DORA: Was beim Identitäts- und Rechtemanagement jetzt wichtig ist
Seit dem 17. Januar 2025 gilt der Digital Operational Resilience Act (DORA), der die digitale Resilienz von Finanzunternehmen stärkt, verbindlich – und aus bisherigen aufsichtsrechtlichen Erwartungen (MaRisk, BAIT) sind gesetzliche Vorgaben geworden.
Besonders deutlich wird dies im Identitäts- und Rechtemanagement. Die relevanten Anforderungen finden sich in mehreren Artikeln der DORA sowie im Technischen Regulierungsstandard zur Festlegung der Tools, Methoden, Prozessen und Richtlinien für das IKT-Risikomanagement und des vereinfachten IKT-Risikomanagementrahmens (Delegierte Verordnung (EU) 2024/1774). Dort sind sie in Artikel 20 (Identitätsmanagement) und Artikel 21 (Zugangskontrolle) konkretisiert.
Die BaFin hat Anfang 2025 die entsprechenden Passagen in den MaRisk gestrichen und die BAIT quasi vollständig aufgehoben. Die Spielregeln kommen damit ausschließlich aus der DORA.
Worauf müssen Sie jetzt achten?
„Need-to-Use-Prinzip“
Berechtigungen dürfen nur vergeben werden, wenn sie tatsächlich für die jeweilige Aufgabe benötigt werden. Das klingt selbstverständlich – wird aber in der Praxis oft nicht konsequent umgesetzt.
Strengere Rezertifizierungsintervalle
Zugangs- und Zugriffsrechte müssen regelmäßig überprüft werden: halbjährlich für Systeme, die kritische oder wichtige Funktionen unterstützen, jährlich für alle übrigen Systeme. Das bedeutet: Rollen und Berechtigungen dürfen nicht mehr „einmal eingerichtet – nie wieder angefasst“ bleiben.
Klare, vollständige Berechtigungskonzepte
Ein häufiges Problem: Unternehmen verwechseln technische Sollrollenkonzepte mit einem vollständigen Berechtigungskonzept.
Ein technisches Rollenmodell allein erfüllt die regulatorischen Anforderungen nicht. Es bildet lediglich ab, was zuvor konzeptionell festgelegt wurde – ersetzt aber nicht das Konzept für die seitens des Instituts eingesetzten Anwendungen selbst.
Wie sieht ein vollständiges Berechtigungskonzept aus?
Ein wirksames und DORA-konformes Berechtigungskonzept besteht aus drei Ebenen:
- Informationssicherheitsrichtlinie
Sie bildet das Fundament. Hier werden die Grundsätze des Identitäts- und Rechtemanagements festgelegt – unabhängig von konkreten Anwendungen oder Systemen. - Übergreifendes/übergeordnetes Berechtigungskonzept
Es übersetzt die Grundsätze in operative Regeln. Dazu gehören u. a.• Grundsätze der Rechtevergabe
• Prozesse für Beantragung, Genehmigung und Umsetzung
• Umgang mit verschiedenen Benutzerarten (interne/externe User, technische User, Administratoren)
• Anforderungen an die Funktionstrennung
• Verantwortlichkeiten im gesamten Berechtigungsprozess
• Logik zur Bildung von Rollen und Profilen
• Verfahren zur regelmäßigen Überprüfung und RezertifizierungDieses Konzept gilt institutseinheitlich und bildet den Rahmen für alle Anwendungen und Standorte.
- Anwendungs- bzw. standortbezogene Berechtigungskonzepte
Hier wird es konkret. Für jede Anwendung, jedes System und jeden Standort muss beschrieben werden:Zugriffsrechte (IT-Anwendungen/IT-Systeme)
• Welche Benutzerarten existieren
• Wie Rechte vergeben werden (Einzelrechte, Profile)
• Welche Profile welchen Benutzerarten zugeordnet werden
• Welche toxischen Kombinationen es gibt und welche Funktionstrennungen einzuhalten sind
• Wer genehmigt, einrichtet und kontrolliert
• Wie die technische Administration erfolgtZutrittsrechte (Gebäude/Räume)
• Welche Zutrittsmedien genutzt werden
• Wie Ausgabe, Verwaltung und Rücknahme erfolgen
• Wer genehmigt einrichtet und kontrolliert
• Wie regelmäßig überprüft wird
• Welche Bereiche standortabhängig besonders geschützt werden müssen
Und wenn jetzt noch Fragezeichen bleiben?
Das Thema ist komplex – wenn Sie Unterstützung benötigen, sei es bei der Erstellung eines vollständigen Berechtigungskonzepts oder bei der Überprüfung Ihres bestehenden Konzepts im Rahmen eines Audits, sprechen Sie unser Team ETL consit gerne jederzeit an. Gemeinsam mit Ihnen sorgen wir dafür, dass Ihr Unternehmen die gesetzlichen und regulatorischen Anforderungen sicher erfüllt.
ETL consit ist ein Unternehmen der Gruppe ETL Prüfung & Beratung.
