DORA-Compliance beginnt mit IAM: Wie Sie Resilienz und Kontrolle aufbauen
Die Finanzwelt steht unter Digitaldruck: Mit der fortschreitenden Digitalisierung werden stabile, widerstandsfähige Systeme zum entscheidenden Wettbewerbsfaktor. Jüngste Ausfälle bei Zahlungsdienstleistern und Banken zeigen: Selbst etablierte Systeme sind nicht immun gegenüber Störungen. Mit der DORA-Verordnung, dem „Digital Operational Resilience Act“, setzt die EU ein deutliches Zeichen: Viele Finanzunternehmen sind verpflichtet, ihre digitale Widerstandsfähigkeit nachhaltig zu stärken, einschließlich klarer Anforderungen an die Zusammenarbeit mit IT-Dienstleistern.
Dieser Beitrag zeigt warum Identity and Accessmanagement (IAM) ein Schlüsselelement bei der Umsetzung von DORA sein kann und welche Schritte sie dabei unterstützen, ihr Unternehmen DORA-konform zu gestalten und dabei Governance und Sicherheit gezielt zu verbessern.
DORA bringt verschiedene Anforderungen
DORA verlangt beispielsweise den Schutz von Zugängen und den Einsatz geeigneter Authentifizierungsmechanismen. In der Praxis nutzt man häufig Multi-Faktor-Authentifizierung, bei der der Zugang nur im Zusammenspiel mehrerer unabhängiger Faktoren (z. B. Passwort oder Token) möglich ist, Zugriffe lassen sich mithilfe eines strukturierten Zugriffsprotokolls, regelmäßiger Reviews und kontinuierlichen Monitorings nachvollziehbar umsetzen.
Insgesamt sind Auswirkungen durch Risiken minimal zu halten. Um potenzielle Schäden bei Fehlzugriffen zu begrenzen, werden nach dem Prinzip des Least Privilege nur die minimal notwendigen Rechte vergeben. Dabei kommt häufig eine rollenbasierte Zugriffskontrolle (RBAC) zum Einsatz. In komplexeren Umgebungen, z. B. mit vielen Cloud-Ressourcen oder wechselnden Zugriffskontexten, wird RBAC zunehmend durch attribut- oder richtlinienbasierte Modelle (ABAC/ PBAC) ergänzt, um den Zugriff noch präziser steuern zu können. Zugriffsrechte werden nach Ablauf regelmäßig rezertifiziert, also hinsichtlich ihrer Notwendigkeit überprüft, angepasst oder entzogen. Darüber hinaus steigen die Anforderungen an das Risikomanagement, Sicherheitsprozesse deutlich an. Bei schwerwiegenden IKT-Vorfällen gelten Meldepflichten für Finanzunternehmen. Hinweis: „IKT“ ist die Abkürzung für „Informations- und Kommunikationstechnologie“. Damit werden Systeme und Technologien bezeichnet, die der Übertragung von Informationen oder Datendienen und den digitalen Austausch ermöglichen.
Gerade in Unternehmen mit modernen, heterogenen IT-Landschaften mit zahlreichen Anwendungen, Plattformen und Nutzergruppen stoßen klassische, manuelle Berechtigungsvergabeprozesse schnell an ihre Grenzen.
Geschäftsrollen bündeln die für eine bestimmte Funktion oder Aufgabe erforderlichen Zugriffsrechte in einer logisch zusammengefassten Einheit. Anstatt einzelne Berechtigungen wie Benutzerkonten, Active-Directory-Gruppen (AD-Gruppen), SAP-Rollen oder Dateiberechtigungen separat verwalten zu müssen, genügt es, einer Person die entsprechende Geschäftsrolle zuzuweisen. Diese übernimmt die Definition der benötigten Ressourcen im Hintergrund und stellt sicher, dass Nutzer genau die Zugriffe erhalten, die sie zur Ausführung ihrer Aufgaben benötigen – nicht mehr und nicht weniger.
