IPG ist Teil der
Titelbild Expertenbericht DORA IAM

DORA:
Stärkung der Resilienz
im europäischen Finanzwesen
durch IAM

DORA: Stärkung der Resilienz im europäischen Finanzwesen

Täglich verarbeiten Finanzinstitute enorme Mengen an sensiblen Daten, was sie zu begehrten Zielen für Cyberkriminelle macht. Trotzdem haben viele dieser Institute keine einheitlichen Maßnahmen zur Gewährleistung der Cybersicherheit. Nach einer Umfrage des IWF fehlen 56 % der Zentralbanken im Finanzsektor eine nationale Cyberstrategie, und 42 % verfügen über keinerlei Richtlinien für Cybersicherheit und Risikomanagement.

DORA-Verordnung: worum geht es?

Die Digitale Betriebs Resilienz-Verordnung (Digital Operational Resilience Act, DORA) ist eine Regelung der Europäischen Union mit dem Ziel, die betriebliche Widerstandsfähigkeit des europäischen Finanzsektors zu stärken. Ihr Zweck besteht darin, Finanzinstitute zu befähigen, ihren Schutz vor Cyberbedrohungen, IT-Zwischenfällen und betrieblichen Risiken zu verbessern und ihnen zu ermöglichen, im Notfall schnell wieder handlungsfähig zu sein.

Die Einführung von DORA hatte nicht nur präventiven Charakter, sondern war eine Reaktion auf die zunehmende Abhängigkeit von digitalen Technologien im Finanzwesen, die eine proaktive Risikominderung notwendig macht. Da Cyberangriffe den Finanzsektor anhaltend ins Visier nehmen, gewinnt das Risikomanagement zunehmend an Bedeutung.
Tag für Tag verarbeiten Finanzinstitute beträchtliche Mengen an sensiblen und vertraulichen Daten, darunter personenbezogene Finanzinformationen, Kontodaten und Sozialversicherungsnummern, um nur einige Beispiele zu nennen. Es ist längst kein Geheimnis mehr, dass dies sie zu attraktiven Zielen für Cyberkriminelle macht. Während einige Organisationen bereits verschiedene Maßnahmen zur Cybersecurity umgesetzt haben, trifft dies bei weitem noch nicht auf alle zu. 

Eine Umfrage des Internationalen Währungsfonds (IWF) ergab Folgendes:

  • 56 % der Zentralbanken und Aufsichtsbehörden haben keine nationale Cyberstrategie für den Finanzsektor.
  • 42 % der Länder fehlen die erforderlichen Richtlinien für Cybersicherheit und Risikomanagement.
  • In 64 % der Länder sind Sicherheitsüberprüfungen nicht verpflichtend.
  • 54 % haben kein festes System zur Meldung von Sicherheitsvorfällen.
  • Schockierende 48 % haben keine Richtlinien für Cybersecurity.

DORA: was sind die betroffenen Sektoren?

Die DORA-Verordnung gilt für mehr als 22.000 Finanzinstitute und IKT-Dienstleister, die innerhalb der EU tätig sind, sowie für die IKT-Infrastruktur, die sie von außerhalb der EU unterstützt. Die Verordnung führt spezifische und präskriptive Anforderungen für alle Teilnehmer am Finanzmarkt ein, einschließlich:

  • Banken
  • Zahlungsdienstleister
  • Versicherungen
  • Kreditinstitute
  • Zahlungsinstitute
  • Kontoinformationsdienstleister
  • E-Geld-Institute
  • Wertpapierfirmen
  • Anbieter von Krypto-Vermögenswerten
  • Datenmeldedienstleister und Cloud-Dienstleister

Welche Richtlinien zur Einhaltung beinhaltet DORA für Finanzinstitute?

