
DORA Compliance
DORA & privilegierte Zugriffe
Kontrollierter, aufgezeichneter privilegierter Zugriff nach DORA – Art. 9 Zugriffskontrolle und Art. 28 Drittanbieter-Steuerung, mit Session Recording und prüffähigem Audit-Trail. Umgesetzt mit der Blackfort Privileged Access Bridge.
Was DORA für privilegierte Zugriffe verlangt
Der Digital Operational Resilience Act (DORA) gilt seit dem 17. Januar 2025 verbindlich für Finanzunternehmen in der EU. Für IKT-Drittdienstleister wirken die Anforderungen mittelbar – über die von DORA vorgeschriebenen Vertragsinhalte; als kritisch eingestufte Drittdienstleister unterliegen zusätzlich einer direkten EU-Aufsicht. Privilegierte Zugriffe (Administratoren, Wartungszugänge, externe Dienstleister auf kritische IKT-Systeme) stehen dabei im Zentrum: Sie sind der wirksamste Hebel eines Angreifers und damit ein direktes Ziel des DORA-IKT-Risikomanagements.
Artikel 9 (Schutz und Prävention) verlangt, dass Finanzunternehmen den Zugang zu IKT-Systemen auf das notwendige Maß beschränken (Least Privilege, Art. 9 Abs. 4 lit. c) und mit starken Authentifizierungsmechanismen absichern (Art. 9 Abs. 4 lit. d). Die zugehörigen Regulatory Technical Standards (Delegierte Verordnung (EU) 2024/1774) konkretisieren das für das Identitäts- und Zugriffsmanagement: privilegierte Zugänge nur bedarfsweise (need-to-use/ad-hoc), jede Aktion einer identifizierbaren Person zuordenbar, Einschränkung von Sammel- und Dienstkonten sowie Protokollierung sicherheitsrelevanter Ereignisse (RTS Art. 12 und Art. 21).
Für privilegierte Zugriffe bedeutet das in der Praxis vier Dinge: kein dauerhaft offener Standard-Zugang, sondern bedarfsweise und befristet; starke Authentifizierung (MFA) vor jedem Zugriff; eine Aufzeichnung dessen, was in der Sitzung tatsächlich geschieht; und ein fälschungssicherer Nachweis, wer wann was getan hat – prüffähig für BaFin und Wirtschaftsprüfer.
DORA und externe IKT-Dienstleister (Artikel 28)
DORA verpflichtet Finanzunternehmen ausdrücklich, das Risiko aus IKT-Drittdienstleistern aktiv zu steuern (Artikel 28) und alle IKT-Dienstleistungsverträge in einem Informationsregister zu führen. Der wohl kritischste Berührungspunkt ist der technische Zugang, den externe Dienstleister zu produktiven, kritischen IKT-Systemen erhalten – für Wartung, Support oder Betrieb.
Genau dieser Fernzugriff muss kontrolliert, überwachbar und jederzeit unterbrechbar sein. Ein Dienstleister, der über einen dauerhaft offenen VPN-Tunnel oder geteilte administrative Zugangsdaten auf ein Kernbankensystem zugreift, steht im Konflikt mit den DORA-/RTS-Anforderungen: Es fehlt die eindeutige Zuordnung zur handelnden Person (die RTS verlangen Identifizierbarkeit und die Einschränkung von Sammelkonten), die Nachvollziehbarkeit der Sitzung und die Fähigkeit, im Verdachtsfall sofort einzugreifen.
Auch als IKT-Dienstleister sind Sie betroffen – über die vertraglichen DORA-Anforderungen Ihrer Finanzkunden und, sofern als kritisch eingestuft, über die direkte EU-Aufsicht. Sie müssen nachweisen können, dass Ihre Zugriffe auf Kundensysteme kontrolliert, nachvollziehbar und unterbrechbar sind. Eine kontrollierte, aufgezeichnete Zugriffsebene ist damit für beide Seiten des Vertragsverhältnisses relevant.
