Resilienz der Kernsysteme: „Nur“ formal nachbessern reicht nicht
Schwerpunkt: Kernsysteme & Migration. . Zugriffssicherheit bildet das Fundament digitaler Resilienz, und genau hier liegen heute die Lücken. DORA Prüfungen entscheiden sich in der IAM Architektur, Re Zertifizierungsprozessen, Log Tiefe und Drittparteiensteuerung. Wer hier nur formal nachbessert, riskiert Feststellungen im Prüfbericht und mögliche Schwachstellen. von Philipp Schulz, Partner im Bereich Cyber Security & Privacy, PwC Deutschland.. DORA ist seit mehr als einem Jahr in Kraft und prägt nachhaltig die Prüfungsagenda der Aufsicht. Technische Regulierungsstandards, Implementierungsstandards und BaFin Hinweise konkretisieren die Erwartungen an IKT Risikomanagement, Incident Handling und Drittparteiensteuerung. Eine PwC Erhebung zum Umsetzungsstand im Jahr 2025 zeigt dabei eine deutliche Diskrepanz im Sektor: 32 Prozent der befragten Institute verzeichneten seit Anwendungsbeginn bereits einen schwerwiegenden IKT Vorfall, 76 Prozent bewerteten ihre schriftliche Ordnung als noch nicht DORA konform. Vor diesem Hintergrund rückt der konkrete Handlungsbedarf für mehr Resilienz in der IKT Landschaft in den Fokus.Im Zentrum stehen Identitäts- und Zugriffsarchitekturen, konsistente Re Zertifizierungsprozesse für kritische und wichtige Funktionen, ausreichende Log Tiefe sowie die Verzahnung von IAM, SIEM und internem Kontrollsystem.“DORA zielt auf überprüfbare technische Kontrollen ab, deren Wirksamkeit sich im laufenden Betrieb nachvollziehbar nachweisen lässt. . [ -]Typische Sollbruchstellen prägen Umsetzungsprojekte und stören Resilienz!. . . Viele Institute haben DORA konforme Zielbilder definiert, stoßen jedoch in der technischen Umsetzung auf wiederkehrende Herausforderungen. Das betrifft vor allem das Identitäts- und Berechtigungsmanagement: Hybride Architekturen mit mehreren Directories, Cloud Stacks und angebundenen Dienstleistern führen zu Identitätssilos. IAM Lösungen decken oft nur Teile der Systemlandschaft ab, privilegierte Konten laufen außerhalb zentraler Steuerung und technische Identitäten bleiben unvollständig inventarisiert. Auf dieser Basis können Unternehmen die geforderte Ende zu Ende Transparenz über Berechtigungen für kritische und wichtige Funktionen nur eingeschränkt herstellen. Eng damit verbunden sind Schwächen in den Zugriffsmodellen und Re Zertifizierungsprozessen. Statische Rollen, dauerhafte administrative Berechtigungen und fehlende Tiering Konzepte erschweren einen risikobasierten Zuschnitt privilegierter Zugriffe. Halbjährliche Rezertifizierungen über alle relevanten IKT Systeme hinweg geraten dadurch zu stark manuellen Prozessen. Fachbereiche erteilen hierbei Freigaben, ohne belastbare technische Plausibilisierung der tatsächlich wirksamen Rechte. Veraltete oder überdimensionierte Berechtigungen bleiben bestehen und unterlaufen das „Need to Use“ Prinzip. Resilienz: Zugriffssicherheit bildet das Fundament!. . Bei Identitäten und Berechtigungen brauchen Institute ein sauber umgesetztes Tiering Modell für privilegierte Konten, Just in Time- statt Dauerprivilegien und eine starke Authentisierung, die auch technische Identitäten und externe Administratoren umfasst. Praktisch heißt das: konsequente Nutzung von PAM Lösungen mit Session Monitoring, Policy basierten Freigaben und klar getrennten Administrationszonen bis hinunter auf System- und