Das IAM ist historisch gewachsen, mit zu vielen Ausnahmen und manuellen Prozessen

• Es fehlt ein einheitlicher Überblick über Nutzer, Rollen und kritische Systeme
• externe Dienstleister und Schatten-IT enziehen sich oft der Kontrolle
• Zugriffsrechte werden oft zu spät überprüft oder nur lückenhaft entzogen
• Verantwortlichkeiten für IAM und IT-Risiken sind nicht klar geregelt

Kurz gesagt: IAM wird oft übersehen, dabei ist es der zentrale Schlüssel zur DORA-Compliance

Im Ernstfall muss es schnell gehen; gerade im IAM können schon Minuten entscheidend sein.  Vorbereitete Prozesse und klare Zuständigkeiten geben die nötige Sicherheit, damit Unternehmen auch in kritischen Situationen souverän und regelkonform handeln können.

Dazu gehören:

• IAM spezifische Incident-Response-Pläne, die auch regulatorische Meldewege abdecken
• Frühwarnsysteme und Logging-Strategien, um Auffälligkeiten rechtzeitig zu erkennen
• Kommunikationsprozesse, die im Notfall greifen

Ein zukunftssicheres IAM-Design orientiert sich zunehmend an den „Zero Trust“ – Prinzipien: Kein Zugriff wird ohne Verifizierung gewährt, selbst innerhalb interner Netzwerke. In diesem Zusammenhang eignen sich Identity Governance and Administration (IGA)-Plattformen sowie moderne Identity-as-a-Service  Lösungen (IDaaS), die Zero-Trust-Prinizipien effizient umsetzen und gleichzeitig regulatorische Anforderungen erfüllen.

Zero Trust wird durch DORA nicht explizit verlangt, gilt aber als übliche Praxis zur Umsetzung sicherer, dynamischer Zugriffskontrollen. Dadurch kann dieser Ansatz helfen, DORA-konforme Resilienz zu erreichen.

Reaktionsfähigkeit gilt es nicht nur zu simulieren, sondern zu operationalisieren. Das bedeutet: getestete Prozesse, klare Ansprechpartner, dokumentierte Abläufe, die im Ernstfall zuverlässig greifen.

Entscheidend ist, dass Notfallprozesse nicht erst im Ernstfall definiert werden. Wer bei einem iNcident nichtw eiß, wie privilegierte Zugänge gesperrt, Protokolle gesichert oder Behörden informiert werden, riskiert nicht nur operative Ausfälle, sondern auch regulatorische Folgen.

Ein erprobtes IAM-spezifisches Incident Management sollte klare Rollen, technische Maßnahmen (z.B. temporäre Deaktivierung kritischer Konten) und abgestimmte Kommunikationswege umfassen, idealerweise abgestimmt mit GRC, IT-Security und den Fachbereichen. SIEM kann dabei helfen, sicherheitsrelevante Anomalien in Echtzeit zu erkennen und automatisierte Reaktionen einzuleiten.

Technische und organisatorische Maßnahmen allein genügen nicht, wenn Menschen nicht wissen, wie sie diese richtig einsetzen. DORA verlangt, dass Mitarbeitende und Verantwortliche regelmäßig geschult und für Risiken und die IT-Sicherheit sensibilisiert werden, dazu zählen auch verantwortliche Mitglieder des Leitungsorgans.

Neben technischen Rollen sollten auch Fachbereiche und Führungskräfte regelmäßig geschult werden, insbesondere zu ihrer Rolle im IAM-Genehmigungsprozess. In der Praxis wird IAM oft als reine IT-Aufgabe verstanden, obwohl viele Zugriffsentscheidungen in den Fachbereichen getroffen werden. Eine effektive Schulung geht über reine IT-Sicherheit hinaus: Sie klärt Verantwortungen, vermittelt Entscheidungsregeln für Genehmigungen und zeigt typische IAM-Fehlentscheidungen aus der Praxis.

Schulungsinhalte sollten dabei auf reale Rollen und Prozesse abgestimmt sein, vom Admin bis zur Führungskraft. So wird IAM zur gelebten Verantwortung – nicht zur Checkliste.

Dabei sind folgende Punkte zu beachten:

• Zielgruppen: Wer muss was wissen?
• Schulungsformate entwickeln: Workshops, E-Learnings, Awareness-Kampagnen, Szenario-Trainings
• Dokumentation & Nachweis: Schulungen protokollieren, Fortschritt messen, regelmäßig auffrischen
• Change Management: Kultur der Verantwortung fördern, damit Richtlinien und Prozesse auch gelebt werden

Schulungsmaßnahmen sollten auch nachvollziehbar dokumentiert und protokolliert werden.

Vorgaben durch DORA sind nicht statisch: Bedrohungen , Technik und auch regulatorische Erwartungen ändern sich. Statt einem einmaligen Projekt ist es notwendig, einen lebendigen Prozess zu etablieren.

Was das, je nach Unternehmen umfasst:

• Regelmäßige Reviews und Audits: Prozesse, Rollen, technische Controls müssen periodisch bewertet werden
• Resilienz- bzw. Sicherheitstests aktualisieren: Penetrationstests, Notfall- und Widerherstellungsübungen, ggf. simulierte IAM-Vorfälle
• Anpassung an neue Anforderungen: Neue oder aktualisierte Regulatory Technical Standards (RTS) im Rahmen von DORA, Änderungen an der Verordnung selbst, Entwicklungen in der Supply Chain oder neue Technologien (z.B. Cloud, Zero Trust, Identity Fabric) erfordern eine kontinuierliche Anpassung an bestehenden Prozese.
• Feedback und Lessons Learned Integration: Aus Vorfällen, Audits, internen Tests lernen und Prozesse verbessern

Die DORA-RTS präzisieren regulatorische Anforderungen gemäß Art. 15 DORA fortlaufend. So definiert etwa die Verordnung (EU) 2024/1772 konkrete Kriterien zur Einstufung von Sicherheitsvorfällen, während (EU) 2025/301 Anforderungen an Inhalte, Formate und Fristen von Meldungen regelt. Unternehmen sollten dafür geeignete Prozesse etablieren, um solche Änderungen systematisch zu verfolgen und operativ umzusetzen.

Digitale Resilienz ist kein fixer Zustand, sie erfordert einen fortlaufenden Anpassungsprozess. IAM-System müssen sich kontinuierlich an veränderte Technologien, neue regulatorische Vorgaben und interne Umstrukturierungen anpassen. Ein festes Review-Intervall, etwa jährlich oder bei Systemeinführungen, hilft, nicht in alten Strukturen stecken zu bleiben.

Entscheidend ist auch, dass Erkenntnisse aus Lessons Learned aus Incidents oder Audits in konkrete Prozessverbesserungen überführt werden, und nicht nur dokumentiert im Archiv landen.

IAM sollte auch im Rahmen des Business Continuity Managements (BCM) berücksichtigt werden, z.B. durch Fallback-Lösungen für Authentifizierung im Krisenfall oder durch Notfallrollen für Zugriffe bei Systemausfällen. So bleibt der Zugriff auch in Notlagen gesichert- aber kontrolliert.