Session Recording und lückenlose Nachweisführung
DORA und die RTS verlangen, dass privilegierte Aktivitäten protokolliert und für Aufsicht und Audit auswertbar sind. Ein reines Netzwerk- oder Anmelde-Log reicht dafür nicht: Es zeigt, dass ein Zugang stattfand, aber nicht, was in der Sitzung geschah. Session Recording schließt diese Lücke, indem es die privilegierte Sitzung selbst nachvollziehbar macht.
Entscheidend für die Prüffähigkeit ist die Akteur-Genauigkeit: Jede sicherheitsrelevante Aktion muss dem tatsächlichen Menschen zugeordnet sein – nicht einem technischen Sammel- oder Dienstkonto, hinter dem mehrere Personen verschwinden. Die Zuordnung erfolgt deshalb zentral am Gateway, fälschungssicher und mit Zeitstempel.
Diese Aufzeichnungen sind kein Selbstzweck: Bei einer Aufsichtsprüfung oder nach einem Sicherheitsvorfall liefern sie den Nachweis der wirksamen Kontrolle – für DORA ebenso wie für NIS2, ISO 27001 und (bei OT-Systemen) IEC 62443. Die Nachweise stammen aus dem System, nicht aus nachträglich verfassten Richtliniendokumenten.
Von der Anforderung zur Kontrolle: die Blackfort Privileged Access Bridge
Die Blackfort Privileged Access Bridge (PAB) ist die Kontrollebene, die genau diese DORA-Anforderungen strukturell im Zugriffsprozess verankert – statt sie nachträglich zu dokumentieren. Sie vermittelt privilegierten Zugriff auf IT-, OT- und Cloud-Systeme als agentenloser, gehärteter Sprungserver: Der Nutzer arbeitet in einer aufgezeichneten Remote-Sitzung, ohne dass auf dem Zielsystem oder dem Endpunkt etwas installiert werden muss.
Damit sind die DORA-relevanten Kontrollen keine Zusatzarbeit, sondern Teil des Zugriffs selbst: befristete, bedarfsweise Zugänge statt dauerhaft offener Tunnel; starke Authentifizierung vor der Sitzung; Session Recording; eine Live-Aufsicht, aus der eine kritische Sitzung sofort beendet werden kann; und ein fälschungssicherer, akteur-genauer Audit-Trail als prüffähiger Nachweis.
Betrieben wird die PAB EU-souverän, wahlweise On-Premises beim Finanzunternehmen oder als Managed Service durch Blackfort – auch mit einem Break-Glass-Modell, bei dem der Betreiber keinen stehenden administrativen Zugriff behält. Das passt zur DORA-Logik: kontrollierter, nachweisbarer Zugriff, ohne neue unkontrollierte Abhängigkeit zu schaffen.
DORA-Checkliste privilegierter Zugriff
- Keine dauerhaft offenen administrativen Zugänge
- Bedarfsweise, befristete Zugriffe (Just-in-Time)
- Starke Authentifizierung (MFA) vor jeder Sitzung
- Session Recording privilegierter Sitzungen
- Akteur-genaue, fälschungssichere Protokollierung
- Kontrollierter Zugriff externer IKT-Dienstleister
- Sofortige Unterbrechung einer Sitzung möglich
- Prüffähiger Audit-Export für BaFin & Wirtschaftsprüfer
Verwandte Seiten
DORA-Readiness prüfen
Wir analysieren Ihre privilegierten Zugriffe und Dienstleisterzugänge und identifizieren die DORA-Lücken.
Jetzt anfragenPraxis
Warum privilegierte Zugriffe DORA-kritisch sind
Die Anforderungen sind klar formuliert. In der Praxis scheitert DORA-konformer privilegierter Zugriff selten am Wollen, sondern an gewachsenen Zugangsstrukturen. Diese sechs Muster sehen wir wiederkehrend.
Dauerhaft offener Fernzugriff
Wartungs- und Dienstleisterzugänge über stehende VPN-Tunnel sind rund um die Uhr erreichbar – ohne Anlass, ohne Befristung. Die RTS verlangen für privilegierte Zugänge das Gegenteil: Vergabe nur bedarfsweise (need-to-use/ad-hoc).
