Mit der Verabschiedung des Digital Operational Resilience Act (DORA) durch die EU wurde ein grundlegender Wandel in der Herangehensweise von Finanzinstituten an Cybersicherheit, Risikomanagement und Betriebskontinuität eingeläutet. Zum ersten Mal erwähnten die Regulierungsbehörden die Identitätssicherheit nicht nur am Rande, sondern verankerten sie direkt im Rahmen der Compliance.
Diese Entwicklung trägt einer Tatsache Rechnung, die vielen Sicherheitsexperten seit Jahren bekannt ist: Die Identität ist die Grundlage der digitalen Sicherheit und ein Dreh- und Angelpunkt für die betriebliche Widerstandsfähigkeit. Sehen wir uns an, was sich geändert hat, welche Auswirkungen DORA auf die Identitätssicherheit haben wird, vor welchen Herausforderungen Finanzinstitute stehen und wie sich CISOs vorbereiten müssen, um sicherzustellen, dass ihre Organisationen die DORA-Anforderungen bis zum Stichtag 2025 erfüllen.
Nach DORA muss jeder digitale Vorgang innerhalb eines Finanzinstituts - vom Zahlungsverkehr über das Kunden-Onboarding bis hin zu den Handelssystemen - sicher, widerstandsfähig und ständig verfügbar sein. Und das stellt die Identitätssicherheit an die erste Stelle. Denn wenn Sie nicht überprüfen können, wer wann und von wo aus auf was zugreift, bricht Ihre Identitätsstrategie zusammen.
In der neuen DORA-Regelungsrealität ist Identität nicht länger eine Back-Office-IT-Funktion. Sie ist jetzt ein strategischer Imperativ, der von Risikoverantwortlichen, Compliance-Beauftragten und Geschäftsführern gleichermaßen wahrgenommen wird.
Mehrere Artikel in DORA fordern direkt oder implizit robuste Identitäts- und Zugriffsmanagement-Funktionen (IAM). Zum Beispiel:
- Zugangskontrolle und Governance: DORA schreibt vor, dass die Institutionen die Zugriffsrechte der Benutzer in Echtzeit verwalten und regelmäßige Zugriffsüberprüfungen durchführen, um eine Ausweitung der Privilegien und einen unbefugten Zugriff zu verhindern.
- Anforderungen an die Authentifizierung: Starke Authentifizierungsmethoden, wie z. B. die Multi-Faktor-Authentifizierung (MFA), sollen Systeme vor unberechtigtem Zugriff schützen.
- Operative Kontinuität: Die Institutionen müssen sicherstellen, dass kritische Funktionen bei Cybervorfällen, Ausfällen oder Störungen verfügbar bleiben. Dazu gehört auch die Aufrechterhaltung von Identitätsdiensten unter Zwang.
- Überwachung und Aufdeckung von Anomalien: Unternehmen müssen Cyber-Vorfälle schnell erkennen, darauf reagieren und sich davon erholen. Identitätsbezogene Anomalien, wie ungewöhnliche Zugriffsmuster, sind wichtige Indikatoren.
Diese Anforderungen unterstreichen den Bedarf an einem modernen, risikobewussten Identitätssicherheitsprogramm.
2025 ist das Jahr, in dem die Einhaltung der Vorschriften in die Durchsetzungsphase übergeht, d. h. Unternehmen, die die DORA-Vorschriften nicht einhalten, müssen mit Geldbußen in Höhe von entweder 2% des durchschnittlichen weltweiten Umsatzes oder 1% des durchschnittlichen Tagesumsatzes rechnen, wobei zusätzlich tägliche Geldbußen auf nicht konforme Unternehmen erhoben werden, bis sie die Vorschriften einhalten. Es steht also viel auf dem Spiel.
Trotz erhöhter Investitionen in die Sicherheit haben viele Finanzinstitute immer noch mit identitätsbezogenen Lücken in ihren Sicherheits- und Betriebsfunktionen zu kämpfen:
- Veraltete IAM-Systeme die nicht anpassungsfähig und sichtbar sind
- Siloisierte Identitätswerkzeuge in Umgebungen vor Ort und in der Cloud
- Schwache Authentifizierungsmethoden die anfällig für Phishing sind
- Manuelle Governance-Prozesse die die Berichterstattung über die Einhaltung der Vorschriften langsam und fehleranfällig machen
Durch diese Herausforderungen sind Unternehmen nicht nur Angreifern, sondern auch der Kontrolle durch die Behörden und Geldstrafen ausgesetzt.
CISOs im Finanzsektor müssen die Führung bei der Ausrichtung der Identitätsstrategie auf DORA übernehmen. Das bedeutet:
- Übernahme von risikobasierter Zugang Modelle, die Kontrollen auf der Grundlage von Kontext und Verhalten anpassen
- Sicherstellung Geschäftskontinuität mit hybrider Ausfallsicherung für Authentifizierung und Zugang
- Stärkung der Steuerung mit automatischer Bereitstellung, Überprüfung und Zugriffszertifizierung
- Umarmung passwortlose Authentifizierung gemeinsame Angriffsvektoren zu eliminieren
RSA unterstützt Finanzinstitute bei der Operationalisierung der Identität als Grundpfeiler der Ausfallsicherheit. Unsere auf Sicherheit ausgerichtete Identitätsplattform, RSA ID Plus, ist für regulierte Umgebungen wie das Finanzwesen konzipiert.
- RSA Risiko AI analysiert Verhaltens- und Kontextsignale zur Durchsetzung adaptiver Zugangsrichtlinien
- RSA Mobile Lock schützt den Zugriff auf nicht verwaltete oder kompromittierte Geräte
- RSA iShield Serie Key 2 Authentifikatoren ermöglichen phishing-resistente FIDO- und OTP-Authentifizierung
- RSA Governance & Lebenszyklus automatisiert die Arbeitsabläufe für Access Governance und Compliance
- RSA Hybrid Failover gewährleistet eine ununterbrochene Authentifizierung bei Ausfällen
Zusammen bieten diese Lösungen die erforderlichen Kontrollen, um DORA zu erfüllen - und Ihr Unternehmen über die Einhaltung der Vorschriften hinaus zu stärken.
DORA markiert einen Wendepunkt für die Identität bei Finanzdienstleistungen. Es erhebt IAM von einem technischen Anliegen zu einem regulatorischen Auftrag - und zu einem strategischen Enabler für die operative Widerstandsfähigkeit.
Finanzinstitute, die Sicherheitsstrategien auf der Grundlage von Identitätsprüfungen anwenden, werden nicht nur die DORA-Anforderungen erfüllen, sondern auch einen Wettbewerbsvorteil in Bezug auf Sicherheit, Flexibilität und Kundenvertrauen erlangen. Jetzt ist es an der Zeit, Ihre Identitätsstrategie zu überdenken, bevor die DORA-Durchsetzung beginnt.
