemessene Authentisierungsverfahren, die hinreichende Verschlüsselung von Daten sowie eine manipulationssichere Protokollierung. Dabei sind laut VAIT stets der aktuelle Stand der Technik sowie die derzeitige und zukünftige Entwicklung der Bedrohungslage zu berücksichtigen.

Viele Vorgaben lassen sich durch moderne Werkzeuge für Identity Management (IDM), Access Management und Identity Governance and Administration (IGA) wirksam abbilden und umsetzen. Darüber hinaus enthalten die VAIT aber auch Anforderungen, die über die Möglichkeiten herkömmlicher IDMs oder IGAs deutlich hinausgehen. 

Hierbei ist insbesondere an die Überwachung, Protokollierung und das Reporting hinsichtlich der Berechtigungsstrukturen zu denken. Diese Prozesse wurden in der Vergangenheit größtenteils rollenbasiert durchgeführt, was zu einigen Herausforderungen führte. So dürfen einem Mitarbeiter nur genau die Rechte zugewiesen werden, die er auch wirklich für seine Tätigkeiten benötigt. Dies beginnt beim Eintritt ins Unternehmen und reicht bis hin zu Änderungen von Berechtigungen aufgrund von Positionswechseln oder Akquisitionen. Die Zusammenfassung von Berechtigungen in einem Rollenmodell ist jedoch jederzeit möglich.

Regelmäßige Rezertifizierungen durchführen

Dabei sind in festgelegten Zeitabständen regelmäßige Rezertifizierungen vorzunehmen. So müssen wesentliche Berechtigungen mindestens jährlich, besonders kritische Berechtigungen alle sechs Monate und alle weiteren Arten im dreijährigen Turnus überprüft werden. Im Rahmen der Rezertifizierung wird dann kontrolliert, ob die eingeräumten Berechtigungen weiterhin benötigt werden und ob sie den Vorgaben des Berechtigungskonzepts entsprechen. Die Richtlinien der BaFin sind hier jedoch sehr vage und lassen viel Interpretationsspielraum zu. Bei traditionellen Ansätzen wie etwa dem manuellen „Role Mining“ dauert die Überprüfung in der Regel mehrere Monate, sodass zwangsläufig immer mit einer veralteten Datenbasis gearbeitet werden muss. Weiter verschärft wird diese Situation durch zahlreiche neue und wechselnde Applikationen sowie eine anhaltend hohe Mitarbeiterfluktuation, die erfahrungsgemäß bei zwei bis drei Prozent pro Jahr liegt.

Dazu kommt: Viele neue Identitätstypen wie Geräte, APIs, Anwendungen und Microservices erfordern weitere Methoden der Zugriffskontrolle und des Berechtigungsmanagements. Die althergebrachte rollenbasierte Zugriffskontrolle (Role-Based Access Control, RBAC) beruht weitestgehend auf manuellem Role Mining und Modeling. Sie kann mit den enormen Mengen an Daten und Identitäten nicht mehr mithalten. Dies kann zu überhöhten Zugriffsrechten, verwaisten Konten und einer schleichenden Ausweitung der Berechtigungen führen. Jeder unberechtigte Zugriffspunkt ist aber eine Schwachstelle, die das Versicherungsunternehmen für Fehler sowie Compliance-Risiken anfällig macht und hohe Bußgelder nach sich ziehen kann.

KI automatisiert Rollenmanagement

Um diese Herausforderungen adäquat zu adressieren, können Versicherer mittlerweile auf moderne Software-Tools zurückgreifen, die Machine-Learning-Algorithmen basieren. Dadurch lässt sich ein bislang manuelles Rollenmanagement im Rahmen traditioneller RBAC-Systeme automatisieren und um intelligente Funktionen erweitern. Dabei werden Identitätsdaten wie Attribute, Berechtigungen und Rollen mittels maschinellen Lernens unternehmensweit erfasst, analysiert und modelliert.

So lässt sich eine dynamische Übersicht über die Berechtigungen innerhalb des Versicherungsunternehmens erstellen. Anhand der Übersicht wird dann für jede Person die richtige Berechtigungsstufe zum jeweiligen Zeitpunkt ermittelt. Die Übersicht wird aktualisiert, sobald es Veränderungen im Unternehmen gibt oder Mitarbeiter ihre Teams und Rollen wechseln. So entsteht Transparenz über Datenzugriffe im gesamten Versicherungskonzern. Die unternehmensweit erfassten Daten dienen als Grundlage für die Erteilung und Kontrolle rollenbasierter Zugriffsrechte, sodass Access-Management sich dadurch deutlich effizienter und präziser gestalten lässt.

Darüber hinaus unterstützen ML-basierte RBAC-Systeme Versicherer bei der Umsetzung einer Zero-Trust-Architektur: So lassen sich typische Rollenzugriffsmuster im gesamten Unternehmen zuverlässig erkennen und analysieren sowie besonders risikoreiche Rollen und Rollenkombinationen identifizieren. Zudem ist es möglich, die Zusammensetzung von Rollen und Berechtigungen mit geringer, mittlerer und hoher Vertrauenswürdigkeit schnell zu verstehen. Überdies können hochwertige Rollen auf Basis vertrauenswürdiger Zugriffsmuster präzise definiert werden. Verschiedenste Risikokriterien lassen sich ohne Konsultation eines Data Scientist flexibel anpassen. Und nicht zuletzt ermöglichen die Lösungen, Rollenempfehlungen zu geben und die Sichtbarkeit von Auswirkungen der Rollenvergabe zu erhöhen.

Fazit

Versicherer müssen sich auf zunehmend strengere VAIT-Prüfungen durch die BaFin einstellen. Das gesamte Management von Identitäten, Zugriffen, Rollen und Berechtigungen ist davon betroffen. Durch den Einsatz eines ML-basierten RBAC-Systems werden Unternehmen unterstützt und können die Compliance der entsprechenden Prozesse gewährleisten.