Das bringt gleich mehrere Vorteile mit sich: Antrags- und Genehmigungsprozesse werden deutlich performanter, da die Rollenbeschreibung die Grundlage für Entscheidungen liefert. Gleichzeitig erhöht sich die Nachvollziehbarkeit, da jederzeit ersichtlich ist, welche Aufgaben mit welchen Berechtigungen verknüpft sind. Auch in Rezertifizierungsprozessen oder bei internen und externen Prüfungen entsteht so eine klare, prüfbare Struktur, die den Aufwand reduziert und die Qualität der Ergebnisse verbessert
Typische Schwachstellen im IAM-Kontext
- Das IAM ist historisch gewachsen, mit zu vielen Ausnahmen und manuellen Prozessen
- Es fehlt ein einheitlicher Überblick über Nutzer, Rollen und kritische Systeme
- externe Dienstleister und Schatten-IT enziehen sich oft der Kontrolle
- Zugriffsrechte werden oft zu spät überprüft oder nur lückenhaft entzogen
- Verantwortlichkeiten für IAM und IT-Risiken sind nicht klar geregelt
Kurz gesagt: IAM wird oft übersehen, dabei ist es der zentrale Schlüssel zur DORA-Compliance
DORA-komformes IAM: Von der Analyse zur Umsetzung
DORA-Compliance im IAM-Bereich erfordert ein strukturiertes Vorgehen, das technische, organisatorische und personelle Aspekte einbezieht. Neben klar definierten Prozessen udn Rollenmodellen können zentrale Sicherheitswerkzeuge wie Security Information and Event Management (SIEM) dabei helfen, kritische Zugriffe kontinuierliche zu überwachen und sicherzustellen, dass regulatorische Anforderungen nachhaltig erfüllt werden.
Beispiel: Zeitstrahl über DORA-Implementierung
Die dargestellten Phasen und Zeitangaben stellen ein Beispielszenario zur Umsetzung der DORA-Anforderungen im Kontext eines bestehenden IAM-Systems dar. Die einzelnen Schritte können sich inhaltlich überschneiden oder parallel verlaufen – abhängig von Ressourcen, Reifegrad des Systems und Unternehmensstruktur.
Die Planung dienst als Orientierungshilfe und sollte individuell angepasst werden.
Bereiche/Rollen: IAM-Architektur, CISO, Compliance Officer
Bereiche/Rollen: IAM-Architektur, CISO, Compliance Officer
Beteiligte/Rollen: CISO, SOC-Team, IAM-Team, Incident Manager, Compliance
Beteiligte/Rollen: CISO, Vendor Manager, IAM-Architekt, Compliance, Legal
Beteiligte/Rollen: Schulungskoordination (HR/IT), IAM-Team, CISO, Führungskräfte
Beteiligte/Rollen: CISO, IAM-Verantwortlicher, Compliance, internes Audit
IAM Health Check: Der Grundstein für ein sicheres und DORA konformes IAM
In der Praxis sind viele IAM-Systeme historisch gewachsen, intransparent und häufig mit veralteten Zugriffsrechten belastet. Dadurch entstehen oft Sicherheitslücken, die regulatorische Anforderungen unterlaufen können.
Ein professioneller IAM Health Check schafft hier Klarheit und Handlungsfähigkeit.
Was umfasst ein ein IAM Health Check?
- Systemanalyse: Erfafssugn aller IAM-relevanten Systeme (inkl. Cloud) und Bewertung der technischen Zugriffskontrollen
- Überprüfung der Rollen und Berechtigungen: Identifikation veralteter oder überprivilegierter Zugriffsrechte sowie unautorisierter Zugriffe
- Governance Prüfung: Bewertung von Zuständigkeiten, Genehmigungsprozessen und Zugriffsreviews
- Risikoanalyse: Priorisierung kritischer Schwachstellen, z.B. unkontrolierte externe Zugriffe
Der Health-Check prüft auf Lücken und liefert eine GAP-Analyse: Der Ist-Zustand wird den DORA-Anforderungen gegenübergestellt, inklusive operativer Schwächen wie veralteter Rollen oder unklarer Zuständigkeiten. Metriken wie überpreviligierte Nutzer, Rechteentzug nach Austritten oder manuelle Freigaben machen Defizite messbar und helfen bei der Maßnahmenplanung.
Tipp: Klassifizieren Sie Zugriffe nach Kritikalitätsstufen (z.B. hoch, mittel, gering), um besonders sensible Berechtigungen gezielt zu kontrollieren.
Warum ist der IAM Health Check unverzichtbar?
DORA verlangt eine kontinuierliche, nachvollziehbare Bewertung von Risiken. Oft sind Zugriffsprozesse nicht ausreichend dokumentiert oder auditierbar. Änderungen an IKT-Systemen müssen gemäß DORA durch ein dokumentiertes, risikobasiertes Changemanagement geregelt werden.
