Berechtigungsmanagement im Fokus der Aufsicht am 05.05.2025

DORA stellt hohe Anforderungen an digitale Sicherheitsaspekte in Banken. Aktuelle Prüfungen der Aufsicht haben zu (teilweise) schwerwiegenden Feststellungen im Bereich des Berechtigungsmanagements / IAM (u. a. Rechtevergabe, Rezertifizierung) geführt. IT-Risiken, Cyber-Angriffe und Lücken in der Informationssicherheit, die auf ein nicht aufsichtskonformes Berechtigungsmanagement zurückzuführen sind, führen zunehmend häufiger zu Ausfällen kritischer Geschäftsprozesse bei Banken und Unternehmen. Die neuen DORA-Vorgaben verschärfen die IAM-Anforderungen zur Sicherstellung der digitalen Resilienz noch. 

Der Zugriff auf sensible Bankdaten und -prozesse soll nur durch die Personen erfolgen, die diesen Zugriff auch wirklich benötigen (»Need-to-know«- Prinzip). Aber wie kann der Rechtevergabe- Prozess institutsspezifisch definiert bzw. dokumentiert werden? In der Praxis stimmen eingerichtete Rechte oftmals nicht mit dem Rechtevergabekonzept und der IT-Strategie überein. Die Aufsicht fordert daher explizit eine risikoorientierte regelmäßige Überprüfung kritischer IT-Berechtigungen. 

Das Institut hat nach Maßgabe des Schutzbedarfs und der Soll-Anforderungen Prozesse zur Protokollierung und Überwachung einzurichten, die sicherstellen, dass die Berechtigungen nur wie vorgesehen eingesetzt werden, insbesondere für die Aktivitäten mit privilegierten (besonders kritischen) Benutzer- und Zutrittsrechten.