Lutz Plümpe
Senior Strategy Consultant
DORA ist da, die Prüfungen kommen
Seit Januar 2025 ist DORA in Kraft. Ab 2026 schaut die BaFin systematisch hin. Wer die Themen DORA und IAM jetzt angeht, ist gut beraten.
IAM ist der zentrale Hebel für DORA Compliance
Viele DORA-Anforderungen sind mit einem gut aufgestellten IAM abgedeckt. IGA, PAM und phishingresistente MFA decken einen großen Teil ab.
Es geht um Nachweise
Die BaFin will sehen, dass du DORA Compliance lebst, nicht nur planst. Identity Governance liefert genau diese Nachweise.
Grundlagen
Worum es bei DORA eigentlich geht
Der Digital Operational Resilience Act, kurz DORA, ist seit Januar 2025 in Kraft und gilt für Banken, Versicherer, Wertpapierfirmen, Zahlungsdienstleister, Kryptodienstleister und kritische IKT-Drittdienstleister. Die Verordnung verlangt, dass Finanzunternehmen ihre digitale Widerstandsfähigkeit systematisch aufbauen und nachweisen können.
DORA ist dabei keine reine IT-Verordnung, sondern eine Sache der Geschäftsleitung. Der Vorstand trägt die Verantwortung und muss bei Prüfungen auskunftsfähig sein. Die fünf Kernpfeiler sind IKT-Risikomanagement, Incident Reporting, Resilienztests, Drittparteienrisiko und Informationsaustausch.
Die Lücken
Warum DORA Compliance ohne IAM nicht funktioniert
Aus unseren Projekten kennen wir die typischen Schwachstellen im DORA Umfeld. Und auffällig ist: Die meisten DORA-Lücken sind Identity Lücken.
Das eigentliche Problem liegt im Prozess
Viele Banken und Versicherungen haben jahrelang einen klassischen ITSM-Ansatz gefahren. Du willst eine Berechtigung, du stellst einen Service Request, das Ticket wird abgearbeitet und geschlossen. Dokumentiert, Prozess eingehalten. Damit ist die Sache transaktional erledigt. Niemand prüft später, ob die Person den Zugriff noch braucht. Genau diese Schwachstelle monieren BaFin und EZB.
Der Unterschied liegt in der Denkweise. ITSM arbeitet ticketbasiert und einmalig. IAM arbeitet zyklisch und prüft in festen Abständen, ob ein Zugriff weiterhin berechtigt ist. Diese wiederkehrende Kontrolle gab es im reinen Ticketsystem nicht, und genau dahin müssen Banken und Versicherungen.
Niemand weiß genau, wer Zugriff hat
Über zwanzig Jahre Active Directory haben Spuren hinterlassen. Berechtigungen wurden per Ticket vergeben und danach nie wieder angefasst. Rollenmodelle sind halbherzig gepflegt, Projektzugriffe von vor fünf Jahren bestehen weiter. Der Grund ist nicht ein verletzter Prozess, sondern ein fehlender Prozess für den Rückweg. Identity Governance und Administration mit konsequenter Rezertifizierung schafft hier Transparenz und sorgt dafür, dass jemand regelmäßig hinschaut.
Privilegierte Accounts brauchen lückenlose Dokumentation
Service Accounts, Notfallzugänge, Admin Konten. PAM ist im Bankenumfeld seit Jahren Pflicht, und die meisten Institute haben hier eine Lösung im Einsatz. Entscheidend für Banken ist heute die Dokumentation: Wer hat sich wann mit einem privilegierten Account eingeloggt und was wurde damit gemacht? Um das vollständig nachvollziehbar zu machen, setzen einige Institute auf Session Recording und zeichnen die Sitzungen auf. Modernes Privileged Access Management bringt die Accounts unter Kontrolle und macht jede Aktion prüfbar.
Externe Zugriffe sind oft nicht inventarisiert
Berater, Cloud Anbieter, Subdienstleister. Diese Identitäten werden angelegt und anschließend selten gepflegt. Am Projektende bleibt der Zugriff bestehen, weil keine klare Zuständigkeit für den Entzug existiert. Sauberes Lifecycle Management und Just in Time Access lösen das und adressieren gleichzeitig die DORA-Anforderungen an das Drittparteienrisiko.
