Branchen

Banken

Der Bankensektor steht unter besonders intensiver regulatorischer Kontrolle. Mit DORA (in Kraft seit 17. Januar 2025) hat der EU-Gesetzgeber verbindliche ICT-Risikomanagement-Anforderungen eingeführt, die privilegierten Zugang direkt adressieren. PAM Xpert versteht die spezifischen Herausforderungen regulierter Banken.

Regulatorischer Rahmen

DORA und die Anforderungen an Banken

Die Digital Operational Resilience Act (DORA), Verordnung (EU) 2022/2554, ist seit dem 17. Januar 2025 in Kraft und gilt unmittelbar — ohne nationale Transposition — für alle Kreditinstitute in der EU. DORA hat in Deutschland BAIT und KAIT abgelöst.

Das ICT-Risikomanagement-Rahmenwerk nach DORA Art. 6 ff. verlangt dokumentierte Strategien, Richtlinien und Protokolle zum Schutz aller ICT-Assets. Privilegierte Systeme und Zugangspfade — Core Banking, SWIFT, Treasury-Systeme, Handelssysteme — sind hiervon direkt betroffen.

Für systemrelevante Institute schreibt DORA Art. 26 digitale operationale Resilienz-Tests (TLPT — Threat-Led Penetration Testing) vor. Die Identitätssicherung privilegierter Zugänge ist dabei eine Prüfkategorie.

Wichtig für deutsche Banken: Mit Inkrafttreten von DORA zum 17. Januar 2025 hat die BaFin BAIT und KAIT aufgehoben. DORA gilt nun als unmittelbar anwendbares EU-Recht. Bestehende BAIT-konforme Implementierungen müssen auf DORA-Konformität überprüft werden.

PAM im Bankensektor

Spezifische Herausforderungen

01

Core Banking und kritische Finanzsysteme

Core-Banking-Systeme (z.B. Temenos T24, Finacle, SAP Banking), SWIFT-Infrastruktur, Treasury- und Handelssysteme verwalten finanzielle Kerntransaktionen. Privilegierter Zugang zu diesen Systemen muss ausnahmslos via PAM kontrolliert, aufgezeichnet und auditierbar sein — sowohl für interne Administratoren als auch für externe Serviceprovider.

02

Drittanbieter-Zugang (DORA Art. 28 ff.)

DORA verpflichtet Banken zur aktiven Verwaltung von ICT-Drittparteienrisiken. Externer Zugang von IT-Dienstleistern, Software-Vendoren und Outsourcing-Partnern auf kritische Systeme muss über Vendor-PAM-Lösungen kontrolliert werden — mit vollständiger Session-Aufzeichnung, JIT-Access und Zero-Standing-Privileges.

03

Audit-Trails für Prüfungen und Regulatoren

Regulatoren (EBA, EZB, BaFin) und externe Prüfer erwarten lückenlose Nachweise über privilegierte Zugriffe auf sicherheitsrelevante Systeme. PAM liefert diese Nachweise: vollständige Session-Aufzeichnungen, Zugriffshistorien, Passwort-Rotations-Logs — revisionssicher und manipulationsgeschützt.

04

High-Availability und Business Continuity

Banken operieren 24/7. PAM-Architekturen im Bankensektor erfordern Hochverfügbarkeits-Konfigurationen (aktiv-passiv oder aktiv-aktiv Vault-Cluster), definierte Break-Glass-Prozesse für Notfallzugänge und Disaster-Recovery-Konzepte — damit Sicherheitskontrollen nie zur operativen Verfügbarkeit in Konflikt treten.

Banken

DORA-konforme PAM-Implementierung

PAM Xpert unterstützt Banken beim Aufbau DORA-konformer PAM-Strukturen — technisch fundiert und regulatorisch validiert.