GH GambleHub

Identitätsprüfung

1) Ziel und Ergebnis

Das Ziel: durch regelmäßige Überprüfung, wer welche Zugänge wo und warum hat, eine nachweisbare Übereinstimmung mit den Prinzipien des Zero Trust und der geringsten Privilegien zu gewährleisten.
Das Ergebnis: ein vollständiges und aktuelles Register von Identitäten und Rechten mit bestätigten Eigentümern, eliminierten „schwebenden“ Zugriffen, einer gestalteten Evidenzbasis für interne Kontrollen und Regulierungsbehörden.

2) Geltungsbereich

Interne Benutzer: Personal, Praktikanten, Führungskräfte, temporäre Rollen.
Auftragnehmer/Partner: Spielestudios, PSP/KYC/AML-Anbieter, Affiliates.
Service-Identitäten: Bots, CI/CD, Integrationen, API-Schlüssel und Token.
Privilegierte Rollen: Infrastruktur/DB-Admins, Zahlungen, Risiko, Handel.
Spieler (im Zusammenhang mit KYC): Korrektheit des Kontobündels ↔ KYC-Profil ↔ RG/AML-Status (Überprüfung der Prozesse, nicht des Inhalts von Dokumenten).

3) Begriffe und Grundsätze

Identität: ein einzigartiges Subjekt (Person/Service) mit Attributen.
Entitlement (Privileg): ein bestimmtes Recht/eine bestimmte Rolle für eine Ressource.
JML: Joiner → Mover → Leaver - Lebenszyklus der Identität.
SoD: Aufgabenteilung für Hochrisikobetriebe.
Least Privilege & Just-in-Time (JIT): Mindestrechte für eine begrenzte Zeit.
Accountability: Jede Identität hat einen Eigentümer, jedes Recht einen Business Case und eine Deadline.

4) Wahrheitsquellen und Datenmodell

HRIS/HR-System: primäre Quelle des Mitarbeiterstatus (hire/move/exit).
IdP/SSO: Single Point of Authentication (MFA/FIDO2), Föderation.
IAM/IGA: Verzeichnis der Rollen, Richtlinien und Rezertifizierungsprozesse.
CMDB/Servicekatalog: Eigentum an Systemen und Zugriffsschleifen.
Anbieterplattformen: PSP/KYC/CDN/WAF/Spieleanbieter sind externe Zugangsportale.
Модель: Identity → (belongs to) → Org Unit/Team → (has) → Roles → (expand via ABAC) → Entitlements → (apply) → Resources.

5) Kontrollen, die durch das Audit überprüft werden

1. SSO und MFA sind allgegenwärtig (ohne lokale Konten und geteilte Konten).
2. RBAC/ABAC/PBAC: Rechte werden durch Richtlinien beschrieben (Policy-as-Code), Rollen sind typisch und konsistent.
3. SoD: inkompatible Rollen und Ausnahmen werden formalisiert.
4. JIT/PAM: temporäre Erhöhungen mit Ticket, Sitzungsaufzeichnung und Auto-Recall.
5. Secrets/Keys: Gespeichert im Secrets Manager, mit Rotation und Lebensdauer.
6. Zeitschriften und Nachweisbarkeit: Tamper-Evident, zusammenhängende Verfolgung wer/was/wo/wann/warum.
7. Datenzugriff: PII-Maskierung, Export - nur per Workflow mit Verschlüsselung und TTL.

6) Auditprozess (Ende-zu-Ende)

1. Vorbereitung: Einfrieren eines Snapshots von Rechten (Entitlements Snapshot) auf Systemen; Entladen von IdP/IAM/Providern.
2. Normalisierung: Rollenzuordnung zum Verzeichnis, Deduplizierung, Gruppierung nach Ressourcenbesitzern.
3. Risikokategorisierung: P1/P2 (privilegiert und sensibel) → Prioritätsprüfung.
4. Rezertifizierung von Rechten: Systembesitzer bestätigen/verweigern Rechte (Access Review Kampagnen).
5. SoD-Check: Identifizierung von Inkompatibilitäten und temporären Ausnahmen (mit Ablaufdatum).
6. JML-Abgleich: Zuordnung von hire/move/exit zu den tatsächlichen Rechten (inkl. externer Portale).
7. Service-Accounts: Besitzer vorhanden, Token kurz lebend, kein „God-Scope“.
8. Evidenzbasis: Bildung eines Pakets von Artefakten (Berichte, Entladungen, Handlungen).
9. Remediation-Plan: Rückrufaktionen/Korrektur, Fristen und Verantwortliche.
10. Abschlussbericht: Risikostatus, Zyklus-KPIs, Lessons and Policy Improvements.

