Mit dem Digital Operational Resilience Act (DORA) der Europäischen Union tritt Anfang 2025 ein weitreichendes Regulierungswerk für die Themen Cybersicherheit, Risiken der Informations- und Kommunikationstechnologie (IKT) und digitale Resilienz in Kraft, das den gesamten EU-Finanzsektor betrifft. Die EU-Verordnung 2022/2554 soll Sicherheitsmaßnahmen harmonisieren und die Abwehr gegen Cyberbedrohungen stärken. Die Aufsichtsbehörden wollen mit den DORA-Regularien für eine höhere Cybersicherheit sorgen und die organisatorische Vorbereitung auf Sicherheitsgefahren verbessern, um das öffentliche Vertrauen sowie die Geschäftskontinuität und Stabilität der Finanzsysteme insgesamt zu stabilisieren.
Damit wird der wachsenden Anzahl komplexer Cyberangriffe auf Finanzinstitute Rechnung getragen, die erhebliche Schäden verursachen. So beziffert der „IBM Cost of a Data Breach Report 2023“ die durchschnittlichen Kosten für Datenschutzverletzungen der Finanzbranche auf $5,9 Millionen. In diesem Blog geht es um die Auswirkungen von DORA sowie relevante Bestimmungen im DORA-Kapitel II über das IKT-Risikomanagement, die Unternehmen mit BeyondTrust-Lösungen erfüllen können.
Die DORA-Gesetzgebung und ihre Auswirkungen
Das Hauptziel von DORA ist es, die operative Widerstandsfähigkeit des Finanzsektors zu stärken und umfassend sicherzustellen, dass Geldinstitute den unterschiedlichen Störungen und Bedrohungen beim Einsatz von Informations- und Kommunikationstechnologie standhalten.
Die Verordnung schreibt ein umfassendes Paket von Cybersicherheitsmaßnahmen vor und unterstreicht die Notwendigkeit für Finanzunternehmen in der gesamten Europäischen Union, fortschrittliche Schutz-, Erkennungs-, Eindämmungs-, Wiederherstellungs- und Reparaturmaßnahmen zu entwickeln und aufrechtzuerhalten. Dafür schreibt die DORA-Gesetzgebung strenge Anforderungen in mehreren Bereichen vor:
- IKT-Risikomanagementrahmen
- IKT-Systeme, -Protokolle und -Tools
- Sichere Datenverarbeitung und -übertragung
- Detaillierte Vorgaben zur Behandlung, Klassifizierung und Berichterstattung IKT-bezogener Vorfälle
Diese Bestimmungen sollen den Schutz von Finanzinstituten vor Cyberangriffen verbessern, das Risiko von Betriebsunterbrechungen minimieren und das Vertrauen der Verbraucher in die Zuverlässigkeit des Finanzsystems aufrechterhalten. Im Folgenden werden wir zentrale DORA-Artikel aufgreifen und kurz auf verschiedene BeyondTrust-Produkte eingehen, die Organisationen bei der Einhaltung gesetzlicher EU-Vorgaben helfen.
Regulatorische Artikel aus DORA Kapitel II: IKT-Risikomanagement
Artikel 5: Governance und Organisation
Artikel 5 des Digital Operational Resilience Act (DORA) unterstreicht, wie robuste Governance- und Organisationsstrukturen für Finanzinstitute dazu beitragen, Risiken der Informations- und Kommunikationstechnologie effektiv zu managen. Finanzunternehmen verfügen damit über einen strukturierten Ansatz, der „ein wirksames und umsichtiges Management von IKT-Risiken gewährleistet, um ein hohes Niveau an digitaler operationaler Resilienz zu erreichen“.
BeyondTrust Identity Security Insights deckt digitale Identitäten, Konten, Berechtigungen und Zugriffspfade in der gesamten Identitätslandschaft auf — von lokalen bis zu Cloud- und SaaS-Umgebungen. Die Lösung hilft Unternehmen bei der Erfassung von Berechtigungen, visualisiert Verbindungen und fehlende Kontrollen sowie potenzielle Angriffspunkte in einer vernetzten Umgebung. Diese Transparenz ermöglicht es IT-Verantwortlichen, fundierte Entscheidungen zu treffen und effektive Richtlinien festzulegen, die den Zugriff anhand des Least-Privilege-Modells durchsetzen.