Die DORA Verordnung setzt fünf Hauptaspekte um:

  1. IKT-Risikomanagement: DORA schreibt umfassende Rahmenwerke für das IKT-Risikomanagement vor, die sich an internationalen Standards ausrichten. Dies erfordert Strategien zur digitalen Resilienz, Risikokennzahlen und Kommunikationspläne für den Fall von Vorfällen.
  2. Berichterstattung von Vorfällen: Organisationen müssen IKT-Vorfälle klassifizieren und melden. Umfassende Systeme ermöglichen die Analyse, die Behandlung der Hauptursachen und die Vorbeugung von Wiederholungen.
  3. Prüfung der digitalen operativen Resilienz: Regelmäßige unabhängige Tests bewerten die Abwehrmaßnahmen gegen IKT-Sicherheitsvorfälle anhand verschiedener Beurteilungen und Szenarien.
  4. Risikomanagement für IKT-Drittanbieter: Institutionen, die mit Drittanbieter-IKT-Diensten zusammenarbeiten, benötigen Strategien zur Bewältigung der damit verbundenen Risiken, inklusive Maßnahmen zur Vertragsbeendigung bei Bedarf.
  5. Informationsaustausch: DORA ermöglicht den Austausch relevanter Informationen über IKT-Risiken zwischen vertrauenswürdigen Finanzgemeinschaften, um die Widerstandsfähigkeit zu stärken und Risiken zu mindern.

Zeitrahmen für die Umsetzung der DORA-Anforderungen

Am 16. Januar 2023 trat die endgültige Fassung der DORA-Verordnung in Kraft. Für die Umsetzung wurde eine Frist von 24 Monaten festgelegt. Die betroffenen Finanzunternehmen müssen die erforderlichen Maßnahmen bis zum 17. Januar 2025 umsetzen.

Jetzt, da die Verordnung in Kraft getreten ist, haben die zuständigen Aufsichtsbehörden die Möglichkeit, technische Regulierungsstandards (Regulatory Technical Standards, RTS) zu erarbeiten. Obwohl der anfängliche Zeitrahmen großzügig erscheinen mag, sollten Finanzunternehmen nicht zu lange zögern, die Richtlinie umzusetzen, und stattdessen rasch Schritte zur Erfüllung der Vorgaben unternehmen.

Wie IAM zur Einhaltung von DORA beiträgt

Bedrohungsakteure nutzen Schwachstellen und unzureichend verwaltete Identitäten, um Unternehmen zu stören, Daten zu stehlen oder Erpressungen durchzuführen. Diese Angriffe betreffen nicht nur das Unternehmen selbst, sondern auch Kunden, Stakeholder und den Finanzmarkt insgesamt.

Identitätsbasierte Cyberangriffe, die hauptsächlich auf kompromittierte Benutzerzugangsdaten abzielen, sind gängige Methoden von Cyberkriminellen, da Identitäten der effektivste Weg sind, um die IT-Infrastruktur zu kontrollieren. Um DORA-konform zu sein, müssen Finanzorganisationen alle Vereinbarungen im Zusammenhang mit dem DORA-Risikomanagement definieren, genehmigen, überwachen und verantworten. Hier spielt IAM eine zentrale Rolle.

IAM ist eine Sicherheitsdisziplin, die in kritische Geschäftsprozesse integriert wird, um sicherzustellen, dass nur berechtigte Personen zum richtigen Zeitpunkt auf die richtigen Informationen zugreifen können. Dies gilt für Mitarbeiter, Kunden (oft als Customer Identity Access Management oder CIAM bezeichnet) und Lieferanten. Dieses Zugangsmanagement kann auf Abteilungs- und individueller Rollenebene eingerichtet werden, um den Zugriff auf Daten und Systeme an die jeweiligen Aufgaben anzupassen.

Mit zunehmender Nutzung von Software-as-a-Service und Cloud-Infrastrukturen wird die IT- und Identitätslandschaft komplexer. Zur Einhaltung von DORA und anderen Datenschutzbestimmungen benötigen Unternehmen klare Einblicke, wie menschliche und maschinelle Identitäten auf geschützte Daten zugreifen. Dank DORA rückt die IKT-Widerstandsfähigkeit in den Fokus der EU-Finanzdienstleister, und IAM ist eine zentrale Disziplin zur Unterstützung der Compliance.

DORA-Compliance: wie IPG Sie unterstützen kann

Bei IPG stehen unsere Experten zur Verfügung, um sowohl bei der Klärung der neuen Anforderungen von DORA zu unterstützen als auch bei der Umsetzung von IAM, um diese Anforderungen zu erfüllen. Wir können bei der Entwicklung einer IAM-Strategie und eines Betriebsmodells helfen, Identitätsanalysen, das Management des Identitätslebenszyklus, Zugriffsrechteverwaltung und mehr. Am wichtigsten ist, dass wir dazu beitragen, die IKT-Widerstandsfähigkeit zu stärken, um das Geschäft, die Kunden und den Finanzmarkt zu unterstützen.