Domänenebene. . [ -]Re Zertifizierungen müssen von manuellen Listenprozessen auf systemgestützte Workflows umgestellt werden. Fachbereiche sollten Rezertifizierungen auf Basis von tatsächlich wirksamen Rechten in den Zielsystemen entscheiden, nicht auf Basis veralteter Rollenbeschreibungen. Technisch erfordert das ein konsistentes Rollenmodell, automatische Abgleiche zwischen IAM- und Zielsystemen sowie eine revisionssichere Protokollierung jeder Entscheidung. Parallel dazu braucht es eine Log Architektur, die Identitäten, Sessions und Aktionen durchgängig korreliert und in das SIEM einspeist.Kritische Systeme sollten einheitliche Log Formate, ausreichende Detailtiefe und eindeutige Identitätsbezüge liefern.“Playbooks für Zugriffsanomalien, etwa ungewöhnliche Admin Sessions oder Verstöße gegen Tier Grenzen, müssen hinterlegt und getestet sein. So entstehen Kontrollen, die nicht nur auf dem Papier existieren, sondern sich im Live Betrieb nachweisen und steuern lassen. Das ist wichtig, weil sich Prüfungen zunehmend an der Frage orientieren, ob sich Kontrollen technisch und konsistent belegen lassen. Entscheidend ist daher eine Dokumentation, die sich nicht aus Präsentationen speist, sondern aus Systemen und Prozessen.Sie hörten einen Beitrag von „Philipp Schulz, PwC/dk“
Sie finden diesen Artikel im Internet auf der Website: https://itfm.link/241934
Zugriffssicherheit bildet das Fundament digitaler Resilienz – und genau hier liegen heute die Lücken. DORA-Prüfungen entscheiden sich in der IAM-Architektur, Re-Zertifizierungsprozessen, Log-Tiefe und Drittparteiensteuerung. Wer hier nur formal nachbessert, riskiert Feststellungen im Prüfbericht und mögliche Schwachstellen.
von Philipp Schulz, Partner im Bereich Cyber Security & Privacy, PwC Deutschland
DORA ist seit mehr als einem Jahr in Kraft und prägt nachhaltig die Prüfungsagenda der Aufsicht. Technische Regulierungsstandards, Implementierungsstandards und BaFin-Hinweise konkretisieren die Erwartungen an IKT-Risikomanagement, Incident-Handling und Drittparteiensteuerung.
Eine PwC-Erhebung zum Umsetzungsstand im Jahr 2025 zeigt dabei eine deutliche Diskrepanz im Sektor: 32 Prozent der befragten Institute verzeichneten seit Anwendungsbeginn bereits einen schwerwiegenden IKT-Vorfall, 76 Prozent bewerteten ihre schriftliche Ordnung als noch nicht DORA-konform.
Vor diesem Hintergrund rückt der konkrete Handlungsbedarf für mehr Resilienz in der IKT-Landschaft in den Fokus.
Im Zentrum stehen Identitäts- und Zugriffsarchitekturen, konsistente Re-Zertifizierungsprozesse für kritische und wichtige Funktionen, ausreichende Log-Tiefe sowie die Verzahnung von IAM, SIEM und internem Kontrollsystem.“
DORA zielt auf überprüfbare technische Kontrollen ab, deren Wirksamkeit sich im laufenden Betrieb nachvollziehbar nachweisen lässt.
Zusammenspiel von IKS, IAM und SIEM Quelle: PwC Deutschland
Typische Sollbruchstellen prägen Umsetzungsprojekte und stören Resilienz
Autor Philipp Schulz, PwC
Philipp Schulz ist Partner im Bereich Cyber Security & Privacy bei PwC Deutschland (Webseite) und spezialisiert auf den Finanzsektor. In den vergangenen Jahren hat er zahlreiche IT-Prüfungs- und IT-Beratungsprojekte für Banken, Versicherer, Vermögensverwalter und deren IT-Dienstleister geleitet. Schulz ist Certified Information Systems Auditor (CISA) und verfügt über die Prüfungsprozesskompetenz gemäß § 8a BSI-Gesetz.