Geteilte administrative Konten
Sammel- oder Dienstkonten verschleiern, welche reale Person gehandelt hat. Die von DORA und den RTS geforderte eindeutige Zuordnung zum Akteur ist so nicht möglich.
Keine Aufzeichnung der Sitzung
Anmelde-Logs zeigen, dass ein Zugriff stattfand – nicht, was in der Sitzung geschah. Für Aufsicht und Vorfallanalyse fehlt damit die entscheidende Evidenz.
Unkontrollierter Dienstleisterzugang
Externe IKT-Dienstleister greifen auf kritische Systeme zu, ohne dass Zugang, Umfang und Zeitpunkt zentral kontrolliert werden – ein direkter Konflikt mit DORA Art. 28.
Kein Not-Aus
Fällt eine laufende privilegierte Sitzung auf, fehlt oft die Möglichkeit, sie sofort und gezielt zu beenden. Reaktionsfähigkeit ist aber Kern der operativen Resilienz.
Nachweise nur aus Dokumenten
Richtlinien beschreiben, wie Zugriff kontrolliert werden soll. Bei der Prüfung zählt jedoch der Nachweis aus dem laufenden System – nicht die Absichtserklärung im Konzept.
Produkt
Blackfort Privileged Access Bridge
Die Kontrollebene für privilegierten Zugriff in IT, OT und Cloud
Die Privileged Access Bridge liefert die Kontrollen, die DORA für privilegierte Zugriffe verlangt – nicht als nachgelagerte Dokumentation, sondern strukturell im Zugriffsprozess verankert. Auditoren erhalten Daten aus dem System, nicht aus Richtliniendokumenten.
Agentenloser Sprungserver
Zugriff auf IT-, OT- und Cloud-Systeme über den Browser – nichts wird auf Ziel oder Endpunkt installiert. Im BSI-Sinn ein gehärteter Sprungserver (OPS.1.2.5 Fernwartung).
Befristete Zugänge
Zugriffe werden bedarfsweise und mit Ablauf vergeben statt dauerhaft offen zu stehen – Basis für das von DORA geforderte Least-Privilege-Prinzip.
Starke Authentifizierung (MFA)
MFA-Durchsetzung vor der Sitzung über etablierte Verfahren (TOTP/Duo) bzw. den angebundenen Identity-Provider.
Session Recording
Aufzeichnung privilegierter Sitzungen inkl. durchsuchbarer Wiedergabe – die Sitzung selbst wird nachvollziehbar, nicht nur ihr Beginn.
Live-Aufsicht mit Sofort-Stopp
Ein Supervisor kann laufende Sitzungen live beobachten und eine kritische Sitzung sofort beenden (Not-Aus) – vom Operator nicht verhinderbar.
Fälschungssicherer Audit-Trail
Sicherheitsrelevante Aktionen werden akteur-genau, zeitgestempelt und zentral am Gateway protokolliert – der echte Nutzer verschwindet nicht hinter einem Dienstkonto.
Kontrollierter Drittanbieter-Zugang
Externe Dienstleister erhalten gezielt zugewiesenen, aufgezeichneten Zugriff auf genau die freigegebenen Systeme – ohne direkten Netzpfad ins Kernnetz.
Audit-tauglicher Export
Audit-Trail und Aufzeichnungen liefern die Belege für DORA-, NIS2-, ISO-27001- und IEC-62443-Prüfungen – Daten aus dem System statt aus Richtliniendokumenten.
EU-souverän & On-Prem/Managed
Betrieb On-Premises oder als Managed Service durch Blackfort – optional mit Break-Glass-Modell ohne stehenden Betreiber-Zugriff.
Hinweis zum Status: Kernkontrollen wie agentenloser Zugriff, Session Recording, befristete Zugänge, Live-Aufsicht mit Sofort-Stopp und fälschungssicherer Audit-Trail sind der ausgelieferte Funktionsumfang. Die PAB liefert die prüffähige Evidenz; die regulatorische Einordnung – die Zuordnung dieser Nachweise zu den konkreten DORA-Anforderungen – erfolgt gemeinsam im Projekt.
