Resilienz der Kernsysteme: "Nur" formal nachbessern reicht nicht

Schwerpunkt: Kernsysteme & Migration

Philipp Schulz, Partner im Bereich Cyber Security & Privacy bei PwC Deutschland, thematisiert die Bedeutung von Resilienz in der IAM-Architektur. Zugriffssicherheit ist entscheidend für digitale Resilienz, wobei aktuelle Lücken identifiziert werden müssen. — Philipp Schulz, Partner im Bereich Cyber Security & Privacy, PwC Deutschland PwC

Zugriffssicherheit bildet das Fundament digitaler Resilienz – und genau hier liegen heute die Lücken. DORA-Prüfungen entscheiden sich in der IAM-Architektur, Re-Zertifizierungsprozessen, Log-Tiefe und Drittparteiensteuerung. Wer hier nur formal nachbessert, riskiert Feststellungen im Prüfbericht und mögliche Schwachstellen.

von Philipp Schulz, Partner im Bereich Cyber Security & Privacy, PwC Deutschland

DORA ist seit mehr als einem Jahr in Kraft und prägt nachhaltig die Prüfungsagenda der Aufsicht. Technische Regulierungsstandards, Implementierungsstandards und BaFin-Hinweise konkretisieren die Erwartungen an IKT-Risikomanagement, Incident-Handling und Drittparteiensteuerung.

Eine PwC-Erhebung zum Umsetzungsstand im Jahr 2025 zeigt dabei eine deutliche Diskrepanz im Sektor: 32 Prozent der befragten Institute verzeichneten seit Anwendungsbeginn bereits einen schwerwiegenden IKT-Vorfall, 76 Prozent bewerteten ihre schriftliche Ordnung als noch nicht DORA-konform.

Vor diesem Hintergrund rückt der konkrete Handlungsbedarf für mehr Resilienz in der IKT-Landschaft in den Fokus.

Im Zentrum stehen Identitäts- und Zugriffsarchitekturen, konsistente Re-Zertifizierungsprozesse für kritische und wichtige Funktionen, ausreichende Log-Tiefe sowie die Verzahnung von IAM, SIEM und internem Kontrollsystem.“

DORA zielt auf überprüfbare technische Kontrollen ab, deren Wirksamkeit sich im laufenden Betrieb nachvollziehbar nachweisen lässt.

Das Diagramm veranschaulicht die Interaktion zwischen dem Internen Kontrollsystem, dem Identity and Access Management-System und dem Security Incident Event Management-System. Es zeigt, wie Resilienz durch Policies, Kontrollen und Audit-Evidenz gestärkt wird. — Zusammenspiel von IKS, IAM und SIEM Quelle: PwC Deutschland

Typische Sollbruchstellen prägen Umsetzungsprojekte und stören Resilienz

Autor Philipp Schulz, PwC

Philipp Schulz, in formeller Kleidung, präsentiert sich vor einem unscharfen, hellen Hintergrund. Sein freundlicher Ausdruck und die gepflegte Erscheinung unterstreichen die Bedeutung von Resilienz in Kernsystemen, insbesondere im Kontext von DORA und IAM.

Philipp Schulz ist Partner im Bereich Cyber Security & Privacy bei PwC Deutschland (Website) und spezialisiert auf den Finanzsektor. In den vergangenen Jahren hat er zahlreiche IT-Prüfungs- und IT-Beratungsprojekte für Banken, Versicherer, Vermögensverwalter und deren IT-Dienstleister geleitet. Schulz ist Certified Information Systems Auditor (CISA) und verfügt über die Prüfungsprozesskompetenz gemäß § 8a BSI-Gesetz.

Viele Institute haben DORA-konforme Zielbilder definiert, stoßen jedoch in der technischen Umsetzung auf wiederkehrende Herausforderungen. Das betrifft vor allem das Identitäts- und Berechtigungsmanagement: Hybride Architekturen mit mehreren Directories, Cloud-Stacks und angebundenen Dienstleistern führen zu Identitätssilos.

IAM-Lösungen decken oft nur Teile der Systemlandschaft ab, privilegierte Konten laufen außerhalb zentraler Steuerung und technische Identitäten bleiben unvollständig inventarisiert. Auf dieser Basis können Unternehmen die geforderte Ende-zu-Ende-Transparenz über Berechtigungen für kritische und wichtige Funktionen nur eingeschränkt herstellen.

Eng damit verbunden sind Schwächen in den Zugriffsmodellen und Re-Zertifizierungsprozessen. Statische Rollen, dauerhafte administrative Berechtigungen und fehlende Tiering-Konzepte erschweren einen risikobasierten Zuschnitt privilegierter Zugriffe.

Halbjährliche Rezertifizierungen über alle relevanten IKT-Systeme hinweg geraten dadurch zu stark manuellen Prozessen. Fachbereiche erteilen hierbei Freigaben ohne belastbare technische Plausibilisierung der tatsächlich wirksamen Rechte. Veraltete oder überdimensionierte Berechtigungen bleiben bestehen und unterlaufen das „Need-to-Use“-Prinzip.

Resilienz: Zugriffssicherheit bildet das Fundament

Bei Identitäten und Berechtigungen brauchen Institute ein sauber umgesetztes Tiering-Modell für privilegierte Konten, Just-in-Time- statt Dauerprivilegien und eine starke Authentisierung, die auch technische Identitäten und externe Administratoren umfasst. Praktisch heißt das: konsequente Nutzung von PAM-Lösungen mit Session-Monitoring, Policy-basierten Freigaben und klar getrennten Administrationszonen bis hinunter auf System- und Domänenebene.

Das Diagramm illustriert das Verteidigungslinien-Modell im Rahmen des Internen Kontrollsystems (IKS). Es verdeutlicht die verschiedenen Verteidigungslinien, die zur Stärkung der Resilienz von Kernsystemen beitragen. — Das Verteidigungslinien-Modell im IAM Quelle: PwC Deutschland

Re-Zertifizierungen müssen von manuellen Listenprozessen auf systemgestützte Workflows umgestellt werden. Fachbereiche sollten Rezertifizierungen auf Basis von tatsächlich wirksamen Rechten in den Zielsystemen entscheiden, nicht auf Basis veralteter Rollenbeschreibungen. Technisch erfordert das ein konsistentes Rollenmodell, automatische Abgleiche zwischen IAM- und Zielsystemen sowie eine revisionssichere Protokollierung jeder Entscheidung.

Parallel dazu braucht es eine Log-Architektur, die Identitäten, Sessions und Aktionen durchgängig korreliert und in das SIEM einspeist.

Kritische Systeme sollten einheitliche Log-Formate, ausreichende Detailtiefe und eindeutige Identitätsbezüge liefern.“

Playbooks für Zugriffsanomalien – etwa ungewöhnliche Admin-Sessions oder Verstöße gegen Tier-Grenzen – müssen hinterlegt und getestet sein. So entstehen Kontrollen, die nicht nur auf dem Papier existieren, sondern sich im Live-Betrieb nachweisen und steuern lassen. Das ist wichtig, weil sich Prüfungen zunehmend an der Frage orientieren, ob sich Kontrollen technisch und konsistent belegen lassen. Entscheidend ist daher eine Dokumentation, die sich nicht aus Präsentationen speist, sondern aus Systemen und Prozessen.Philipp Schulz, PwC/dk