Beispiel: Bei Anbindung einer neuen Cloud-API werden Zugriff, Authentifizierung und mögliche Datenexponierung geprüft, auch bei externer Rechtevergabe (z.B. Azure AD).
Der IAM Health Check zeigt transparent, wo das Unternehmen steht und welche Risiken bestehen eine fundierte Grundlage für gezielte Verbesserungen. Ein regelmäßiger Health Check hilft, Veränderungen frühzeitig zu erkennen und dadurch das IAM dauerhaft DORA-konform zu halten.
Hinweis: Damit IAM-Prozesse auch in Audits bestehen sollten IAM relevante Kontrollen als prüfbare Schlüsselkontrollen im IKS hinterlegt sein, z.B. Freigabeprozesse, Rezertifizierungen, Deprovisionierung oder Berechtigungsreviews- dokumentiert und revisionssicher. Dadurch können diese als formale Kontrollen im übergeordneten Kontrollrahmen verankert werden.
Governance-Strukturen: IAM operationalisieren, nicht nur dokumentieren
DORA-Compliance erfordert Verantwortlichkeiten, Prozesse und Entscheidungswege im Umgang mit digitalen Risiken. Außerdem bleibt gemäß Art. 5 DORA das Leitungsorgan eines Finanzunternehmens für die Einhaltung der Vorgaben an die digitale Resilienz verantwortlich und damit auch für das IAM.
Im IAM-Kontext stellen sich folgende Fragen:
- Wer entscheidet über Rollenmodelle?
- Wer genehmigt Zugriffsrechte? Und auf welcher Grundlage?
- Wer überwacht kritische Zugriffe?
- Wie werden Ausnahmen behandelt?
Typische Projektelemente umfassen den Aufbau eines IAM-Governance Boards, Rollenmodellierung, Prozessberatung und Tool-Auswahl oder -Erweiterung.
In der Praxis zeigt sich oft: Rollenmodelle wurden über Jahre organisch entwickelt – ohne Governance, ohne klare Entscheidungsgrundlage. DORA verlangt jedoch, dass Rollen ermittelt, dokumentiert und regelmäßig überprüft werden.
Ein wirksames Governance-Modell stellt sicher, dass Zugriffsentscheidungen auf definierten Prozessen beruhen, nicht auf individuellen Einschätzungen. Wer Zugriff genehmigt, muss auch die Folgen abschätzen können, fachlich wie regulatorisch. Für eine konsistente Nachweisführung empfiehlt es sich, IAM-Prozesse eng mit dem bestehenden GRC-Framework (Governance, Risk & Compliance) zu verzahnen. So lassen sich Genehmigungsworkflows, Risikobewertungen und Kontrollmechanismen durchgängig verbinden und auditierbar dokumentieren.
Bewährte Praxis ist, Genehmigungsprozesse so zu gestalten, dass eine Funktionstrennung (Segregation of Duties, SoD) eingehalten wird, z.B. durch getrennte Genehmiger oder Gegenprüfer. Dies erhöht Transparenz, reduziert Risiken und entspricht typischen Erwartungshaltungen bei Revisionen.
Vorbereitet für den Ernstfall - IAM spezifisches Incident Management
Im Ernstfall muss es schnell gehen; gerade im IAM können schon Minuten entscheidend sein. Vorbereitete Prozesse und klare Zuständigkeiten geben die nötige Sicherheit, damit Unternehmen auch in kritischen Situationen souverän und regelkonform handeln können.
Dazu gehören:
- IAM spezifische Incident-Response-Pläne, die auch regulatorische Meldewege abdecken
- Frühwarnsysteme und Logging-Strategien, um Auffälligkeiten rechtzeitig zu erkennen
- Kommunikationsprozesse, die im Notfall greifen
Ein zukunftssicheres IAM-Design orientiert sich zunehmend an den „Zero Trust“ – Prinzipien: Kein Zugriff wird ohne Verifizierung gewährt, selbst innerhalb interner Netzwerke. In diesem Zusammenhang eignen sich Identity Governance and Administration (IGA)-Plattformen sowie moderne Identity-as-a-Service Lösungen (IDaaS), die Zero-Trust-Prinizipien effizient umsetzen und gleichzeitig regulatorische Anforderungen erfüllen.
