Verfahren für das Identitätsmanagement (Art. 20 Abs. 1 RTS RMF)
Digitale Resilienz beginnt bei der sicheren Identität: Wer darf worauf zugreifen – und wie eindeutig kann diese Person oder ein System authentifiziert werden?
Nach Art. 20 Abs. 1 RTS RMF müssen Finanzunternehmen verbindliche Verfahren und Richtlinien für das Identitätsmanagement entwickeln, dokumentieren und implementieren. Ziel ist die eindeutige Identifikation und Authentifizierung aller natürlichen Personen und Systeme mit Zugriffsrechten auf sensible Informationen.
Anforderungen an das Identitätsmanagement nach DORA
| Anforderung | Beschreibung |
|---|---|
| Eindeutige Identifikation | Jeder Nutzer und jedes System muss eindeutig einer ID zugewiesen werden |
| Sichere Authentifizierung | Zugriff darf nur nach erfolgreicher Authentifizierung mit starken Mechanismen erfolgen |
| Systemintegration | Identitäten müssen auch für automatisierte Zugriffe, Schnittstellen und Dienste verwaltet werden |
| Dokumentationspflicht | Das Verfahren zur Identitätsvergabe und -verifizierung muss vollständig dokumentiert sein |
| Verknüpfung mit Zugriffskontrolle | Identitätsmanagement ist zwingende Voraussetzung für die Umsetzung von Art. 21 (Zugriffsrechte) |
Praxisbausteine für DORA-konformes Identitätsmanagement
| Bereich | Maßnahme |
|---|---|
| User Lifecycle Management | Klare Prozesse für Erstanlage, Änderungen, Sperrung und Löschung von Identitäten |
| Multi-Faktor-Authentifizierung (MFA) | Einsatz starker Authentifizierungsverfahren (z. B. Token, biometrisch, One-Time Passwords) |
| Systematische Rollenvergabe | Rollenbasierte Identitäten mit minimal erforderlichen Rechten („Least Privilege“) |
| Audit-Trail | Jede Identitätsänderung wird revisionssicher protokolliert |
| Regelmäßige Revalidierung | Identitäten und zugeordnete Berechtigungen werden regelmäßig überprüft |