Warum DORA die Rechterezertifizierung zur Priorität macht

Regulierung zwingt Unternehmen zu stärkeren Zugriffsprüfungen.

Abonnieren Sie den kostenlosen Bank Blog Newsletter

In einer Welt zunehmender Cyberbedrohungen brauchen Banken und Sparkassen mehr denn je digitale Resilienz. DORA setzt hier verbindliche Standards, um Finanzinstitute zu schützen. Ein starkes Identity & Access Management nimmt dabei eine Schlüsselrolle ein.

Identity & Access Management in Banken

DORA zwingt Finanzinstitute zu einem starken Identity & Access Management.

Partner des Bank Blogs

F24 ist Partner des Bank Blogs

Finanzinstitute müssen in Zeiten zunehmender Cyberangriffe und globaler Vernetzung IT-sicherer werden. Mit dem Digital Operational Resilience Act (DORA) etabliert die EU einheitliche und verbindliche Standards, um Banken und Sparkassen umfassend gegen IT-Sicherheitsrisiken und operative Störungen zu schützen.

Dabei ist die Implementierung eines intelligenten Identity & Access Managements unerlässlich. Es gewährleistet nicht nur die Integrität und Verfügbarkeit der Unternehmensressourcen, es minimiert auch existenzielle Risiken. Lückenhafte Kontrollen können zu Datendiebstahl und anderen Betrugsfällen führen. DORA fordert daher die strikte Überwachung von Berechtigungen, um nur autorisierten Personen Zugang zu Informationen und Gebäuden zu erlauben sowie regelmäßig Soll-Ist- und Soll-Soll-Vergleiche durchzuführen.

DORA erklärt: Die zentrale Rolle der Berechtigungsüberprüfung

Am 14. Dezember 2022 beschlossen EU-Parlament und -Rat die DORA-Verordnung zur Stärkung der digitalen Resilienz im Finanzsektor. Sie trat am 17. Januar 2023 in Kraft und gilt ab 17. Januar 2025. DORA adressiert unter anderem IKT-Risiken, Resilienztests und den Schutz vor Cyberbedrohungen.

Ein wesentlicher Bestandteil der DORA-Anforderungen ist die Zugriffsüberprüfung, die eine Schlüsselrolle in der digitalen Sicherheitsstrategie spielt. DORA legt dabei besonderen Wert auf folgende Aspekte:

  • Stärkung der Resilienz: Eine robuste Zugriffsüberprüfung ist essenziell, um die institutionelle Widerstandsfähigkeit gegenüber Cyberangriffen zu erhöhen.
  • Regelmäßigkeit als Pflicht: DORA fordert nicht nur eine einmalige, sondern auch die kontinuierliche und regelmäßige Überprüfung von Zugriffsrechten, um Sicherheitsrisiken frühzeitig zu erkennen und zu minimieren.
  • Integration in die Risikomanagement-Strategie: Die Zugangsüberprüfung wird als integraler Bestandteil des IKT-Risikomanagements gefordert, um proaktiv Sicherheitslücken aufzudecken.
  • Schutz sensibler Daten: Gründliche Prüfungen stellen sicher, dass sensible Kundendaten und kritische Geschäftsprozesse geschützt sind.
  • Verantwortung und Transparenz: Die klare Dokumentation und Nachverfolgbarkeit von Berechtigungen sind zentrale Elemente, um Audit-Anforderungen zu erfüllen und die Compliance zu gewährleisten.
  • Sparsamkeitsprinzip: Neben den Prinzipien „Need-to-Know“ und „Least Privilege“ verlangt DORA zusätzlich das „Need-to-Use“-Prinzip, das den Zugriff noch spezifischer auf notwendige Anwendungen beschränkt.

Mit diesen klaren Vorgaben hebt DORA die Bedeutung der Zugriffsüberprüfung auf ein neues Niveau. Die Verordnung geht dabei weit über bisherige Standards wie BAIT oder VAIT hinaus und macht deutlich, dass ein präziser und kontinuierlicher Umgang mit Zugriffsrechten unverzichtbar ist, um die digitale Resilienz langfristig zu gewährleisten.

Rezertifizierung ist Pflicht!

Die regelmäßige Rezertifizierung eingeräumter Berechtigungen ist entscheidend, damit nur autorisierte Personen auf sensible Informationen zugreifen. Der Prozess birgt jedoch Herausforderungen, die die Effizienz und Sicherheit beeinträchtigen können. Komplexe Berechtigungsstrukturen erschweren beispielsweise die Verwaltung. Gleichzeitig mangelt es an Transparenz über bestehende Zugriffsrechte. Hier mit manuellen Ressourcen vorzugehen wäre viel zu zeitaufwendig und fehleranfällig. Daraus entstehen erhebliche und mitunter folgenschwere Compliance-Risiken und mögliche Verstöße gegen DORA.