Regulatorische Einordnung
Privilegierter Zugriff im Regulierungsrahmen
DORA steht nicht allein: Dieselbe Kontrollebene zahlt zugleich auf NIS2, ISO 27001 und – in der OT – auf IEC 62443 ein. Die wichtigsten Bezüge für privilegierte Zugriffe.
DORA – Art. 9 (Schutz & Prävention) & RTS (EU) 2024/1774
Kontrollierter, auf das Notwendige beschränkter Zugriff (Least Privilege, Art. 9 Abs. 4 lit. c) und starke Authentifizierung (lit. d). Die zugehörigen RTS (EU 2024/1774) fordern zusätzlich die Zuordnung jeder Aktion zu einer identifizierbaren Person und die Protokollierung sicherheitsrelevanter Ereignisse (Art. 12, Art. 21). Die PAB verankert diese Kontrollen im Zugriffsprozess selbst und liefert die geforderten Belege.
DORA – Art. 28 (IKT-Drittparteienrisiken)
Zugriffe externer IKT-Dienstleister auf kritische Systeme müssen kontrolliert, überwacht und unterbrechbar sein. Die PAB bündelt, befristet, zeichnet auf und beaufsichtigt genau diese Dienstleisterzugänge – auch aus Sicht des Dienstleisters, der DORA selbst unterliegt.
NIS2 – Art. 21 Abs. 2 (Zugangskontrolle & Lieferkette)
NIS2 verlangt Maßnahmen u. a. zur Zugangskontrolle (Art. 21 Abs. 2 lit. i), Multi-Faktor-Authentifizierung (lit. j) und Lieferkettensicherheit inklusive Dienstleister (lit. d). Leitungsorgane müssen die Maßnahmen billigen, ihre Umsetzung überwachen und können für Verstöße haftbar gemacht werden (Art. 20). Die PAB liefert die dafür nötigen Kontrollen und Nachweise.
IEC 62443-3-3 – Remote Access in OT
Für industrielle Systeme: starke Authentifizierung, dedizierte überwachte Remote-Access-Kanäle, vollständige Protokollierung und sofortige Terminierung – kein allgemeiner VPN-Zugang aufs OT-Netz, sondern ein kontrollierter Eintrittspunkt.
Warum Blackfort
Privilegierter Zugriff für den regulierten Sektor
Wir verbinden ein eigenes PAM-Produkt mit laufender DORA-Projekterfahrung – die Kontrollen werden nicht nur geliefert, sondern regulatorisch eingeordnet und im Betrieb tragfähig gemacht.
Erfahrung im Finanzsektor
Laufende DORA-Mandate und Projekterfahrung mit Finanzunternehmen, Versicherern und regulierten Betreibern.
PAM aus einer Hand
Produkt, Einführung und Betrieb der Privileged Access Bridge durch dasselbe Team – von der Anforderung bis zum Audit.
Regulierungs-Fokus
Beratung entlang DORA, NIS2, ISO 27001, BSI IT-Grundschutz und IEC 62443 – die Kontrollen werden regulatorisch eingeordnet, nicht nur technisch geliefert.
EU-souverän
On-Premises oder Managed Service in der EU – kein erzwungener Transfer privilegierter Zugriffsdaten in eine Hyperscaler-Cloud.
OT- und KRITIS-tauglich
Agentenloser Zugriff auf OT-Systeme über einen dedizierten, überwachten Kanal – geeignet für KRITIS- und Industrieumgebungen.
Managed mit Break-Glass
Betrieb optional ohne stehenden Betreiber-Zugriff – kontrollierter, nachweisbarer Zugriff ohne neue unkontrollierte Abhängigkeit.
Häufige Fragen: DORA & privilegierte Zugriffe
Verlangt DORA ausdrücklich Session Recording?
