Täglich werden tausende Transaktionen, Kreditanträge und interne Verarbeitungsschritte durchgeführt. Schon kleine Fehler in der Kompetenz- / Berechtigungsvergabe oder – viel schlimmer – bewusste Manipulationen können gravierende Folgen haben. Von finanziellen Schäden über Reputationsverluste bis hin zu aufsichtsrechtlichen Konsequenzen. Ein zentrales Prinzip, um solche Risiken einzudämmen, ist die Funktionstrennung (Segregation of Duties – SoD). Sie sorgt dafür, dass kritische Aufgaben nicht von einer einzelnen Person allein ausgeführt werden können. So wird verhindert, dass jemand etwa gleichzeitig einen Kredit anlegt, genehmigt und auszahlt oder im Zahlungsverkehr unkontrollierte Buchungen durchführt. Das senkt das Risiko sowohl vorsätzlicher Manipulation als auch unbeabsichtigter Fehler und stellt sicher, dass Sparkassen ihre besonderen Anforderungen an Sicherheit und Compliance nachhaltig erfüllen. So weit, so klar. Doch wo genau liegen die größten Herausforderungen?

Unklare Rollen- und Verantwortlichkeitsmodelle

Eines der zentralen Probleme liegt in unklaren oder zum Teil veralteten Rollen- und Verantwortlichkeitsmodellen. In der Praxis werden (oder wurden) Berechtigungen häufig auf Zuruf vergeben: Ein Mitarbeiter benötigt kurzfristig Zugang zu einem System oder einer Funktion, und dieser wird ohne Rücksprache und Abgleich mit bestehenden Rollenkonzept gewährt. Mit der Zeit führt dieses Vorgehen zu einem Berechtigungswildwuchs, bei dem kaum noch nachvollziehbar ist, wer eigentlich welche Zugriffsrechte besitzt und aus welchem Grund. Besonders kritisch wird es, wenn Mitarbeitende über Jahre hinweg verschiedene Funktionen ansammeln, die einzeln betrachtet unproblematisch erscheinen, in Kombination jedoch erhebliche SoD-Konflikte darstellen können. Ohne ein belastbares Soll-Rollenkonzept bleibt Transparenz die Ausnahme – mit entsprechend erhöhtem Risiko und Aufwand in (Verbands-) Prüfungen.

Ein weiteres Hindernis liegt in der lückenhaften Abstimmung zwischen Fachbereichen und Orga / IT. Während die Orga-Abteilung die Vergabe von Berechtigungen häufig aus einer technischen Perspektive betrachtet, haben die Fachbereiche die Geschäftsprozesse und deren Risiken im Blick. Kommt es hier nicht zu einer kontinuierlichen Abstimmung, entstehen Lücken in der Umsetzung der Funktionstrennung. Ein Berechtigungsprofil, das aus Sicht der (IT-) Administratoren unproblematisch ist, kann aus Sicht des Fachbereichs einen erheblichen Interessenkonflikt oder ein Kontrollrisiko darstellen. Gerade in Sparkassen, in denen Standardplattformen wie OSPlus über Schnittstellen mit weiteren Anwendungen verzahnt sind, ist es entscheidend, beide Sichtweisen systematisch zusammenzuführen und Konflikte auf Prozess- statt nur auf Systemebene zu bewerten.

Klare Soll-Rollen definieren / automatisierte SoD-Prüfung nutzen

Der erste und wichtigste Schritt für eine wirksame Funktionstrennung ist die Einführung eines klaren und verbindlichen Soll-Rollenkonzepts. Wird es vollumfänglich aufgesetzt, beschreibt ein solches, welche Rollen in den verschiedenen Systemen und Fachbereichen vorhanden sein sollen (oder sind), welche Geschäftsprozesse und Berechtigungen mit diesen Rollen verbunden sind und – besonders wichtig – welche Rollen auf keinen Fall miteinander kombiniert werden dürfen. Ergänzt mit „geregelten“ Ausnahmen sowie entsprechend konkret benannten Verantwortlichkeiten, entsteht so Stück für Stück ein strukturiertes Fundament, auf dem jede weitere Maßnahme aufbaut und die Grundlage für die technische Umsetzung bildet.

Ist diese konzeptionelle (und technische) Basis einmal gelegt, steht auch der Nutzung der automatisierten SoD-Prüfung nichts mehr um Wege. Durch OSPlus haben die Sparkassen ein umfangreiches „Angebot“, das sie bei der Einhaltung der Funktionstrennungsanforderungen unterstützt. Sei es durch eine präventive Prüfung, beispielsweise im Rahmen von neuen Berechtigungsvergaben über das Auftrags- und Benachrichtigungssystem (ABS), oder der regelmäßig durchgeführten Bestandsprüfung – entstehende oder vorhandene SoD-Konflikte werden vom System erkannt und können entsprechend bewertet und dokumentiert werden.

Bewusstsein schaffen

Die Funktionstrennung darf jedoch nicht ausschließlich als technisches oder regulatorisches Thema verstanden werden. Entscheidend ist, dass alle Mitarbeitenden, die mit Berechtigungen, Prozessen oder Genehmigungen in Berührung kommen, die Grundprinzipien verstehen. Nur wenn das Bewusstsein für Risiken und Zusammenhänge geschärft ist, können Regeln konsequent umgesetzt werden. Auch können sich Prozesse, Verantwortlichkeiten oder Aufgabenbereich ändern – insofern darf in diesem Zusammenhang auch die regelmäßige Rezertifizierung von Berechtigungen nicht außer Acht gelassen werden.

Fazit

Funktionstrennung ist im Bankensektor weit mehr als eine regulatorische Pflicht – sie ist ein zentrales Sicherheitsprinzip. Die größten Hürden liegen in unklaren Rollenmodellen, fehlender Verzahnung, hohem manuellem Prüfaufwand und unzureichend geregelten Ausnahmen. Mit einem klaren Rollenkonzept, automatisierten Prüfungen und regelmäßiger Rezertifizierung lassen sich Risiken deutlich reduzieren. Das Ergebnis: mehr Sicherheit, mehr Effizienz – und mehr Vertrauen.

Sie stehen ebenfalls vor der Herausforderung der Einführung bzw. Nutzung der Funktionstrennung? Dann sprechen Sie uns gerne an!

Telefon: +49 6201 46 93 700
E-Mail: kontakt@fortschritt-gmbh.de