Die zentrale Plattform Privileged Remote Access erleichtert die Erstellung detaillierter Rollendefinitionen und verbessert die Rechtezuweisung für digitale Identitäten durch sorgfältige Verwaltung und Überwachung privilegierter Benutzeraktivitäten. Diese Funktionalität setzt DORA-Anforderungen hinsichtlich transparenter IT-Governance-Strukturen um.
Als zentrale Plattform für die Verwaltung privilegierter Zugriffe ermöglicht Password Safe die Durchsetzung eines klaren IT-Governance-Rahmens mit detailliert definierten Benutzerrollen. Auf diese Weise werden Verantwortlichkeiten durch Verwaltung und Überwachung privilegierter Benutzeraktivitäten eingehalten.
Artikel 7: IKT-Systeme, -Protokolle und -Tools
Artikel 7 schreibt eine strenge Prüfung der eingesetzten IKT-Systeme, -Protokolle und -Tools beim Einsatz in Finanzinstituten vor, um ihre Widerstandsfähigkeit gegenüber potenziellen Störungen und Bedrohungen aufrechterhalten zu können. Dafür werden strukturierte und regelmäßige Tests eingefordert, welche die Robustheit von IT-Frameworks gegenüber verschiedenen Cyberbedrohungen bewerten sollen.
Identity Security Insights wurde entwickelt, um digitale Identitäten, Berechtigungen und Zugriffe in der gesamten IT-Umgebung einer Organisation zu analysieren und zu überwachen. Durch Identifizierung und Dokumentation von Nutzerrechten und Zugriffspfaden lassen sich Schwachstellen beim Identitäts- und Zugriffsmanagement punktgenau lokalisieren und mögliche Störungen oder Angriffspfade frühzeitig erkennen und beseitigen.
Privileged Remote Access stellt sicher, dass Prüfer von Drittanbietern über einen sicheren und protokollierten Zugang verfügen, um die Integrität von Testumgebungen zu gewährleisten.
Endpoint Privilege Management wendet das Prinzip der geringsten Rechte an, wodurch Risiken im Zusammenhang mit potenziellen Schwachstellen im Rahmen von Sicherheitstests minimiert werden — insbesondere bei der Prüfung von Softwareapplikationen.
Password Safe gewährleistet, dass Zugriffe während der Testphase überprüfbar geschützt werden, Tester die erforderlichen Anmeldeinformationen nutzen können und zugleich das Risiko durch Sicherheitsverletzungen minimiert wird.
Artikel 8: Identifizierung
Artikel 8 des Digital Operational Resilience Act (DORA) regelt die Einrichtung und Überprüfung robuster Mechanismen zur Früherkennung und Klassifizierung von IKT-Risiken. Diese Risikobewertung umfasst Cyberbedrohungen und Schwachstellen innerhalb von IKT-Systemen und digitalen Umgebungen. Das Hauptziel besteht darin, Konfiguration, Verbindungen und Interdependenzen zwischen den verschiedenen Informations- und IT-Assets zu erfassen, damit die Institute präventive Maßnahmen ergreifen können.
Identity Security Insights nutzt Verhaltensanalysen, um Benutzeraktivitäten und Zugriffsmuster zu untersuchen und Anomalien zu erkennen, die auf potenzielle Sicherheitsrisiken oder Schwachstellen hinweisen. Dieser proaktive Erkennungsmechanismus ist besonders effektiv bei der Überwachung privilegierter Konten und erfüllt damit die DORA-Anforderungen für robuste IKT-Prozesse zur Identifizierung von Risiken.
Privileged Remote Access ermöglicht es Finanzinstituten, den Netzwerk- und Systemzugriff von Remote-Mitarbeitern und Dienstleistern abzusichern und zu kontrollieren. Die Überwachung und Prüfung der Fernzugriffsitzungen hilft bei der Lokalisierung potenzieller Sicherheitsbedrohungen, wie unbefugten Zugriffen oder gefährlichem Benutzerverhalten, und verbessert damit die Identifizierung und Behebung von IT-Risiken.
Endpoint Privilege Management reduziert das Risiko missbrauchter Nutzerprivilegien. Zugriffsrechte werden auf das Maß beschränkt, das zur Erfüllung der zugewiesenen Aufgaben erforderlich ist, und weist zugleich den benötigten Zeitrahmen zu. Das minimiert die Angriffsfläche und hilft bei der Früherkennung von Software-Schwachstellen und Fehlkonfigurationen. Die Durchsetzung einer strengen Kontrolle über Berechtigungen verhindert die Verbreitung von Malware, Ransomware und anderen Bedrohungen und stärkt die Widerstandsfähigkeit der IKT-Systeme gegen potenzielle Risiken.
