IBsolution Blog

DORA: Wie ein IAM-System die digitale Resilienz von Finanzunternehmen stärkt

Geschrieben von Simon Toepper | 26. November 2024

Der Digital Operational Resilience Act (DORA) ist eine Verordnung der Europäischen Union mit dem Ziel, die digitale operationale Resilienz von Unternehmen des Finanzsektors gegenüber Cyber-Angriffen zu stärken. Sie tritt am 17. Januar 2025 offiziell in Kraft. Finanzinstitutionen sollen dadurch in die Lage versetzt werden, ihre digitalen Dienstleistungen auch im Falle einer Cyber-Attacke durchgängig bereitzustellen und schnell auf Sicherheitsvorfälle zu reagieren. DORA definiert spezifische Anforderungen, die Unternehmen aus dem Finanzsektor erfüllen müssen, um ihre Informations- und Kommunikationstechnologie (IKT) widerstandsfähiger zu machen. Die Vorschriften umfassen das Risikomanagement, die Meldung von IKT-Vorfällen, Belastungstests, das Management von Risiken, die durch IKT-Drittanbieter entstehen, und den Informationsaustausch innerhalb der Branche.

 

 

Sie sind von DORA betroffen und benötigen kurzfristig Hilfe beim Thema IAM?

 

 

IAM regelt den Zugriff auf Systeme und Daten

Das Identity and Access Management (IAM) spielt eine entscheidende Rolle, wenn es um die Erfüllung der DORA-Bestimmungen geht. IAM ist ein Sammelbegriff für Prozesse und Technologien, die Unternehmen bei der Verwaltung digitaler Identitäten und deren Zugriffsanfragen unterstützen. Es lassen sich drei grundlegende Funktionen unterscheiden:

  • Identitätsmanagement und -verwaltung (Identity Governance & Administration, IGA)

  • Zugriffsverwaltung (Access Management, AM)

  • Zugriffsmanagement für Benutzer mit hohen Zugriffsrechten (Privileged Access Management, PAM)

 

Ein IAM-System stellt also sicher, dass nur autorisierte Personen Zugriff auf kritische Systeme und Daten haben. Die Zugriffe werden über Rollen und Berechtigungen geregelt. Ein sicherheitsstiftendes Prinzip in diesem Zusammenhang stellt die Multi-Faktor-Authentifizierung (MFA) dar. Darüber hinaus unterstützt das IAM bei der Einhaltung der DORA-Anforderungen in Bezug auf die Berichterstattung, indem detaillierte Protokolle über Zugriffsversuche und -aktivitäten erstellt werden.

 

Sicherheitslücken frühzeitig erkennen

Eine effektive Risikomanagement-Strategie ist unerlässlich, um den Regelungen der neuen EU-Richtlinie gerecht zu werden. Hierzu leisten IAM-Systeme einen wichtigen Beitrag. Die kontinuierliche Überwachung und Bewertung von Zugriffsrechten sorgt für ein besseres Management der IT-Risiken von Unternehmen. Umfassende Einblicke in alle Ebenen des Systemzugriffs ermöglichen es, potenzielle Sicherheitslücken frühzeitig zu erkennen und zu beheben. DORA verlangt von Finanzunternehmen, dass sie IKT-Vorfälle zeitnah melden und detaillierte Berichte über schwerwiegende Vorfälle bereitstellen.

 

Das IAM schafft auch die Voraussetzungen für die Verwaltung von Benutzerzugriffen über den gesamten Lebenszyklus hinweg. Im Rahmen dieses User Lifecycle Managements lassen sich die Zugriffsrechte entsprechend der Rolle und der Verantwortlichkeiten eines Mitarbeiters einfach anpassen – beispielsweise bei einer Beförderung. Ebenso wichtig ist es, die Berechtigungen beim Austritt aus dem Unternehmen zu entziehen. So wird verhindert, dass ehemalige Mitarbeiter weiterhin Zugang zu sensiblen Informationen haben und ein Sicherheitsrisiko darstellen.

 

Management des Drittanbieterrisikos

Eine der größten Herausforderungen für Unternehmen aus dem Finanzsektor ist das Management von Sicherheitsrisiken, die sich aus der Zusammenarbeit mit IKT-Drittparteien ergeben. DORA verlangt, dass Unternehmen sich von der digitalen Widerstandsfähigkeit ihrer Dienstleister überzeugen und die gleichen Standards anlegen wie bei den internen Systemen.

 

Diesbezüglich ermöglicht ein IAM-System Unternehmen, den Zugriff von Drittanbietern auf die eigenen Systeme und Daten zu steuern und zu überwachen. Durch die Implementierung von strengen Zugriffskontrollen und regelmäßigen Überprüfungen stellen sie sicher, dass Drittanbieter nur auf die Informationen zugreifen, die sie für ihre Arbeit benötigen.

 

Fazit: Wirksame IAM-Strategie als Sicherheitsfaktor

Eine wirksame IAM-Strategie leistet einen wertvollen Beitrag zur Erfüllung der DORA-Vorgaben. Mithilfe von IAM-Systemen machen Unternehmen ihre Systeme widerstandsfähiger gegen Cyber-Angriffe und gewährleisten betriebliche Kontinuität. Durch die automatisierte Verwaltung und Überwachung von Zugriffsrechten werden potenzielle Sicherheitslücken frühzeitig erkannt, sodass Unternehmen entsprechende Gegenmaßnahmen ergreifen können. So wird das Risiko für Sicherheitsverletzungen minimiert und sichergestellt, dass Unternehmen ihre Dienstleistungen auch bei einer Cyber-Attacke weiterhin erbringen.

 

Darüber hinaus unterstützt das IAM Unternehmen dabei, die Anforderungen von DORA in Bezug auf das Risikomanagement, die Berichterstattung von Vorfällen und das Management von Drittanbieterrisiken zu erfüllen. Durch die Bereitstellung detaillierter Berichte und Analysen hilft das IAM, die Sicherheitsprotokolle zu überwachen und zu verbessern. Daraus ergeben sich ein gestärktes Vertrauen von Kunden und Partnern sowie eine höhere Stabilität und Widerstandsfähigkeit des Unternehmens.