* Pflichtfelder
DSGVO
Wenn Sie die im Kontaktformular eingegebenen Daten durch Klick auf den nachfolgenden Button übersenden, erklären Sie sich damit einverstanden, dass wir Ihre Angaben für die Beantwortung Ihrer Anfrage bzw. Kontaktaufnahme verwenden. Eine Weitergabe an Dritte findet grundsätzlich nicht statt, es sei denn geltende Datenschutzvorschriften rechtfertigen eine Übertragung oder wir dazu gesetzlich verpflichtet sind. Sie können Ihre erteilte Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen. Im Falle des Widerrufs werden Ihre Daten umgehend gelöscht. Ihre Daten werden ansonsten gelöscht, wenn wir Ihre Anfrage bearbeitet haben oder der Zweck der Speicherung entfallen ist. Sie können sich jederzeit über die zu Ihrer Person gespeicherten Daten informieren. Weitere Informationen zum Datenschutz finden Sie auch in der Datenschutzerklärung dieser Webseite.

Bitte Captcha lösen!

captcha image
Logo von IPG mit weißem Hintergrund - Experts in IAM
Ihr Kontakt zu IPG
CH: +41 522450474 / DE: +49 3030807135 / AT: +43 72 0512526 IPG Information Process Group AG
Kontakt
DORA 24 Teaserbild
Blog 10.07.24

DORA-Compliance: Was Finanzunternehmen jetzt wissen müssen

DORA und IAG: Wie Finanzinstitute die Anforderungen der neuen Verordnung erfüllen und die IT-Sicherheit verbessern können. Lesen Sie hier mehr.
Teaser Expertenbericht KI und IAM
Blog 13.12.24

Braucht KI eine digitale Identität?

KI wird zunehmend autonom und übernimmt wichtige Aufgaben in Unternehmen. Wie bleibt die Kontrolle über sensible Daten gewährleistet? Wir beleuchten die Notwendigkeit digitaler Identitäten für KI.
Blog

IAM für Künstliche Intelligenz

Welche Identität steckt hinter einer maschinellen Handlung? Wer trägt die Verantwortung? Und wie lassen sich diese Zugriffe nachvollziehbar und regelkonform gestalten? Jetzt mehr erfahren.
Blog 14.03.25

Die Bedeutung des Anforderungsmanagements im IAM

Ein effektives Anforderungsmanagement ist entscheidend für den Erfolg von IAM-Projekten. Entdecken Sie in unserem Blog, wie es klare Ziele setzt, Missverständnisse vermeidet und Compliance sichert.
Teaserbild IAM Prozess Expertenbericht
Blog 12.12.22

IAM-Prozesse – Betrachtungswinkel und Prozesssichtweisen

Die Einführung einer IAM-Lösung verändert Arbeitsabläufe. Die Erhebung und Modellierung der Prozesse sind entscheidend für Verständnis und Akzeptanz. Mehr dazu in unserem Blog!
Teaserbild Expertenbericht 360 Grad Assessment IAM
Blog 19.12.22

IAM-Projekt – 360 Grad Assessment

360° Assessment – wozu ein übergreifendes Assessment, wenn man «nur» ein IAM braucht? Unsere Fach-Expertin für IAM erläutert nun, wie wir in einem «360° Assessment» Unternehmen dabei unterstützen, erfolgreich ein IAM-Projekt zu etablieren. Mehr dazu in unserem Blog.
Teaserbild Managed Service IPG
Blog 16.01.25

IAM Managed Service: Der Schlüssel zur digitalen Sicherheit

Die Vorteile von IAM Managed Services: umfassende Überwachung, schnelle Fehlerbehebung und transparente Kostenstruktur für maximale Sicherheit und Effizienz im Unternehmen. Lesen Sie hier mehr.
Teaserbild nDSG CH
Blog 11.05.23

Neues Datenschutzgesetz – Schutz vor Sanktionen dank IAM

Ab September 2023 gilt in der Schweiz das totalrevidierte Datenschutzgesetz (nDSG). Was bedeutet es für Unternehmen und wie kann ein effektives IAM Unternehmen unterstützen, das neue Gesetz einzuhalten? Mit diesem Expertenbericht erhalten Sie einen detaillierten Überblick.
Teaserbild KPT Referenz IAM
Referenz 13.11.23