Zero Trust wird durch DORA nicht explizit verlangt, gilt aber als übliche Praxis zur Umsetzung sicherer, dynamischer Zugriffskontrollen. Dadurch kann dieser Ansatz helfen, DORA-konforme Resilienz zu erreichen.
Reaktionsfähigkeit gilt es nicht nur zu simulieren, sondern zu operationalisieren. Das bedeutet: getestete Prozesse, klare Ansprechpartner, dokumentierte Abläufe, die im Ernstfall zuverlässig greifen.
Entscheidend ist, dass Notfallprozesse nicht erst im Ernstfall definiert werden. Wer bei einem iNcident nichtw eiß, wie privilegierte Zugänge gesperrt, Protokolle gesichert oder Behörden informiert werden, riskiert nicht nur operative Ausfälle, sondern auch regulatorische Folgen.
Ein erprobtes IAM-spezifisches Incident Management sollte klare Rollen, technische Maßnahmen (z.B. temporäre Deaktivierung kritischer Konten) und abgestimmte Kommunikationswege umfassen, idealerweise abgestimmt mit GRC, IT-Security und den Fachbereichen. SIEM kann dabei helfen, sicherheitsrelevante Anomalien in Echtzeit zu erkennen und automatisierte Reaktionen einzuleiten.
Lieferanten, IKT-Dienstleister- und Lieferkettenmanagement
DORA verstärkt die Anforderungen für das Management von IKT-Dienstleistern und Lieferkette. Verträge und Schnittstellen mit IKT-Dienstleistern dürfen keine unkontrollierten Risiken bringen. In diesem Zusammenhang wird auch zwischen nicht-kritischen und kritischen Funktionen unterschieden.
Hierfür eignet sich eine systematische Vorgehensweise:
- IKT-Dienstlesiter identifizieren und nach Kritikalität einstufen
- Funktionen klären: Verantwortlichkeiten und Zuständigkeit für Daten und Zugriffsrechte, die nach DORA relevant sind
- Vertragsklauseln gestalten: Anforderungen an nicht-kritische und kritische Funktionen beachten
- Monitoring und Review etablieren: KPIs, Audits, Risikoeinschätzungen und regelmäßige Sicherheitsbewertungen
- Lieferketten-Risiken minimieren: Abhängigkeiten reduzieren, mögliche Streitpunkte und Konzentrationsrisiken einbeziehen, ggf. Redundanzen oder alternative Anbieter einplanen
- Ausstiegsstrategien definieren: Verfahren und Verantwortlichkeiten für den kontrollierten Ausstieg bei kritischen Dienstleistern (z. B. bei Vertragsverletzung) festlegen
- Vorvertragliche Risikoanalyse: Technische, operationelle, rechtliche und Reputationsrisiken vor Vertragsabschluss systematisch bewerten
- Zentrales IKT-Dienstleisterregister führen: Übersicht über alle Dienstleister und Unterauftragnehmer, deren Kritikalität, Vertragsstatus und relevante Risikoinformationen pflegen
- Reporting und Eskalationen regeln: Vorfallmanagement definieren, inklusive Meldepflichten bei sicherheitsrelevanten Ereignissen durch IKT-Dienstleister
- Governance stärken: Relevante Kontrollinstanzen (Risiko, Compliance, Audit) in der Auswahl, Bewertung und Überwachung von Dienstleistern einbinden
Auch Unterauftragnehmer können IAM-bezogene Risiken verursachen. DORA fordert daher klare Bedingungen für Unterauftragnehmer bei kritischen Funktionen.
Insbesondere bei Dienstleisterzugriffen entstehen häufig Unklarheiten, etwa zur Verantwortung bei gemeinsam genutzten Konten oder zur Rezertifizierung. Ein robustes IAM berücksichtigt diese Fragen strukturell, nicht als Ausnahmefall.
IAM-Prozesse sollten auch bei Dienstleistern greifen: z.B. durch Mandatenfähigkeit, Audit-Logging oder Zugriffsbeschränkung auf dedizierte Service-Zeitfenster. Ergänzend bietet sich der Einsatz von PAM an, um privilegierte Drittzugriffe nachvollziehbar, zeitlich begrenzt und regelbasiert zu steuern.
Achten Sie darauf, dass IAM-Systeme über Standardschnittstellen (z.B. SAML, OIDC, SCIM) auch mit externen IKT-Dienstleistern verbunden sind. Nur so lassen sich Identitäten systematisch verwalten und Berechtigungen kontrolliert entziehen.
