Banken
Der Bankensektor steht unter besonders intensiver regulatorischer Kontrolle. Mit DORA (in Kraft seit 17. Januar 2025) hat der EU-Gesetzgeber verbindliche ICT-Risikomanagement-Anforderungen eingeführt, die privilegierten Zugang direkt adressieren. PAM Xpert versteht die spezifischen Herausforderungen regulierter Banken.
DORA und die Anforderungen an Banken
Die Digital Operational Resilience Act (DORA), Verordnung (EU) 2022/2554, ist seit dem 17. Januar 2025 in Kraft und gilt unmittelbar — ohne nationale Transposition — für alle Kreditinstitute in der EU. DORA hat in Deutschland BAIT und KAIT abgelöst.
Das ICT-Risikomanagement-Rahmenwerk nach DORA Art. 6 ff. verlangt dokumentierte Strategien, Richtlinien und Protokolle zum Schutz aller ICT-Assets. Privilegierte Systeme und Zugangspfade — Core Banking, SWIFT, Treasury-Systeme, Handelssysteme — sind hiervon direkt betroffen.
Für systemrelevante Institute schreibt DORA Art. 26 digitale operationale Resilienz-Tests (TLPT — Threat-Led Penetration Testing) vor. Die Identitätssicherung privilegierter Zugänge ist dabei eine Prüfkategorie.
Wichtig für deutsche Banken: Mit Inkrafttreten von DORA zum 17. Januar 2025 hat die BaFin BAIT und KAIT aufgehoben. DORA gilt nun als unmittelbar anwendbares EU-Recht. Bestehende BAIT-konforme Implementierungen müssen auf DORA-Konformität überprüft werden.
Spezifische Herausforderungen
Core Banking und kritische Finanzsysteme
Core-Banking-Systeme (z.B. Temenos T24, Finacle, SAP Banking), SWIFT-Infrastruktur, Treasury- und Handelssysteme verwalten finanzielle Kerntransaktionen. Privilegierter Zugang zu diesen Systemen muss ausnahmslos via PAM kontrolliert, aufgezeichnet und auditierbar sein — sowohl für interne Administratoren als auch für externe Serviceprovider.
Drittanbieter-Zugang (DORA Art. 28 ff.)
DORA verpflichtet Banken zur aktiven Verwaltung von ICT-Drittparteienrisiken. Externer Zugang von IT-Dienstleistern, Software-Vendoren und Outsourcing-Partnern auf kritische Systeme muss über Vendor-PAM-Lösungen kontrolliert werden — mit vollständiger Session-Aufzeichnung, JIT-Access und Zero-Standing-Privileges.
Audit-Trails für Prüfungen und Regulatoren
Regulatoren (EBA, EZB, BaFin) und externe Prüfer erwarten lückenlose Nachweise über privilegierte Zugriffe auf sicherheitsrelevante Systeme. PAM liefert diese Nachweise: vollständige Session-Aufzeichnungen, Zugriffshistorien, Passwort-Rotations-Logs — revisionssicher und manipulationsgeschützt.
High-Availability und Business Continuity
Banken operieren 24/7. PAM-Architekturen im Bankensektor erfordern Hochverfügbarkeits-Konfigurationen (aktiv-passiv oder aktiv-aktiv Vault-Cluster), definierte Break-Glass-Prozesse für Notfallzugänge und Disaster-Recovery-Konzepte — damit Sicherheitskontrollen nie zur operativen Verfügbarkeit in Konflikt treten.
DORA-konforme PAM-Implementierung
PAM Xpert unterstützt Banken beim Aufbau DORA-konformer PAM-Strukturen — technisch fundiert und regulatorisch validiert.
