(openPR) Die unsichtbare Schwachstelle: Warum Banken beim Identity & Access Management (IAM) immer noch Probleme haben
Kaum ein Bereich ist für die IT-Sicherheit so entscheidend und gleichzeitig so anfällig wie das Identity & Access Management (IAM). In nahezu jeder aktuellen Aufsichtsprüfung stoßen Prüfer auf dieselben, immer wiederkehrenden Schwachstellen: fehlerhafte Rechtevergaben, unklare Zuständigkeiten, unvollständige Rezertifizierungen und mangelhafte Dokumentation. Das Ergebnis sind gefährliche Sicherheitslücken, die sich unbemerkt durch alle Systeme ziehen – vom Kernbankverfahren bis zur Cloud.
Dabei ist das Prinzip klar: Nur wer eine Aufgabe tatsächlich erfüllen muss, soll Zugriff auf die dafür nötigen Systeme und Daten haben – das sogenannte Need-to-know- oder Least-Privilege-Prinzip. Doch die Realität sieht anders aus. In vielen Häusern werden Rechte noch „auf Zuruf“ vergeben, weil Prozesse unklar, Fachbereiche überlastet oder Systeme nicht integriert sind. Alte Benutzerkonten bleiben aktiv, Berechtigungen werden zu selten überprüft, und Administratorrechte werden großzügiger verteilt, als es jeder Prüfer jemals akzeptieren würde.
Besonders kritisch wird es, wenn Institute mehrere IT-Systeme parallel betreiben. Ohne zentrale Nutzerverwaltung bleibt der Überblick über Identitäten und Berechtigungen eine Illusion. Rezertifizierungen – also die regelmäßige Überprüfung, ob bestehende Zugriffe noch gerechtfertigt sind – verlaufen oft oberflächlich oder gar nicht. Führungskräfte bestätigen per Klick Berechtigungen, deren Sinn und Notwendigkeit sie längst nicht mehr nachvollziehen können. Spätestens hier wird aus Nachlässigkeit ein strukturelles Risiko: Zugriffe auf sensible Daten bleiben bestehen, auch wenn Mitarbeitende längst andere Aufgaben haben oder das Unternehmen verlassen haben.
Das Online-Seminar „IKT Spezial: Identity & Access Management (IAM)“ am 8. Dezember 2025 greift genau diese Problematik auf und zeigt, wie Banken ihr Berechtigungsmanagement organisatorisch und technisch in den Griff bekommen.
Drei ausgewiesene Experten beleuchten das Thema aus unterschiedlichen Perspektiven:
Tina Hausknecht (Bundesbank) bringt die Prüfersicht ein, Stephan Wirth (NRW.BANK) vermittelt die praktische Umsetzung in der Bankorganisation, und Markus Duda (ReDworks) zeigt technische Best-Practice-Ansätze und Erfahrungen aus IAM-Projekten für die Rezertifizierung und Dokumentation.
Tina Hausknecht verdeutlicht, wie tief die Aufsicht inzwischen in die Prozesse eingreift: Sie erklärt, welche Anforderungen sich aus MaRisk AT 4.3.1 und AT 7.2 ergeben, wie Funktionstrennungen organisatorisch sichergestellt werden müssen und warum das Vier-Augen-Prinzip allein nicht mehr ausreicht. Sie zeigt auf, wo Prüfer die größten Sicherheitslücken finden – etwa bei privilegierten Nutzern oder fehlender Überwachung technischer Konten – und welche Konsequenzen mangelhafte Berechtigungskontrollen nach sich ziehen können.
Stephan Wirth führt anschließend in die Praxis: Wie lässt sich eine funktionsbezogene Rechtevergabe aufbauen, die sowohl effizient als auch prüfungssicher ist? Welche organisatorischen Schnittstellen zwischen Fachbereichen, IT und Informationssicherheit sind notwendig, um Anträge auf „Zuruf“ zu verhindern? Und wie kann eine unternehmensweite Sicht auf Identitäten und Rollen geschaffen werden, um Redundanzen zu vermeiden? Seine Ansätze zeigen, dass IAM kein reines IT-Thema ist, sondern ein Governance-Kernprozess – mit direkter Relevanz für Informationssicherheit, Compliance und Datenschutz.
Markus Duda schließlich bringt den Blick aus der Projekt- und Umsetzungspraxis: Er erklärt, wie sich verschiedene IT-Systeme in eine zentrale Nutzerverwaltung integrieren lassen, welche Tools und Automatisierungen eine effiziente Rezertifizierung ermöglichen und wie Institute dabei Datenschutz- und Dokumentationspflichten erfüllen können. Besonders wertvoll sind seine Hinweise zum Umgang mit privilegierten Zugängen, deren Überwachung und Echtzeitprotokollierung zu den anspruchsvollsten Aufgaben im IAM gehört.
Das Seminar liefert den Teilnehmenden konkrete Lösungen: von Checklisten zur Rechtevergabe über Vorlagen für Rezertifizierungsprozesse bis hin zu Konzepten für ein prüfungssicheres Rollenmodell. Die Referenten zeigen praxisnah, wie Institute Risiken durch falsche oder überfällige Berechtigungen vermeiden, Verantwortlichkeiten klar definieren und ein Identity-Management etablieren, das nicht nur formal, sondern tatsächlich funktioniert.
Die Botschaft ist eindeutig: Schwächen im Berechtigungsmanagement sind kein Detailproblem, sondern ein massives Sicherheits- und Reputationsrisiko. Wer nicht weiß, wer worauf Zugriff hat, verliert die Kontrolle über die eigenen Daten – und riskiert empfindliche Feststellungen bei der nächsten Aufsichtsprüfung. Dieses Seminar bietet die Gelegenheit, die IAM-Prozesse im eigenen Haus auf den Prüfstand zu stellen – bevor es die Aufsicht tut.
Weitere Informationen und Anmeldung unter:
https://www.akademie-heidelberg.de/seminar/ikt-spezial-identity-access-management
