DORA & PAM: Bitte Ungleiches ungleich behandeln!

Die zahlreichen neuen Auflagen, die DORA für Finanzinstitute mit sich bringt, umfassen unter anderem das Privileged Access Management (PAM). Jetzt PAM-Maßnahmen im Gießkannenprinzip einzuführen, ist jedoch ein Fehler, der operative Effizienz gefährdet und zu einem zusätzlichen Sicherheitsrisiko werden kann.

von Carsten Schwant, Co-Gründer und Managing Director bei BxC Security

Mit dem Digital Operational Resilience Act (DORA) der Europäischen Union ist für Finanzinstitute eine ganze Reihe an neuen regulatorischen Auflagen hinzugekommen.

Eine dieser Auflagen, die viel Raum für Unsicherheit, Fehler und neue Risiken bietet, ist die Verwaltung privilegierter Zugriffe (PAM).“

Denn DORA – und die dazugehörigen Regulatory Technical Standards (RTS), einschließlich der Delegierten Verordnung (EU) 2024/1774 – verlangen zwar eindeutig deren Überwachung, geben jedoch nicht vor, wie Finanzinstitute diese umsetzen sollen. Vorgaben, wie Institute Anwendungsrollen kategorisieren oder ihre internen Zugriffsmodelle strukturieren sollen, existieren in diesem Rahmen nicht.

So gibt es hinsichtlich PAM einen Aspekt, den viele Organisationen vermutlich nicht beachten: eine klare konzeptionelle Unterscheidung zwischen fachlich privilegiertem Zugriff und systemisch privilegiertem Zugriff aufrechtzuerhalten, denn beide Kategorien weisen unterschiedliche Risikoprofile auf und erfordern unterschiedliche Kontrollstrategien. Versucht eine Organisation, beide Kategorien über dieselben PAM-Mechanismen zu steuern, kann dies zu Ineffizienzen und sogar neuen Risiken führen. Oder anders ausgedrückt: PAM ist nicht gleich PAM.

Fachlich privilegiert vs. systemisch privilegiert

Fachlich privilegiert sind Rollen, die zwar wesentliche Entscheidungen treffen oder Freigaben erteilen können, aber stets innerhalb bereits vordefinierter Systemparameter und Workflows. Diese umfassen zum Beispiel Personen im Finance-Bereich, die Zahlungen freigeben, HR-Verantwortliche, die Personaländerungen genehmigen, und andere Funktionen, die für den täglichen Betrieb und die Aufrechterhaltung der Geschäftskontinuität erforderlich sind.

Systemisch privilegiert hingegen sind Rollen, die wesentliche strukturelle Workflows und Parameter des Systems der Organisation verändern oder anpassen können, beispielsweise Anwendungs­konfigurationen, Schwellenwerte oder Rechte und Berechtigungen anderer Rollen. Dazu zählen unter anderem Befugnisse zur Änderung von Steuersätzen, zur Anpassung von Freigabeschwellen, zur Benutzerbereitstellung oder zur Ausführung von Notfall-Overrides.

Der menschliche Faktor: Auch zu viel Kontrolle kann schädlich sein

Typische PAM-Mechanismen wie Credential Vaulting, Just-in-Time-Zugriff oder Sitzungsaufzeichnungen eignen sich zwar gut für die Kontrolle und Steuerung systemisch privilegierter Zugriffe, aber wenn Organisationen sie auf dieselbe Art und Weise für fachlich privilegierte Zugriffe nutzen, treten häufig unerwünschte Nebeneffekte auf.

Im schlimmsten Fall sorgt eine strenge Anwendung von PAM-Mechanismen auf fachlich privilegierte Zugriffe paradoxerweise sogar dafür, dass der Grad an Sicherheit und Resilienz innerhalb der Organisation sinkt.“

Denn im Gegensatz zu einem Großteil der systemisch privilegierten Rollen werden fachlich privilegierte Rollen oftmals täglich ausgeübt. Wenn Sicherheitskontrollen die Ausübung solcher Routineaufgaben zu sehr erschweren, werden Mitarbeiter mittel- oder langfristig nach Wegen suchen, diese Kontrollen zu umgehen, um ihr Tagesgeschäft zu erleichtern. Sie könnten beispielsweise Zugangsdaten teilen, sich dauerhaft zu umfassende Rechte und Berechtigungen erteilen oder kritische Sicherheitsupdates aufschieben.

Tatsächlich wirksame Kontrollmechanismen für fachlich privilegierte Rollen fokussieren sich auf Governance und unterbrechen tägliche Abläufe nicht zu einem unverhältnismäßigen Grad.“

Dazu zählen beispielsweise eine strenge Trennung der Funktionen im Unternehmen, sodass nicht zu viele Befugnisse bei Einzelnen gebündelt werden, und ein konsequent angewandtes Vier-Augen-Prinzip zur Prozessvalidierung. Eine umfassende – und idealerweise automatisierte – Protokollierung und Dokumentation von Zugriffen schafft indes die notwendige Transparenz und stellt Audit-Fähigkeit sicher, auch im Kontext von DORA. Außerdem sollten die Rechte und Berechtigungen der verschiedenen Funktionen innerhalb der Organisation regelmäßig auf Umfang, Verhältnismäßigkeit und Übereinstimmung mit den tatsächlichen Aufgaben und Verantwortlichkeiten der jeweiligen Rolle überprüft werden.

PAM im Sinne von DORA

Systemisch privilegierte Rollen hingegen erfordern aufgrund ihres strukturellen Einflusses strengere und restriktivere Kontrollmechanismen, die ihr systemisches Risiko widerspiegeln. Da diese Rollen jedoch typischerweise auch seltener im Tagesgeschäft aktiv genutzt werden, ist die Belastung durch PAM-Mechanismen in diesem Zusammenhang zumutbar. Diese Trennung entspricht auch dem Gedanken von DORA, denn die Verordnung etabliert zwar ein umfassendes Rahmenwerk für das IKT-Risikomanagement und nimmt dafür insbesondere Finanzinstitute und Unternehmen aus dem Finanzsektor in die Pflicht, verlangt jedoch nicht explizit, jede fachlich privilegierte Rolle mit spezifischen PAM-Maßnahmen zu schützen.

In der Praxis erfordert eine solche Trennung, dass Unternehmen regelmäßig und umfassend prüfen, welche Rollen innerhalb etablierter Workflows agieren und welche darüber hinausgehen.

Sobald eine entsprechende Klassifizierung steht, können jeweils passende Kontrollmechanismen definiert, implementiert und konsistent durchgesetzt werden.“

Mit einem solchen Ansatz, der an der tatsächlichen Risikoexposition der einzelnen Rollen ausgerichtet ist, können Unternehmen sicherstellen, dass sie einerseits die regulatorischen Anforderungen von DORA erfüllen, ohne dabei zu riskieren, ihre operative Effizienz zu beeinträchtigen. von Carsten Schwant, BxC Security