Authentifizierung auf veraltetem Stand
Passwörter, SMS-Codes und schwache MFA sind in vielen Häusern noch im Einsatz. Phishingresistente Verfahren wie FIDO2 und Passkeys sind heute der Standard, den DORA praktisch einfordert.
Im Audit fehlen die Nachweise. Logs sind unvollständig, die Berechtigungshistorie lässt sich nicht rekonstruieren, Reports sind nicht reproduzierbar. Ohne eine Identity Plattform, die diese Daten zentral hält, wird die BaFin Prüfung schnell unangenehm.
Anforderungen
DORA-Anforderungen an IAM im Überblick
Wenn man die DORA Anforderungen auf das Thema IAM herunterbricht, kristallisieren sich drei Achsen heraus, an denen sich jede Identity Strategie messen lassen muss.
Wo steht dein Unternehmen bei DORA und IAM?
Wir bei amiconsult kennen die Identity Realität in Banken, Versicherungen und Zahlungsdienstleistern aus eigenen Projekten und unterstützen dich dabei, deine DORA Compliance auf ein Fundament zu stellen, das einer BaFin Prüfung standhält. Wir freuen uns auf deine Nachricht.
Branchenblick
Drei Branchen, drei DORA Realitäten
DORA gilt für alle Finanzunternehmen, aber die kritischen Identitäten sehen je nach Branche ganz unterschiedlich aus. Ein Versicherer hat andere Baustellen als eine Bank oder ein Zahlungsdienstleister.
DORA in Banken
Bei Banken liegen die heißen Eisen in Trading, Treasury und SWIFT Zugängen. Dazu kommen die typischen Altlasten aus historisch gewachsenen Active Directory Strukturen und Service Accounts ohne klaren Owner. Filialteams haben oft breiten Zugriff auf Kundendaten. Die richtige Antwort ist eine Kombination aus PAM für die Top Accounts, IGA mit klaren Rollen und einem Joiner Mover Leaver Prozess, der wirklich gelebt wird.
DORA bei Versicherern
Versicherer haben eine massive externe Identitätenlandschaft. Wir sprechen hier oft von tausenden Maklern und Vertriebspartnern mit Portalzugriff. Intern stehen Sachbearbeiter mit Befugnissen für Vertragsänderungen und Auszahlungen sowie Aktuariate mit Zugriff auf sehr sensible Modellierungssysteme im Fokus. Hier braucht es CIAM für Partner und Makler mit sauberem Lifecycle, IGA mit klarer Funktionstrennung und ein konsequentes Vier Augen Prinzip bei kritischen Vorgängen.
DORA bei Zahlungsdienstleistern
Bei Zahlungsdienstleistern dominieren maschinelle Identitäten. Händler hängen per API an, PSD2 Schnittstellen sind reguliert, und kleine Operations-Teams haben weitreichenden Zugriff auf Transaktionsdaten. Statische API Keys sind ein Thema, das in einer DORA-Prüfung schnell auffliegt. Rotierende Secrets, lückenloses Logging und eine klare Trennung von Produktions- und Service-Identitäten gehören zum Pflichtprogramm.
Synergie
DORA, NIS2 und der Synergieeffekt im IAM
Ein guter Nebeneffekt: Wer für DORA aufrüstet, hat einen großen Teil der NIS2 Identity Anforderungen direkt mit erledigt. DORA gilt für Finanzunternehmen, NIS2 für andere kritische Sektoren, aber beide Regulierungen teilen sich am Ende die gleiche IAM-Plattform.
Wenn die Architektur stimmt, muss niemand zweimal arbeiten. Für viele Unternehmen ist das ein starkes Argument, IAM jetzt strategisch anzugehen und nicht als reines Compliance Projekt.
Fazit
Identity ist die Grundlage für DORA Compliance
DORA Compliance ohne sauberes IAM ist in der Praxis nicht machbar. Die häufigsten Lücken sind Identity Lücken, keine Tooling Lücken. Die BaFin prüft Nachweise, nicht Konzepte. IGA, PAM und konsolidiertes Logging sind die direkte Antwort darauf.
Branchen Realität schlägt Schema F. Banken, Versicherer und Zahlungsdienstleister brauchen unterschiedliche Schwerpunkte beim DORA IAM. Identity ist die gemeinsame Plattform. Wer jetzt investiert, ist auch für Zero Trust und kommende Regulierung gut aufgestellt.
