Der Digital Operational Resilience Act (DORA) stellt die Finanzdienstleister in der EU vor eine anspruchsvolle Aufgabe: Sie müssen nachweisen, dass ihr Betrieb - und ihre Cybersicherheitsvorkehrungen - selbst den schwersten Störungen standhalten können.
Für CISOs geht es nicht nur um technologische Upgrades. Es geht um den Aufbau einer neuen Art von Widerstandsfähigkeit, bei der die Identität eine zentrale Rolle spielt. Dieser Blog bietet ein praktisches Handbuch für CISOs und IAM-Führungskräfte, die ihre Identitätsstrategie vor dem Inkrafttreten von DORA im Jahr 2025 angleichen wollen.
Beginnen Sie mit der Sichtbarkeit. Ordnen Sie Ihre derzeitigen Identitätssysteme und -richtlinien den Kernbereichen von DORA zu:
- Zugangskontrolle und Governance
- Authentifizierung und Sicherheit der Zugangsdaten
- Betriebliche Kontinuität der Identitätsdienste
- Erkennung von und Reaktion auf Vorfälle
Wo sind die Lücken? Wo verlassen Sie sich auf manuelle Prozesse oder veraltete Tools? Nutzen Sie diese Prüfung, um die Risikobereiche und den Modernisierungsbedarf zu priorisieren.
Statische Richtlinien sind zu stumpf für die heutigen Bedrohungen. DORA erwartet intelligentere Kontrollen, die sich dem Kontext anpassen. Implementieren Sie den adaptiven Zugriff mit:
- Analyse des Nutzerverhaltens
- Bewertungen der Gerätehaltung
- Geolokalisierungs- und Tageszeitsignale
- Historische Zugriffsmuster
RSA Risiko AI ermöglicht diese Funktionen und erlaubt Echtzeit-Entscheidungen, die Fehlalarme reduzieren und gleichzeitig echte Bedrohungen abwehren.
Ihre IAM-Systeme sind unternehmenskritisch. Aber können sie einen Ausfall überstehen?
DORA verlangt von den Einrichtungen, dass sie die Kontinuität kritischer IKT-Systeme nachweisen. Dazu gehört auch Ihre Identitätsplattform.
Hybride Ausfallsicherung von RSA stellt sicher, dass die Authentifizierung auch dann fortgesetzt werden kann, wenn Ihre Cloud, Ihr Rechenzentrum oder Ihr Netzwerk gefährdet ist.
Phishing-resistente MFA ist nicht mehr optional. RSA bietet eine Reihe von passwortlose Lösungen, einschließlich:
- FIDO2-zertifizierte Hardware-Schlüssel (iShield)
- Mobile Lock für nicht vertrauenswürdige Geräte
- OTP und Push-basierte Soft-Token
Setzen Sie diese für Mitarbeiter- und Kundenidentitäten ein, um die DORA-Erwartungen zu erfüllen und den Diebstahl von Zugangsdaten zu verhindern.
Manuelle Zertifizierungskampagnen und Berechtigungsprüfungen lassen sich nicht mehr skalieren und können die wachsende Zahl von Benutzern, Geräten, Berechtigungen und Umgebungen nicht mehr angemessen verwalten. DORA erfordert eine kontinuierliche Überwachung.
Mit RSA Governance & Lebenszyklus, können Sie:
- Automatisieren Sie die Prozesse von Tischlern, Umsteigern und Aussteigern
- Durchsetzung der geringsten Privilegien durch richtlinienbasiertes Provisioning
- Erstellen Sie mit wenigen Klicks prüfungsreife Berichte
DORA wird das Vorbereitete vom Reaktiven trennen. Es reicht nicht aus, ein IAM einzurichten - es muss intelligent, belastbar und streng geregelt sein.
Mit RSA erhalten CISOs die Werkzeuge, um nicht nur die DORA-Vorschriften einzuhalten, sondern auch eine Identitätsinfrastruktur aufzubauen, die langfristige operative Exzellenz unterstützt.
Es ist jetzt an der Zeit zu handeln - die Durchsetzung der Vorschriften wird 2025 Realität sein, und Ihr Unternehmen läuft Gefahr, saftige Geldstrafen zu zahlen, wenn Sie die Vorschriften nicht einhalten. Nutzen Sie dieses Handbuch, um sich zu wappnen, bevor Regulierungsbehörden - oder Angreifer - Ihre Widerstandsfähigkeit testen.
Sehen Sie sich das RSA-Webinar DORA & Digital Risk: Strengthening Identity Security in Financial Services an, um zu erfahren, was DORA-Compliance wirklich für Identity Security bedeutet, welche Best Practices zur Vorbereitung auf DORA-Audits geeignet sind und welche wichtigen Compliance-Verpflichtungen in Bezug auf Benutzerautorisierung, Zugriff, Authentifizierung und Business Continuity bestehen.