Nein – DORA und die zugehörigen RTS (EU 2024/1774) nennen Session Recording nicht ausdrücklich. Gefordert sind die Kontrolle privilegierter Zugriffe (Least Privilege, need-to-use/ad-hoc), die Zuordnung jeder Aktion zu einer identifizierbaren Person und die Protokollierung sicherheitsrelevanter Ereignisse (RTS Art. 12 und Art. 21). Ein bloßes Anmelde-Log zeigt dabei nicht, was in der Sitzung geschah. Session Recording ist eine verbreitete, praxisbewährte Möglichkeit, privilegierte Sitzungen für Aufsicht und Vorfallanalyse nachvollziehbar und prüffähig zu machen – als Umsetzungsmittel, nicht als ausdrückliche Rechtspflicht.
Gilt DORA auch für uns als IKT-Dienstleister, nicht nur für Banken?
Mittelbar ja. DORA verpflichtet unmittelbar die Finanzunternehmen; deren Anforderungen werden über die von DORA vorgeschriebenen Vertragsinhalte an ihre IKT-Dienstleister weitergegeben. Einer direkten EU-Aufsicht unterliegen nur als kritisch eingestufte IKT-Drittdienstleister. Wenn Sie privilegierten Zugriff auf Systeme von Finanzkunden haben, müssen Sie diesen Zugriff daher vertraglich kontrolliert, nachvollziehbar und unterbrechbar nachweisen können. Eine kontrollierte Zugriffsebene ist damit für beide Vertragsseiten relevant.
Reicht ein VPN nicht aus, um DORA-konformen Fernzugriff zu geben?
Ein VPN gewährt Netzwerkzugang, aber keine granulare Kontrolle über das, was nach dem Einwählen passiert – und steht oft dauerhaft offen. Es fehlen typischerweise Session Recording, Live-Aufsicht, befristete Zugänge und die eindeutige Zuordnung zur handelnden Person. Genau diese Kontrollen ergänzt die Privileged Access Bridge – sie ersetzt oder umschließt den VPN-/Jumphost-Zugang um die von DORA geforderte Kontrollebene.
Gibt es eine offizielle DORA-Zertifizierung für privilegierten Zugriff?
Nein. DORA kennt kein formales Produkt- oder Zertifizierungsschema wie ISO 27001. Compliance wird durch die zuständigen Aufsichtsbehörden (in Deutschland die BaFin, für Banken auch die EZB) geprüft und durchgesetzt. Verpflichtend sind die DORA-Anforderungen selbst – nicht ein bestimmtes Produkt. Die Privileged Access Bridge ist ein Werkzeug, um die geforderten Kontrollen für privilegierte Zugriffe praktisch und nachweisbar umzusetzen.
Läuft die PAB On-Premises oder nur als Cloud-Dienst?
Beides ist möglich. Die PAB ist eine Standard-x86-64-Linux-VM und läuft auf jedem gängigen Hypervisor – On-Premises beim Finanzunternehmen oder als Managed Service durch Blackfort, EU-souverän. Auf Wunsch mit Break-Glass-Modell, bei dem der Betreiber keinen stehenden administrativen Zugriff behält. Es entsteht keine erzwungene Abhängigkeit von einer Hyperscaler-Cloud.
Deckt das auch privilegierte Zugriffe auf OT-Systeme ab?
Ja. Der Zugriff erfolgt agentenlos über einen dedizierten, überwachten Kanal – geeignet für OT-/Industrieumgebungen und im Einklang mit IEC 62443-3-3 (starke Authentifizierung, überwachte Remote-Access-Kanäle, Protokollierung, sofortige Terminierung). Statt eines allgemeinen VPN-Zugangs ins OT-Netz entsteht ein kontrollierter Eintrittspunkt.
Kontakt aufnehmen
DORA-konformen privilegierten Zugriff aufbauen
Lassen Sie uns Ihre privilegierten Zugriffe und Dienstleisterzugänge gemeinsam analysieren und eine kontrollierte, aufgezeichnete Zugriffsebene nach DORA etablieren.