DORA                                                              macht IAM                                                        zur Vorstandssache

Die Digitale Betriebs Resilienz-Verordnung (Digital Operational Resilience Act, DORA) ist eine Regelung der Europäischen Union mit dem Ziel, die betriebliche Widerstandsfähigkeit des europäischen Finanzsektors zu stärken. Ihr Zweck besteht darin, Finanzinstitute zu befähigen, ihren Schutz vor Cyberbedrohungen, IT-Zwischenfällen und betrieblichen Risiken zu verbessern und ihnen zu ermöglichen, im Notfall schnell wieder handlungsfähig zu sein.

Die Einführung von DORA hatte nicht nur präventiven Charakter, sondern war eine Reaktion auf die zunehmende Abhängigkeit von digitalen Technologien im Finanzwesen, die eine proaktive Risikominderung notwendig macht. Da Cyberangriffe den Finanzsektor anhaltend ins Visier nehmen, gewinnt das Risikomanagement zunehmend an Bedeutung. DORA verpflichtet somit Finanzunternehmen zur Einführung eines strukturierten IKT-Risikomanagements, das Identitäten, Zugriffe, Systeme und Drittanbieter gleichermaßen umfasst.

Tag für Tag verarbeiten Finanzinstitute beträchtliche Mengen an sensiblen und vertraulichen Daten, darunter personenbezogene Finanzinformationen, Kontodaten und Sozialversicherungsnummern, um nur einige Beispiele zu nennen. Es ist längst kein Geheimnis mehr, dass dies sie zu attraktiven Zielen für Cyberkriminelle macht. Während einige Organisationen bereits verschiedene Maßnahmen zur Cybersecurity umgesetzt haben, trifft dies bei weitem noch nicht auf alle zu. 

Die DORA-Verordnung gilt für mehr als 22.000 Finanzinstitute und IKT-Dienstleister, die innerhalb der EU tätig sind, sowie für die IKT-Infrastruktur, die sie von außerhalb der EU unterstützt. Die Verordnung führt spezifische und präskriptive Anforderungen für alle Teilnehmer am Finanzmarkt ein, einschließlich:

• Banken
• Zahlungsdienstleister
• Versicherungen
• Kreditinstitute
• Zahlungsinstitute
• Kontoinformationsdienstleister
• E-Geld-Institute
• Wertpapierfirmen
• Anbieter von Krypto-Vermögenswerten
• Datenmeldedienstleister und Cloud-Dienstleister

Die DORA verpflichtet Finanzdienstleister fünf Hauptaspekte umzusetzen:

1. IKT-Risikomanagement: DORA schreibt umfassende Rahmenwerke für das IKT-Risikomanagement vor, die sich an internationalen Standards ausrichten. Dies erfordert Strategien zur digitalen Resilienz, Risikokennzahlen und Kommunikationspläne für den Fall von Vorfällen.
    
2. Berichterstattung von Vorfällen: Organisationen müssen IKT-Vorfälle klassifizieren und melden. Umfassende Systeme ermöglichen die Analyse, die Behandlung der Hauptursachen und die Vorbeugung von Wiederholungen.
    
3. Prüfung der digitalen operativen Resilienz: Regelmäßige unabhängige Tests bewerten die Abwehrmaßnahmen gegen IKT-Sicherheitsvorfälle anhand verschiedener Beurteilungen und Szenarien.
    
4. Risikomanagement für IKT-Drittanbieter: Institutionen, die mit Drittanbieter-IKT-Diensten zusammenarbeiten, benötigen Strategien zur Bewältigung der damit verbundenen Risiken, inklusive Maßnahmen zur Vertragsbeendigung bei Bedarf.
    
5. Informationsaustausch: DORA ermöglicht den Austausch relevanter Informationen über IKT-Risiken zwischen vertrauenswürdigen Finanzgemeinschaften, um die Widerstandsfähigkeit zu stärken und Risiken zu mindern.

Am 16. Januar 2023 trat die endgültige Fassung der DORA-Verordnung in Kraft. Für die Umsetzung wurde eine Frist von 24 Monaten festgelegt. Die betroffenen Finanzunternehmen müssen die erforderlichen Maßnahmen bis zum 17. Januar 2025 umsetzen, an diesem Datum wurden BAIT und VAIT ausser Kraft gesetzt.

Jetzt, da die Verordnung in Kraft getreten ist, haben die zuständigen Aufsichtsbehörden die Möglichkeit, technische Regulierungsstandards (Regulatory Technical Standards, RTS) zu erarbeiten. Obwohl der anfängliche Zeitrahmen großzügig erscheinen mag, sollten Finanzunternehmen nicht zu lange zögern, die Richtlinie umzusetzen, und stattdessen rasch Schritte zur Erfüllung der Vorgaben unternehmen.

Bedrohungsakteure nutzen Schwachstellen und unzureichend verwaltete Identitäten, um Unternehmen zu stören, Daten zu stehlen oder Erpressungen durchzuführen. Diese Angriffe betreffen nicht nur das Unternehmen selbst, sondern auch Kunden, Stakeholder und den Finanzmarkt insgesamt.

