Verfahren für Zugangs- und Zugriffsrechte (Art. 9 Abs. 4 lit. c DORA)
Artikel 9 Absatz 4 Buchstabe c der DORA schreibt vor, dass Finanzunternehmen den Zugang zu Informations- und IKT-Assets strikt auf den notwendigen Umfang beschränken müssen. Dies betrifft sowohl physischen als auch logischen Zugang.
Konkret heißt das: Nur autorisierte Personen dürfen Zugang zu Systemen oder Daten erhalten – und nur soweit dies für ihre Aufgaben notwendig ist („Need-to-Know“- und „Least Privilege“-Prinzip).
Anforderungen an Zugriffsverfahren gemäß DORA
| Pflicht nach DORA | Bedeutung für die Praxis |
|---|---|
| Zugriffsbeschränkung | Kein Zugriff ohne klaren Bedarf und vorherige Genehmigung |
| Richtlinien und Verfahren | Schriftlich dokumentierte Regeln für Zugriff, Rechtevergabe, Löschung |
| Technische und organisatorische Kontrollen | Rollenkonzepte, Rechteverwaltung, Zugriffsdokumentation |
| Gründliche Verwaltung der Rechte | Lifecycle-Management für alle Zugriffsrechte inkl. regelmäßiger Reviews |
Umsetzungsempfehlungen für DORA-konforme Zugriffskontrollen
| Bereich | Maßnahme |
|---|---|
| Rollenbasiertes Berechtigungskonzept | Definition, Zuweisung und Prüfung von Rollen mit abgestuften Rechten |
| Genehmigungsverfahren | Kein Zugriff ohne dokumentierte Autorisierung durch eine berechtigte Instanz |
| Systemtechnische Umsetzung | Zentralisierte Benutzer- und Rechteverwaltung mit Logging (z. B. IAM, AD, RBAC) |
| Regelmäßige Rezertifizierung | Jährliche oder halbjährliche Prüfung aller Zugriffsrechte durch Fachbereiche |
| Entzug bei Austritt/Wechsel | Automatisierter Rechteentzug bei Personalveränderung oder Funktionswechsel |