Password Safe zentralisiert die Verwaltung privilegierter Anmeldeinformationen und unterbindet unbefugte Zugriffsmöglichkeiten oder Sicherheitsverletzungen. Die zentrale Managementlösung hilft bei der Identifizierung potenzieller Angriffspunkte durch böswillige Akteure und reduziert damit das IT-Risiko insgesamt.
Artikel 9: Schutz und Prävention
Artikel 9 verpflichtet Finanzinstitute dazu „einen angemessenen Schutz von IKT-Systemen zu gewährleisten und Gegenmaßnahmen zu organisieren, überwachen und kontrollieren“. Diese Richtlinie zielt darauf ab, die Resilienz, Kontinuität und Verfügbarkeit von IKT-Systemen zu gewährleisten und „hohe Standards in Bezug auf die Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit von Daten aufrechtzuerhalten“. Robuste Abwehrmaßnahmen gegen Cyberbedrohungen, Datenschutzverletzungen und Systemausfälle sollen die betriebliche Widerstandsfähigkeit aufrechterhalten.
Identity Security Insights verbessert die Identitätshygiene und Sicherheitslage allgemein, indem es bedrohungsrelevante Einblicke in digitale Identitäten, Berechtigungen, Fehlkonfigurationen und Risiken einer Identitätsinfrastruktur bietet, inklusive lokaler Umgebungen, Cloud-, SaaS- und Identitätsanbieter (IdPs). Steuerelemente für die Verwaltung privilegierter Zugriffe tragen dazu bei, zu weit gefasste oder unnötige Berechtigungen und damit verbundene Gefahren zu beseitigen.
Strenge Kontrollen und sichere Fernzugriffe sind von größter Bedeutung, um die IT-Compliance-Anforderungen gemäß Artikel 9 zu erfüllen. Privileged Remote Access bietet internen und externen Benutzern einen geschützten Zugang zu Netzwerken und IT-Systemen. Durch Implementierung strenger Zugriffskontrollen und kontinuierlicher Überwachung von Remote-Verbindungen lassen sich unbefugte Zugriffe und potenzielle Datenschutzverletzungen unterbinden.
Endpoint Privilege Management setzt das Prinzip der geringsten Rechte durch und beschränkt die Zugriffsrechte der Benutzer auf den erforderlichen Umfang, der zur Erfüllung der Aufgaben erforderlich ist. Minimierte Berechtigungen verringern die Gefahr, dass Malware verbreitet und Datenschutzvorgaben verletzt werden. Darüber hinaus lässt sich so die Ausführung nicht autorisierter oder bösartiger Software verhindern, was für den Schutz vor Software-Schwachstellen und externen Bedrohungen gemäß Artikel 9 von entscheidender Bedeutung ist.
Password Safe sichert, verwaltet und überwacht privilegierte Kontoanmeldeinformationen und sorgt dafür, dass nur autorisierte Benutzer unter strengen Bedingungen auf kritische Systeme zugreifen können. Diese Verwaltung umfasst auch eine automatisierte Passwortrotation und Durchsetzung robuster Kennwortrichtlinien, um den Diebstahl von Anmeldeinformationen effektiv zu verhindern und die Sicherheitsvorgaben nach Artikel 9 einzuhalten.
Artikel 10: Erkennung
Artikel 10 verpflichtet Finanzunternehmen zur Bereitstellung ausreichender Ressourcen und Kapazitäten, „um Nutzeraktivitäten, das Auftreten von IKT-Anomalien und IKT-bezogenen Vorfällen, darunter insbesondere Cyberangriffe, zu überwachen“. Darüber hinaus sollen mit geeigneten Mechanismen ungewöhnliche Aktivitäten und Anomalien, „darunter auch Probleme bei der Leistung von IKT-Netzwerken und IKT-bezogene Vorfälle“, umgehend erkannt und wesentliche Schwachstellen ermittelt werden. Diese Erkennungsmechanismen „ermöglichen mehrere Kontrollebenen und legen Alarmschwellen und -kriterien fest, um Reaktionsprozesse bei IKT-bezogenen Vorfällen auszulösen und einzuleiten“.