Viele Institute haben DORA-konforme Zielbilder definiert, stoßen jedoch in der technischen Umsetzung auf wiederkehrende Herausforderungen. Das betrifft vor allem das Identitäts- und Berechtigungsmanagement: Hybride Architekturen mit mehreren Directories, Cloud-Stacks und angebundenen Dienstleistern führen zu Identitätssilos.
IAM-Lösungen decken oft nur Teile der Systemlandschaft ab, privilegierte Konten laufen außerhalb zentraler Steuerung und technische Identitäten bleiben unvollständig inventarisiert. Auf dieser Basis können Unternehmen die geforderte Ende-zu-Ende-Transparenz über Berechtigungen für kritische und wichtige Funktionen nur eingeschränkt herstellen.
Eng damit verbunden sind Schwächen in den Zugriffsmodellen und Re-Zertifizierungsprozessen. Statische Rollen, dauerhafte administrative Berechtigungen und fehlende Tiering-Konzepte erschweren einen risikobasierten Zuschnitt privilegierter Zugriffe.
Halbjährliche Rezertifizierungen über alle relevanten IKT-Systeme hinweg geraten dadurch zu stark manuellen Prozessen. Fachbereiche erteilen hierbei Freigaben, ohne belastbare technische Plausibilisierung der tatsächlich wirksamen Rechte. Veraltete oder überdimensionierte Berechtigungen bleiben bestehen und unterlaufen das „Need-to-Use“-Prinzip.
Resilienz: Zugriffssicherheit bildet das Fundament
Bei Identitäten und Berechtigungen brauchen Institute ein sauber umgesetztes Tiering-Modell für privilegierte Konten, Just-in-Time- statt Dauerprivilegien und eine starke Authentisierung, die auch technische Identitäten und externe Administratoren umfasst. Praktisch heißt das: konsequente Nutzung von PAM-Lösungen mit Session-Monitoring, Policy-basierten Freigaben und klar getrennten Administrationszonen bis hinunter auf System- und Domänenebene.
Das Verteidigungslinien-Modell im IAM Quelle: PwC DeutschlandRe-Zertifizierungen müssen von manuellen Listenprozessen auf systemgestützte Workflows umgestellt werden. Fachbereiche sollten Rezertifizierungen auf Basis von tatsächlich wirksamen Rechten in den Zielsystemen entscheiden, nicht auf Basis veralteter Rollenbeschreibungen. Technisch erfordert das ein konsistentes Rollenmodell, automatische Abgleiche zwischen IAM- und Zielsystemen sowie eine revisionssichere Protokollierung jeder Entscheidung.
Parallel dazu braucht es eine Log-Architektur, die Identitäten, Sessions und Aktionen durchgängig korreliert und in das SIEM einspeist.
Playbooks für Zugriffsanomalien – etwa ungewöhnliche Admin-Sessions oder Verstöße gegen Tier-Grenzen – müssen hinterlegt und getestet sein. So entstehen Kontrollen, die nicht nur auf dem Papier existieren, sondern sich im Live-Betrieb nachweisen und steuern lassen. Das ist wichtig, weil sich Prüfungen zunehmend an der Frage orientieren, ob sich Kontrollen technisch und konsistent belegen lassen. Entscheidend ist daher eine Dokumentation, die sich nicht aus Präsentationen speist, sondern aus Systemen und Prozessen.Philipp Schulz, PwC/dk
Sie finden diesen Artikel im Internet auf der Website: https://itfm.link/241934
Philipp Schulz ist Partner im Bereich Cyber Security & Privacy bei PwC Deutschland (Webseite) und spezialisiert auf den Finanzsektor. In den vergangenen Jahren hat er zahlreiche IT-Prüfungs- und IT-Beratungsprojekte für Banken, Versicherer, Vermögensverwalter und deren IT-Dienstleister geleitet. Schulz ist Certified Information Systems Auditor (CISA) und verfügt über die Prüfungsprozesskompetenz gemäß § 8a BSI-Gesetz.
Schreiben Sie einen Kommentar