Effizientes IAM für Cloud-Systeme bei der KPT

Mit einer neuen IAM-Lösung behält KPT die Kontrolle über Benutzerkonten und Berechtigungen, um einen effizienten und sicheren Betrieb ihrer Cloud-Systeme zu gewährleisten. ✅ Lesen Sie mehr dazu.
Teaserbild Expertenbericht IAMcloud Journey von IPG
Blog 30.03.23

Der Weg in die Cloud: Optimierung Ihres IAM

Identity Management aus der Wolke - vom On-Prem IAM zum Cloud IAM. Erfahren Sie, welche Best Practices für einen erfolgreichen Journey.
Titelbild zum Expertenbericht IAM im Spital - Gesundheitswesen
Blog 08.03.21

Wieviel IAM braucht ein Krankenhaus?

Das Patientendatenschutzgesetzes vom Oktober 2020 verpflichtet faktisch alle Krankenhäuser, auch saubere Identity- und Accessmanagement Prozesse zu etablieren. Mehr dazu im Blog.
Teaserbild Expertenbericht IAM Brownfield
Blog 08.07.24

Der Brownfield-Ansatz im Identity and Access Management

Die Modernisierung veralteter IAM-Systeme ist essenziell für Cybersicherheit. Der Brownfield-Ansatz minimiert Risiken und senkt Kosten durch eine schrittweise Migration auf zeitgemäße Lösungen.

Teaserbild_Expertenbericht NIS2
Blog 09.04.24

Cybersecurity Evolution: NIS-2

Unser Expertenbericht beleuchtet die Schlüsselrolle IAM bei der Umsetzung der NIS-2 Verordnung. Welche Punkte sind zu beachten. Lesen Sie hier mehr.
Blog 09.12.24

Smarte digitale Berechtigungskonzepte mit NEXIS 4.1

Digitale Berechtigungskonzepte sind der Schlüssel zu mehr IT-Sicherheit und Effizienz. Entdecken Sie, wie NEXIS 4.1 moderne Anforderungen erfüllt und Ihre Prozesse revolutioniert.
Header zum Expertenbericht Self-Sovereign Identity 1
Blog 23.04.25

Effektives Privileged Identity Management (PIM)

PIM, PAM, PUM – was steckt dahinter? Erfahren Sie, wie sich die drei Systeme unterscheiden, wie sie zusammenhängen und welche strategischen Rollen sie im Identitäts- und Zugriffsmanagement spielen.
Teaserbild Expertenbericht Berechtigungsmanagement IAM
Blog 27.11.24

Sicheres Berechtigungsmanagement leicht gemacht!

Ein modernes IAM-System vereinfacht das Berechtigungsmanagement und schützt vor ungewolltem Zugriff. Erfahren Sie, wie Sie mit automatisierten Prozessen IT-Sicherheit und Compliance steigern.

Blog 07.03.25

RBAC: Klare Rollen, sichere Berechtigungen

Mit Role Based Access Control (RBAC) optimieren Sie Ihr Berechtigungsmanagement mit mehr Sicherheit, weniger Kosten und klare Prozesse. Erfahren Sie, wie Sie RBAC erfolgreich einführen!
Blog 03.02.25

MIM End-of-Life: Strategien zur erfolgreichen Planung

Was kommt nach dem Microsoft Identity Manager? Wir zeigen Ihnen, wie Sie den Übergang erfolgreich planen – mit Optionen von schrittweiser Migration bis hin zu neuen Lösungen. Lesen Sie hier mehr.
Teaserbild IAM Experte Identity Provider
Blog 02.12.22

Was ist ein Identity Provider (IdP)?

Ist es möglich, mit einem einzigen Identity Provider (IdP) sowohl interne als auch externe Web-Anwendungen zu betreiben?
Das Thema IT-Security immer weiter in den Fokus
Blog 07.01.21

Warum der Überwacher überwacht werden muss

Nach dem SolarWinds Hack rückt das Thema IT-Security immer weiter in den Fokus. In unserem Blogbeitrag beschreiben wir alles zum SolarWinds-Hack, deren Folgen und was wir daraus lernen können.