7) JML-Konturen (was wir tiefer prüfen)

Joiner: automatische Zuweisung von Basisrollen, Verbot manueller „Ergänzungen“ außerhalb des Katalogs.
Mover: Team-/Standortwechsel → automatischer Rollenwechsel, Widerruf alter Privilegien.
Leaver: Widerruf aller Rechte innerhalb von X Minuten/Stunden, Schließung der Mail/VPN/Portale der Anbieter, Deaktivierung von Schlüsseln und Token.

8) Externe Abhängigkeiten und Portale

PSP/KYC/AML/CDN/WAF/Spieleanbieter: Jedes Konto hat einen Besitzer, ein Ziel, eine Laufzeit, ein MFA, ein Verbot gemeinsamer Konten.
Vertragliche SoD/SLA: Dual-Control für P1-Transaktionen (Änderung des Zahlungsroutings, Bonuslimits usw.).
Regelmäßiger Abgleich: Register externer Portale ↔ Liste aktueller Nutzer ↔ Ergebnisse von Rezertifizierungen.

9) Besonderheiten der iGaming-Domain

Zahlungen & Risiko: einzelne Zweige des SoD; Änderungen der Limits/Routings; Prüfung manueller Anpassungen.
Trading/Quoten: Sandboxen für die Modellierung, einzelne Publishing-Rollen, schnelles Rollback; Änderungsprotokoll.
Responsible Gaming/KYC/PII: strenge Exportkontrolle, Maskierung in BI, SLA Verarbeitung von regulatorischen Anforderungen.
Affiliates und Streamer: eingeschränkte Portale mit Reporting-Möglichkeiten ohne PII-Zugang.

10) Richtlinien als Code (PaC)

Richtlinien im Repository (Rego/YAML), PR-Revue, Tests.
Dynamischer Kontext bei Allow/Deny-Lösungen: Umgebung (prod), Zeit, Ort, Kritikalität des Betriebs, KRI-Signale (z.B. Anstieg sensibler Aktionen).
Verbindliche Verknüpfung mit Ticket und Ziel bei JIT-Erhöhungen.

11) Zeitschriften und Nachweisbarkeit

Ereigniskette: Admin-Konsole/IdP → API → DB → externe Anbieter.
Tamper-evident: WORM/immutable-storage, Signatur-Aufzeichnungen, strenge TTL.
Suche und Antwort: SLA zur Beantwortung interner/externer Anfragen (Audit, Aufsichtsbehörde, Bank/Partner).

12) Metriken und KPIs/KRIs

KPI:
  • Anteil der bestätigten Rechte am Fälligkeitsdatum (Rezertifizierung),% der abgelaufenen Kampagnen.
  • Zeit von der Kündigung bis zum vollständigen Entzug der Rechte (MTTR-Leaver).
  • Anteil der JIT-Erhöhungen gegen dauerhafte Privilegien.
  • Die Anzahl der gelösten SoD-Konflikte pro Zyklus.
  • Vollständigkeit der beschichteten Systeme und externen Portale.
KRI:
  • Adhäsionen von sensiblen Aktionen (PII-Export, PSP-Änderungen).
  • Ungenutzte Rechte> N Tage.
  • Break-glass ohne Post-Audit.
  • Konten ohne Eigentümer/Zweck/Laufzeit.