Mit fortschrittlichen Analysen zur kontinuierlichen Überwachung und Analyse des Nutzerverhaltens setzt Identity Security Insights die Sicherheitsanforderungen gemäß Artikel 10 beispielhaft um. Durch Identifizierung von ungewöhnlichem Nutzerverhalten ist es möglich, potenzielle Sicherheitsbedrohungen frühzeitig zu erkennen und wirksame Präventivmaßnahmen schnell einzuleiten. Dies steht im Einklang mit den in Artikel 10 geforderten wirksamen Erkennungssystemen, die eine schnelle Identifizierung potenzieller Cyberrisiken gewährleisten. Identity Security Insights überwacht nicht nur mögliche Risiken, sondern analysiert auch das Benutzerverhalten und damit verbundene Zugriffsmuster. Dieser proaktive Ansatz ermöglicht es Unternehmen, ihre Sicherheitsbemühungen auf kritische Bedrohungen zu konzentrieren und DORA-Vorgaben zur präventiven Identifizierung von Bedrohungen und Schwachstellen umzusetzen.
Artikel 11: Reaktion und Wiederherstellung
Artikel 11 des Digital Operational Resilience Act (DORA) schreibt Finanzinstituten die Aufstellung solider Pläne und Verfahren für die wirksame Reaktion auf IKT-bezogene Vorfälle vor — inklusive Wiederherstellungsmaßnahmen. Dafür müssen sie „auf alle IKT-bezogenen Vorfälle rasch, angemessen und wirksam“ reagieren können und diesen so entgegenwirken, „dass Schäden begrenzt werden und die Wiederaufnahme von Tätigkeiten und Wiederherstellungsmaßnahmen Vorrang erhalten“.
Privileged Remote Access spielt eine entscheidende Rolle bei der schnellen Reaktion auf Sicherheitsvorfälle, indem sichere und kontrollierte Zugriffe auf Netzwerke und IT-Systeme einer Organisation durchgesetzt und schnell implementiert werden. Diese Fähigkeit ist für eine schnelle Eindämmung und Entschärfung durch Krisenreaktions-Teams unerlässlich, damit IT-Verantwortliche ortsunabhängig und zügig auf eine Gefahrensituation reagieren und negative Auswirkungen auf die IT-Infrastruktur eines Unternehmens minimieren können.
Endpoint Privilege Management ist insbesondere auf Linux-Servern für die Einhaltung von Sicherheitsrichtlinien unerlässlich, um Least-Privilege-Strategien für alle Benutzer anzuwenden. Durch die standardmäßige Zuweisung der benötigten Zugriffsrechte wird das Risiko einer Sicherheitsverletzung minimiert und Benutzerberechtigungen auf Tools und Befehle beschränkt, die für spezifische Aufgaben unerlässlich sind. Im Falle eines Verstoßes hilft dieser Ansatz, mögliche Auswirkungen einzudämmen, da Bedrohungsakteuren oder kompromittierten Konten der breite Zugriff auf kritische Systemressourcen fehlt.
Password Safe stellt sicher, dass während der Wiederherstellungsphase der Zugriff auf kritische Systeme streng überwacht wird. Die Kontrolle und Prüfung des Zugriffs auf privilegierte Konten ist ein entscheidender Faktor, um den Wiederherstellungsprozess vor unbefugten Zugriffen oder Verstößen zu schützen und einen optimierten, sicheren Ablauf zu gewährleisten. Nach einem Vorfall erleichtert Password Safe durch die automatische Rotation von Anmeldeinformationen, dass Zugangspunkte schnell gesichert und die Integrität der Zugriffskontrollen wiederhergestellt werden.
Artikel 16: Vereinfachter IKT-Risikomanagementrahmen
Für „kleine und nicht verflochtene Wertpapierfirmen“, E-Geld-Institute und kleine Einrichtungen der betrieblichen Altersversorgung definiert Artikel 16 des Digital Operational Resilience Act (DORA) einen vereinfachten IKT-Risikomanagementrahmen. Die technischen Regulierungsstandards berücksichtigen dabei sowohl Größe als auch Gesamtrisikoprofil des Finanzunternehmens „sowie die Art, den Umfang und die Komplexität seiner Dienstleistungen, Tätigkeiten und Geschäfte“. Identifizierung und Schutzmechanismen sowie die Aufdeckung, Reaktion und Wiederherstellung auf IKT-bezogene Vorfälle sind in einer Weise einzuhalten, die der Größe, Komplexität und spezifischen Risikoart entsprechen.