IAM sollte Risiken gemeinsamer Identitäten bei Dienstliestern berücksichtigen. Verträge regeln den Umgang mit privilegierten Zugängen sowie Protokollierungs- und Reviewpflichten. Bei Konzentrationsrisiken ist sicherzustellen, dass kritische IAM-Funtkionen nicht ausschließlich extern liegen.
Schulung und Sensibilisierung
Technische und organisatorische Maßnahmen allein genügen nicht, wenn Menschen nicht wissen, wie sie diese richtig einsetzen. DORA verlangt, dass Mitarbeitende und Verantwortliche regelmäßig geschult und für Risiken und die IT-Sicherheit sensibilisiert werden, dazu zählen auch verantwortliche Mitglieder des Leitungsorgans.
Neben technischen Rollen sollten auch Fachbereiche und Führungskräfte regelmäßig geschult werden, insbesondere zu ihrer Rolle im IAM-Genehmigungsprozess. In der Praxis wird IAM oft als reine IT-Aufgabe verstanden, obwohl viele Zugriffsentscheidungen in den Fachbereichen getroffen werden. Eine effektive Schulung geht über reine IT-Sicherheit hinaus: Sie klärt Verantwortungen, vermittelt Entscheidungsregeln für Genehmigungen und zeigt typische IAM-Fehlentscheidungen aus der Praxis.
Schulungsinhalte sollten dabei auf reale Rollen und Prozesse abgestimmt sein, vom Admin bis zur Führungskraft. So wird IAM zur gelebten Verantwortung – nicht zur Checkliste.
Dabei sind folgende Punkte zu beachten:
- Zielgruppen: Wer muss was wissen?
- Schulungsformate entwickeln: Workshops, E-Learnings, Awareness-Kampagnen, Szenario-Trainings
- Dokumentation & Nachweis: Schulungen protokollieren, Fortschritt messen, regelmäßig auffrischen
- Change Management: Kultur der Verantwortung fördern, damit Richtlinien und Prozesse auch gelebt werden
Schulungsmaßnahmen sollten auch nachvollziehbar dokumentiert und protokolliert werden.
Kontinuierliche Verbesserung & Anpassung
Vorgaben durch DORA sind nicht statisch: Bedrohungen , Technik und auch regulatorische Erwartungen ändern sich. Statt einem einmaligen Projekt ist es notwendig, einen lebendigen Prozess zu etablieren.
Was das, je nach Unternehmen umfasst:
- Regelmäßige Reviews und Audits: Prozesse, Rollen, technische Controls müssen periodisch bewertet werden
- Resilienz- bzw. Sicherheitstests aktualisieren: Penetrationstests, Notfall- und Widerherstellungsübungen, ggf. simulierte IAM-Vorfälle
- Anpassung an neue Anforderungen: Neue oder aktualisierte Regulatory Technical Standards (RTS) im Rahmen von DORA, Änderungen an der Verordnung selbst, Entwicklungen in der Supply Chain oder neue Technologien (z.B. Cloud, Zero Trust, Identity Fabric) erfordern eine kontinuierliche Anpassung an bestehenden Prozese.
- Feedback und Lessons Learned Integration: Aus Vorfällen, Audits, internen Tests lernen und Prozesse verbessern
Die DORA-RTS präzisieren regulatorische Anforderungen gemäß Art. 15 DORA fortlaufend. So definiert etwa die Verordnung (EU) 2024/1772 konkrete Kriterien zur Einstufung von Sicherheitsvorfällen, während (EU) 2025/301 Anforderungen an Inhalte, Formate und Fristen von Meldungen regelt. Unternehmen sollten dafür geeignete Prozesse etablieren, um solche Änderungen systematisch zu verfolgen und operativ umzusetzen.
Digitale Resilienz ist kein fixer Zustand, sie erfordert einen fortlaufenden Anpassungsprozess. IAM-System müssen sich kontinuierlich an veränderte Technologien, neue regulatorische Vorgaben und interne Umstrukturierungen anpassen. Ein festes Review-Intervall, etwa jährlich oder bei Systemeinführungen, hilft, nicht in alten Strukturen stecken zu bleiben.
Entscheidend ist auch, dass Erkenntnisse aus Lessons Learned aus Incidents oder Audits in konkrete Prozessverbesserungen überführt werden, und nicht nur dokumentiert im Archiv landen.