13) Roadmap für die Umsetzung (8-12 Wochen)

Ned. 1-2: Bestandsaufnahme von Identitäten und Systemen (inkl. externer Portale), Rollenkatalog und SoD-Matrix.
Ned. 3-4: SSO/MFA-Verbindung überall, einheitliche Sammlung von Entitlements, erste Snapshot-Berichte.
Ned. 5-6: Starten von IGA-Re-Zertifizierungskampagnen (P1/P2 Priorität), automatischer Rückruf durch Leaver.
Ned. 7-8: JIT/PAM für Prod-Loops, Aufzeichnung von Sitzungen, Verbot von Shared-Accounts bei Anbietern.
Ned. 9-10: PaC: Formalisierung wichtiger Richtlinien (PII-Export, PSP-Routing, Releases), Einheitentests von Richtlinien.
Ned. 11-12: KPI/KRI Dashboards, Regelungen für Quartalszyklen, Reporting für Compliance/Regulatoren.

14) Artefaktmuster

Rollenkatalog: Rolle, Beschreibung, Mindestprivilegien, Besitzer, Anwendbarkeit (Tenant/Region/Umgebung).
Matrix-SoD: inkompatible Rollen/Vorgänge, Ausnahmen, Laufzeit und Ausnahmebesitzer.
Access Review Pack: Berechtigungsbestätigungsblatt, Kommentare, Ergebnis (approve/revoke/mitigate).
Service Account Register: Zweck, Besitzer, Lebensdauer, Scopes, Ort der Geheimhaltung, Rotationsplan.
External Portals Inventory: System, Kontakte, Benutzerliste, MFA, Datum der letzten Rezertifizierung.
Evidence Checklist: welche Uploads/Logs und in welchem Format für das Audit zu speichern.

15) Antipatterns

Gemeinsame Rechnungen und „admin forever“.
Manuelle Vergabe von Rechten unter Umgehung von IdP/IGA.
Keine SoD oder Zulassung von „vorübergehenden Ausnahmen“ ohne Ablaufdatum.
Service-Token ohne Rotation/Eigentümer.
Export der PII „per Brief“ ohne Workflow und Verschlüsselung.
Kein Audit externer Portale (PSP/KYC/Spieleanbieter).

16) Häufige Auditfunde und schnelle Korrektur

Hängende Zugriffe bei Entlassenen/Auftragnehmern: Auto-Feedback zu HR-Events (Leaver) ermöglichen.
Rollen mit redundanten Rechten: zerlegen in kleinere und binden ABAC-Attribute.
Shared Accounts bei Anbietern: Migration auf Personal + MFA, Vergabe temporärer Rollen für seltene Aufgaben.
Langlebige Geheimnisse: Umstellung auf kurzlebige Token/Zertifikate und geplante Rotation.

17) Vorfall-Management-Bündel

Jeder Vorfall mit der Zugriffskomponente → eine obligatorische Aktualisierung des Risikoregisters und der Richtlinien, eine punktuelle Rezertifizierung der betroffenen Rollen, ein Post-Mortem mit Aktionselementen (und Fristen).

Summe

Identitätsprüfung ist ein wiederholbarer, automatisierter Zyklus: ein vollständiges Register von Identitäten und Rechten → risikoorientierte Rezertifizierung → harte JML und JIT/PAM → Richtlinien als Code und nachweisbares Audit → Verbesserungen an den Ergebnissen des Zyklus. Diese Kontur reduziert die Wahrscheinlichkeit von Missbrauch und Fehlern, beschleunigt Untersuchungen, stärkt die Compliance und schützt die wichtigsten Geschäftsabläufe der iGaming-Plattform.

Contact

Kontakt aufnehmen

Kontaktieren Sie uns bei Fragen oder Support.Wir helfen Ihnen jederzeit gerne!

Integration starten

Email ist erforderlich. Telegram oder WhatsApp – optional.

Ihr Name optional
Email optional
Betreff optional
Nachricht optional
Telegram optional
@
Wenn Sie Telegram angeben – antworten wir zusätzlich dort.
WhatsApp optional
Format: +Ländercode und Nummer (z. B. +49XXXXXXXXX).

Mit dem Klicken des Buttons stimmen Sie der Datenverarbeitung zu.