Identity Security Insights ist eine skalierbare Enterprise-Lösung, die einen detaillierten Gesamtüberblick über die Risikolage durch Benutzeridentitäten und -zugriffe auf IKT-Systeme verschafft. Das ermöglicht einen maßgeschneiderten Ansatz für das Management relevanter Identitäts- und Zugriffsmanagementrisiken jeder Organisation und entspricht damit dem in Artikel 16 geforderten IKT-Risikomanagementrahmen. Die Lösung ermöglicht passende Kontrollen und Warnungen, die an individuelle Risikoprofile und regulatorische Anforderungen eines Finanzunternehmens angepasst sind. Diese Anpassungsfähigkeit stellt sicher, dass kleinere Institute einen fokussierten Überblick über wesentliche Vermögenswerte und Benutzeraktivitäten erhalten und IT-Compliance-Vorgaben effizient und ohne komplexe Überwachungssysteme erreichen können. Identity Security Insights rationalisiert den IT-Reporting-Prozess und erstellt gezielte Berichte, um die Einhaltung des vereinfachten ICT-Risikomanagement-Frameworks zu dokumentieren. Durch die Ermittlung potenzieller Schwachstellen unterstützt es die Entwicklung gezielter und wirksamer Strategien zur Risikominimierung, die den operativen Tätigkeiten und Anforderungen eines Unternehmens entsprechen.
BeyondTrusts technologischer Beitrag bei der Verbesserung der Cybersicherheits-Compliance
Mit Blick auf die strengen DORA-Cybersicherheitsvorschriften stellen die Lösungen von BeyondTrust sicher, dass Finanzinstitute alle privilegierten Anmeldeinformationen und Zugriffe effektiv verwalten und schützen können — eine Kernanforderung für digitale Resilienz, die mit DORA erreicht werden soll.
Durch fortschrittliche Identitätssicherheits- und PAM-Lösungen bietet BeyondTrust ein robustes Framework für die Verwaltung und Überwachung privilegierter Zugriffe und stellt sicher, dass Finanzinstitute vor unbefugten Zugriffen und potenziellen Sicherheitsverletzungen geschützt werden. Diese Fähigkeiten unterstützen die umfassenden Ziele und Artikel gemäß DORA zur Verbesserung der operativen Widerstandsfähigkeit des Finanzsektors.
IT-Compliance und mehr mit der BeyondTrust-Plattform
Die Privileged Access Management (PAM)- und Identitätssicherheitslösungen von BeyondTrust bieten Unternehmen robuste Tools, die erforderlich sind, um die Anforderungen des Digital Operational Resilience Act (DORA) zu erfüllen und zu übertreffen. Durch das Angebot detaillierter Prüfpfade und Berichtsfunktionen stellt BeyondTrust sicher, dass Finanzinstitute die Transparenz und Aufsicht aufrechterhalten können, die für ein effektives IKT-Risikomanagement unerlässlich sind.
BeyondTrust erhöht die Sichtbarkeit digitaler Assets und Identitäten, was für die Erkennung potenzieller Sicherheitsverletzungen, unbefugter Zugriffsversuche oder Insider-Bedrohungen entscheidend ist. Diese Funktionalität unterstützt nicht nur die Einhaltung der strengen DORA-Vorgaben, sondern stärkt auch generell die Cyber-Resilienz im Unternehmen, um die Integrität und Stabilität von Finanzsystemen in einer zunehmend vernetzten Welt verbessern zu können.
Für weitere Informationen darüber, wie Ihr Unternehmen die Anforderungen des Digital Operational Resilience Act erfüllen kann, kontaktieren Sie uns direkt, um einen detaillierteren Überblick zu erhalten, wie BeyondTrust-Lösungen die DORA-Anforderungen erfüllen.
![Photograph of Allen Longstreet](https://assets.beyondtrust.com/assets/images/user-photos/_people/MicrosoftTeams-image.png?auto=format&q=80)
Allen Longstreet, Content Marketing Writer
Allen is a content marketing writer at BeyondTrust. He has a wealth of experience building content strategy for tech start ups and SAAS businesses. He has a passion for video production, creative storytelling, and the intersection between the two.