Identitätsbasierte Cyberangriffe, die hauptsächlich auf kompromittierte Benutzerzugangsdaten abzielen, sind gängige Methoden von Cyberkriminellen, da Identitäten der effektivste Weg sind, um die IT-Infrastruktur zu kontrollieren. Um DORA-konform zu sein, müssen Finanzorganisationen alle Vereinbarungen im Zusammenhang mit dem DORA-Risikomanagement definieren, genehmigen, überwachen und verantworten. Hier spielt IAM eine zentrale Rolle.

IAM (Identity & Access Management) ist eine Sicherheitsdisziplin, die in kritische Geschäftsprozesse integriert wird, um sicherzustellen, dass nur berechtigte Personen zum richtigen Zeitpunkt auf die richtigen Informationen zugreifen können. Dies gilt für Mitarbeitende, Kunden (oft als Customer Identity Access Management oder CIAM bezeichnet) und Lieferanten. Dieses Zugangsmanagement kann auf Abteilungs- und individueller Rollenebene nach RBAC eingerichtet werden, um den Zugriff auf Daten und Systeme an die jeweiligen Aufgaben anzupassen.

Mit zunehmender Nutzung von Software-as-a-Service und Cloud-Infrastrukturen wird die IT- und Identitätslandschaft komplexer. Zur Einhaltung von DORA und anderen Datenschutzbestimmungen benötigen Unternehmen klare Einblicke, wie menschliche und maschinelle Identitäten auf geschützte Daten zugreifen. Dank DORA rückt die IKT-Widerstandsfähigkeit in den Fokus der EU-Finanzdienstleister, und IAM ist eine zentrale Disziplin zur Unterstützung der Compliance.

DORA fordert eine nachweisbare Kontrolle über Identitäten, Zugriffe und Drittparteien. Das klassische „Trust but verify“-Modell reicht dafür nicht mehr aus. Zero Trust etabliert das Prinzip „Never trust, always verify“ und macht jede Zugriffsanfrage kontextabhängig überprüfbar. Damit wird Zero Trust zur architektonischen Grundlage für ein DORA-konformes Identity & Access Management.

Fehlende Transparenz über Berechtigungen erhöht das Risiko interner und externer Sicherheitsvorfälle erheblich. Neben privilegierten Konten sind auch reguläre Mitarbeiter-Accounts kritisch, wenn Rollen, Verantwortlichkeiten und Zugriffe nicht konsequent gesteuert werden. Ohne strukturierte Joiner-Mover-Leaver-Prozesse, regelmäßige Rezertifizierungen und eine saubere Rollendefinition entstehen systematische Compliance-Lücken. Ein ganzheitliches Workforce IAM reduziert Überprivilegierung, schafft revisionssichere Nachvollziehbarkeit und schützt vor Sanktionen sowie Reputationsschäden.

Privilegierte Konten stellen ein besonders hohes Risiko dar, da sie weitreichende administrative Rechte besitzen. Privileged Access Management (PAM) als Teil von IAM kontrolliert, überwacht und protokolliert diese Zugriffe gezielt. Durch Sitzungsaufzeichnung, Just-in-Time-Berechtigungen und starke Authentifizierung werden Missbrauch und Seitwärtsbewegungen im Netzwerk wirksam begrenzt. Im Kontext von DORA erhöht PAM die Kontrolltiefe bei besonders kritischen IKT-Funktionen.

Der Einsatz von Künstlicher Intelligenz in Finanzinstituten unterliegt den Anforderungen des IKT-Risikomanagements nach DORA. Die BaFin konkretisiert in ihrer Orientierungshilfe zu IKT-Risiken, dass Institute auch komplexe, datengetriebene Systeme wie KI-Anwendungen in ihre Risikoanalyse, Kontrollmechanismen und Governance-Strukturen integrieren müssen, BaFin, Orientierungshilfe zu IKT-Risiken, 18. Dezember 2025. Dazu zählen Transparenz über Datenquellen, Zugriffskontrollen, Modellüberwachung und klare Verantwortlichkeiten. Für IAM bedeutet das, dass auch KI-gestützte Prozesse in eine revisionssichere Identitäts- und Berechtigungsarchitektur eingebunden sein müssen.

Mit DORA wird Identity & Access Management zur Frage der organisatorischen Haftung und regulatorischen Verantwortung. Unzureichend kontrollierte Identitäten, überprivilegierte Zugriffe oder fehlende Governance gelten nicht mehr als reine IT-Schwächen, sondern als Managementversagen im IKT-Risikomanagement. Geschäftsleitung und Aufsichtsgremien stehen in der Pflicht, digitale Resilienz strukturell sicherzustellen und nachweisbar zu dokumentieren. IAM wird damit zum haftungsrelevanten Steuerungsinstrument, das operative Sicherheit, regulatorische Compliance und strategische Risikominimierung verbindet.

Bei IPG stehen unsere Experten zur Verfügung, um sowohl bei der Klärung der neuen Anforderungen von DORA zu unterstützen als auch bei der Umsetzung von IAM, um diese Anforderungen zu erfüllen. Wir können bei der Entwicklung einer IAM-Strategie und eines Betriebsmodells helfen, Identitätsanalysen, das Management des Identitätslebenszyklus, Zugriffsrechteverwaltung und mehr. Besonders beliebt ist ebenfalls das IAM 360° Assessment der IPG. Am wichtigsten ist, dass wir dazu beitragen, die IKT-Widerstandsfähigkeit zu stärken, um das Geschäft, die Kunden und den Finanzmarkt zu unterstützen.