Tools wie die Rezertifizierungslösung von Foconis (ZAK®-Funktionspaket „Rezertifizierung“)  bieten hier einen praxisbewährten Ausweg, indem sie den gesamten Prozess automatisieren, zentralisieren und damit Übersicht und Nachverfolgbarkeit schaffen. Auf diese Weise lassen sich alle Benutzerrechte – in Abhängigkeit zur Kritikalität – regelmäßig prüfen und an aktuelle Anforderungen anpassen. Zur Minimierung von Sicherheitsrisiken und zur Optimierung der IT-Compliance steht ergänzend zu dem geforderten Soll-Ist-Vergleich ein automatisierter Soll-Soll-Vergleich.

Regelmäßige Audits und standardisierte Checklisten garantieren zudem, dass alle Vorgaben stets erfüllt sind. Damit diese Rechnung aufgeht, braucht eine solche Lösung proaktive Updates, um die Nutzer mit rechtlich verpflichtenden Funktionserweiterungen zu unterstützen. Sobald es neue Anforderungen wie Kontrollauflagen, Dokumentationspflichten oder Meldungen gibt, braucht es umgehend entsprechende Anpassungen.

Banken und Sparkassen investieren in Sicherheit

Die Kosten, die durch Cybercrime entstehen, explodieren: Eine neue im August 2024 veröffentlichte Studie des Bitkom zeigt einen erheblichen Anstieg um 29 % in diesem Jahr. Während es im vergangenen Jahr noch 2023 206 Milliarden Euro gewesen sind, beziffert die Studie in diesem Jahr bereits 267 Milliarden Euro die Unternehmen durch Cyber-Angriffe-Schäden verbuchen müssen. Wahrscheinlich gibt es keine Bank oder Sparkasse, die sich nicht längst mit möglichst wirksamen und effizienten Präventionsmaßnahmen auseinandersetzt.

Die Rechterezertifizierung, deren Rhythmus je nach Kritikalität der Berechtigungen zwischen sechs Monaten und drei Jahren liegt, gehört hierbei zweifelsfrei ganz oben auf die Agenda. Digitale Lösungen automatisieren Tiefenanalysen und decken weitere relevante Überprüfungsbereiche einschließlich der Untersuchung toxischer Rechtekombinationen ab. Die Finanzinstitute sind hiermit in die Lage, Auffälligkeiten im Sinne IKS-relevanter, kritischer Sachverhalte risikoorientiert aufzudecken und präventiv entsprechende Gegenmaßnahmen einzuleiten. Stellvertretend für zahlreiche weitere Kontrollroutinen ist die nach MaRisk BTO 1.1 vorgeschriebene Funktionstrennung zu nennen, die sich durch entsprechende Softwarelösungen regelkonform abbilden und konsequent überwachen lassen.

DORA setzt Standards zum Schutz von Finanzinstituten

Die digitale Widerstandsfähigkeit im Finanzsektor ist angesichts wachsender Cyberrisiken entscheidend. DORA setzt klare Standards, um Finanzinstitute zu schützen. Ein effizientes Identity & Access Management verhindert unbefugten Zugriff und minimiert Risiken. Das Lösungspaket für Rechterezertifizierung zeigt, wie digitale Tools den Zertifizierungsprozess automatisieren und die Compliance gewährleisten. Die regelmäßige Überprüfung von Berechtigungen sowie die Einhaltung von Vorschriften festigen sowohl die Sicherheit als auch die langfristige Resilienz.

Über den Autor

Olaf Pulwey

Olaf Pulwey ist CEO der Foconis Gruppe, einem Anbieter von Softwarelösungen für Banken in den Bereichen Compliance, Trading, Vertriebssteuerung und Zahlungsverkehr. Der Wirtschaftsinformatiker mit langjähriger Erfahrung in Vertrieb, Marketing und Post-Merger-Integration unterstützt Banken dabei, regulatorische Anforderungen effizient zu erfüllen und Prozesse intelligent zu automatisieren.

Vielen Dank fürs Teilen und Weiterempfehlen


Mit dem kostenlosen Bank Blog Newsletter immer informiert bleiben:

Anzeige

Get Abstract: Zusammenfassungen interessanter Businessbücher

Kommentare sind geschlossen

Bank Blog Newsletter abonnieren

Bank Blog Newsletter abonnieren