IAM sollte auch im Rahmen des Business Continuity Managements (BCM) berücksichtigt werden, z.B. durch Fallback-Lösungen für Authentifizierung im Krisenfall oder durch Notfallrollen für Zugriffe bei Systemausfällen. So bleibt der Zugriff auch in Notlagen gesichert- aber kontrolliert.
Sie stehen vor der Herausforderung, IAM im Sinne von DORA zu analysieren, zu verbessern oder ganz neu zu denken?
Unser IAM Health Check schafft Klarheit, Prioritäten udn fundierte Ergebnisse für ihre DORA-Compliance. Wir begleiten Sie von der Implementierung bis zur langfristigen Partnerschaft mit regelmäßigen Checks, Audits und kontinuierlichem Support.
Lassen Sie uns gemeinsam Ihre IAM-Struktur DORA-konform gestalten.
Kontaktieren Sie uns für Ihre Dora-Compliance!
Quellenangaben:
Andreas Reinhardt, „PayPal-Panne: Was Kunden jetzt beachten müssen – SWR Aktuell“. Zugegriffen: 30. Oktober 2025. [Online]. Verfügbar unter: https://www.swr.de/swraktuell/baden-wuerttemberg/paypal-banken-blockieren-offenbar-zahlungen-100.html
Europäisches Parlament und Rat, Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über die digitale operationale Resilienz im Finanzsektor. 2022. Zugegriffen: 18. September 2025. [Online]. Verfügbar unter: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A02022R2554-20221227#art_1
Europäisches Parlament und Rat, Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über die digitale operationale Resilienz im Finanzsektor. 2022. Zugegriffen: 18. September 2025. [Online]. Verfügbar unter: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A02022R2554-20221227#art_6
Europäisches Parlament und Rat, Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über die digitale operationale Resilienz im Finanzsektor. 2022. Zugegriffen: 1. Oktober 2025. [Online]. Verfügbar unter: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A02022R2554-20221227#art_9
Europäisches Parlament und Rat, Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über die digitale operationale Resilienz im Finanzsektor. 2022. Zugegriffen: 7. Oktober 2025. [Online]. Verfügbar unter: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A02022R2554-20221227#art_19
Statistisches Bundesamt (Destatis), „IKT-Branche – Statistisches Bundesamt“. Zugegriffen: 30. September 2025. [Online]. Verfügbar unter: https://www.destatis.de/DE/Themen/Branchen-Unternehmen/Unternehmen/IKT-in-Unternehmen-IKT-Branche/ikt-branche-erlaeuterungen.html
Europäisches Parlament und Rat, Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über die digitale operationale Resilienz im Finanzsektor. 2022. Zugegriffen: 19. September 2025. [Online]. Verfügbar unter: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A02022R2554-20221227#art_8
Europäisches Parlament und Rat, Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über die digitale operationale Resilienz im Finanzsektor. 2022. Zugegriffen: 18. September 2025. [Online]. Verfügbar unter: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A02022R2554-20221227#art_5
Europäisches Parlament und Rat, Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über die digitale operationale Resilienz im Finanzsektor. 2022. Zugegriffen: 26. September 2025. [Online]. Verfügbar unter: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A02022R2554-20221227#art_28
Europäisches Parlament und Rat, Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über die digitale operationale Resilienz im Finanzsektor. 2022. Zugegriffen: 30. September 2025. [Online]. Verfügbar unter: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A02022R2554-20221227#art_30
Europäisches Parlament und Rat, Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über die digitale operationale Resilienz im Finanzsektor. 2022. Zugegriffen: 7. Oktober 2025. [Online]. Verfügbar unter: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A02022R2554-20221227#art_15
Europäische Kommission, Delegierte Verordnung (EU) 2024/1772 der Kommission vom 13. März 2024 zur Ergänzung der Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates durch technische Regulierungsstandards zur Festlegung der Kriterien für die Klassifizierung von IKT-bezogenen Vorfällen und Cyberbedrohungen, der Wesentlichkeitsschwellen und der Einzelheiten von Meldungen schwerwiegender Vorfälle. 2024. Zugegriffen: 7. Oktober 2025. [Online]. Verfügbar unter: https://eur-lex.europa.eu/legal-content/DE/ALL/?uri=CELEX%3A32024R1772
Europäische Kommission, Delegierte Verordnung (EU) 2025/301 der Kommission vom 23. Oktober 2024 zur Ergänzung der Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates durch technische Regulierungsstandards zur Festlegung des Inhalts und der Fristen für die Erstmeldung, die Zwischenmeldung und die Abschlussmeldung schwerwiegender IKT-bezogener Vorfälle sowie des Inhalts der freiwilligen Meldung erheblicher Cyberbedrohungen. 2025. Zugegriffen: 7. Oktober 2025. [Online]. Verfügbar unter: https://eur-lex.europa.eu/legal-content/DE/ALL/?uri=CELEX%3A32025R0301
FAQs zu Identity and Access Management (IAM)
GRUNDLAGEN VON IDENTITY AND ACCESS MANAGEMENT
Identity and Access Management (IAM) ist ein Framework von Technologien und Prozessen, das sicherstellt, dass die richtigen Personen in einem Unternehmen die richtigen Ressourcen zum richtigen Zeitpunkt und aus den richtigen Gründen nutzen können.
IAM ist essenziell, um Geschäftsprozesse effizient zu gestalten, IT-Sicherheit zu erhöhen und gleichzeitig Compliance-Anforderungen zu erfüllen. Es hilft, Kosten zu senken und Sicherheitsrisiken zu minimieren.
IAM sorgt dafür, dass nur autorisierte Nutzer Zugriff auf sensible Daten und Systeme haben. Durch Funktionen wie Multi-Faktor-Authentifizierung, rollenbasierte Zugriffe und automatisierte Überwachung wird das Risiko von Sicherheitsverletzungen drastisch reduziert.
IAM beschleunigt besonders Prozesse wie das Onboarding und Offboarding von Mitarbeitern, die Bereitstellung von Zugriffsrechten und die Einhaltung von Compliance-Vorgaben.
IAM FÜR UNTERNEHMEN JEDER GRÖßE
Ja, IAM ist nicht nur für Großunternehmen geeignet. Auch KMU profitieren von gesteigerter Effizienz, geringeren Sicherheitsrisiken und einer einfacheren Verwaltung von Benutzerzugriffen.
Die Kosten für IAM variieren je nach Unternehmensgröße, Anforderungen und Anbieter. Dennoch amortisiert sich die Investition oft durch Einsparungen bei der Verwaltung und Vermeidung von Sicherheitsvorfällen.
Die Dauer hängt von der Komplexität der Infrastruktur und den Anforderungen ab. Einfache Lösungen können in wenigen Wochen implementiert werden, während komplexe Systeme mehrere Monate dauern können.
Ja, IAM spielt eine Schlüsselrolle beim Schutz vor Cyberangriffen, da es unbefugten Zugriff verhindert und Sicherheitslücken durch automatisierte Überwachung schnell erkennt.
IAM IM VERGLEICH UND IN DER PRAXIS
IAM verwaltet den Zugriff für alle Benutzer in einem Unternehmen, während PAM speziell für die Verwaltung und Sicherung privilegierter Benutzerkonten, wie Admin-Zugriffe, zuständig ist.
IAM hilft Unternehmen, Zugriffe lückenlos zu dokumentieren, Rollen und Berechtigungen zu verwalten und Sicherheitsmaßnahmen wie Zwei-Faktor-Authentifizierung umzusetzen – alles essenziell für die Einhaltung von Vorgaben wie der DSGVO.
Moderne IAM-Systeme nutzen Technologien wie Single Sign-On (SSO), Multi-Faktor-Authentifizierung (MFA), biometrische Sicherheit, rollenbasierte Zugriffskontrolle (RBAC) und Cloud-basierte Lösungen.
Cloud-basierte IAM-Lösungen sind flexibler, skalierbar und oft kosteneffizienter, während On-Premise-Lösungen mehr Kontrolle über die Daten bieten, aber höhere Wartungsaufwände erfordern.
EINFÜHRUNG UND LANGFRISTIGE VORTEILE VON IAM
Zu den Herausforderungen gehören die Integration mit bestehenden Systemen, die Definition von Rollen und Berechtigungen sowie die Schulung der Mitarbeiter für den effektiven Einsatz.
IAM steigert die Effizienz, reduziert Sicherheitsrisiken, verbessert die Compliance und erhöht die Produktivität der Mitarbeiter – eine Investition, die sich auf lange Sicht auszahlt.
Starten wir Ihr Projekt
Lernen wir uns in einem unverbindlichen Erstgespräch kennen oder senden Sie uns Ihre Anfrage über das Kontaktformular.