Kritische oder wichtige Funktionen: Warum DORA das Thema Berechtigungen aufwertet

Kritische oder wichtige Funktionen stehen unter DORA im Fokus der Risikobetrachtung. Fällt eine solche Funktion aus oder ist sie nur eingeschränkt verfügbar, kann das erhebliche Auswirkungen auf die Servicekontinuität, die regulatorische Compliance oder die Stabilität des Instituts haben.

Für das IAM bedeutet das einen Perspektivwechsel. Berechtigungen sind nicht mehr nur technische Zugriffe auf Systeme. Sie sind ein wesentlicher Teil der operativen Absicherung kritischer Abläufe. Sie entscheiden darüber, wer sensible Prozessschritte ausführen, freigeben, ändern oder im Notfall stabilisieren darf.

Damit wird deutlich: Wer DORA wirksam umsetzen will, muss Berechtigungen stärker an den tatsächlich unterstützten Geschäftsprozessen ausrichten, insbesondere dort, wo kritische oder wichtige Funktionen betroffen sind.

Die Realität in vielen Banken: Solides IAM, aber oft ohne klare Prozessverknüpfung

Viele Banken bringen grundsätzlich gute Voraussetzungen mit. Themen wie Funktionstrennung, Rezertifizierung, privilegierte Berechtigungen und Kontrollnachweise sind seit Jahren etabliert. Auch regulatorische Anforderungen aus BAIT, MaRisk und prüfungsnaher Beratung haben in vielen Häusern zu einem belastbaren Grundgerüst geführt.

Trotzdem zeigt sich in der Praxis häufig ein wiederkehrendes Muster: Das Berechtigungsmanagement ist technisch und organisatorisch oft solide aufgesetzt, aber nicht durchgängig mit den tatsächlich kritischen oder wichtigen Prozessen verknüpft.

Typische Fragen bleiben deshalb offen:

1. Welche Rechte sind für einen kritischen Prozessschritt wirklich erforderlich?
2. Welche Rollen sind historisch gewachsen und enthalten mehr Berechtigungen als notwendig?
3. Und an welchen Stellen fehlt die nachvollziehbare Verbindung zwischen Prozess, Anwendung, Rolle und Einzelrecht?

Genau hier entsteht unter DORA Handlungsbedarf.

Was Banken mit der Identifikation solcher Berechtigungen tatsächlich erreichen

Die Identifikation von Berechtigungen zur Unterstützung kritischer oder wichtiger Prozesse ist weit mehr als eine regulatorische Pflichtübung. Sie schafft die Grundlage für ein risikoorientiertes und belastbares Berechtigungsmanagement.

Institute profitieren dabei in mehrfacher Hinsicht:

• Erhöhung der Transparenz über besonders sensible Zugriffe.
• Verbesserung der Nachweisfähigkeit gegenüber Aufsicht, Revision und externen Prüfern.
• Stärkung der operationellen Resilienz in Störungs- und Notfallsituationen.
• Reduzierung unnötiger Berechtigungen, die sich über Jahre in Rollenmodellen angesammelt haben.

Vor allem aber entsteht eine klare Steuerungslogik: Rechte werden nicht mehr nur aus organisatorischen Zuständigkeiten oder bestehenden Rollenprofilen abgeleitet, sondern aus den tatsächlichen Anforderungen kritischer oder wichtiger Prozessschritte.

Der entscheidende Erfolgsfaktor: Berechtigungskonzepte mit Prozessmanagement verknüpfen

In vielen DORA-Initiativen wird zu früh auf Rollenmodelle, Rezertifizierungen oder Tooling geschaut. Der wirksamere Ansatz beginnt an einer anderen Stelle: im Prozessmanagement.

Zunächst muss belastbar feststehen, welche Funktionen als kritisch oder wichtig eingestuft wurden. Darauf aufbauend werden diese Funktionen in End-to-End-Prozesse, Teilprozesse und konkrete Aktivitäten übersetzt. Erst dann lässt sich sauber ableiten, welche Anwendungen, Rollen und Berechtigungen diese Abläufe tatsächlich unterstützen.

Genau diese Verbindung ist entscheidend. Denn nur wenn Berechtigungskonzepte mit der Prozessarchitektur verknüpft sind, entsteht eine nachvollziehbare Traceability, von der kritischen Funktion bis hin zum einzelnen Recht.

In der Praxis scheitert die Verknüpfung von kritischen oder wichtigen Funktionen, Prozessen und Berechtigungen jedoch häufig nicht an der Methodik, sondern an unklaren Verantwortlichkeiten.

Typische Symptome sind:

• Fachbereiche definieren Prozesse, ohne die IAM-Perspektive mitzudenken
• IAM modelliert Rollen, ohne die tatsächlichen Prozessanforderungen vollständig zu kennen
• Kontrollen sind vorhanden, aber Verantwortlichkeiten entlang der Prozesskette bleiben diffus

Genau hier entsteht ein wesentliches Risiko unter DORA: fehlende End-to-End-Verantwortung für kritische Berechtigungen.

Eine klare Governance-Struktur ist daher kein „Nice-to-have“, sondern Voraussetzung für prüfungssichere Umsetzung.

Die folgende RACI-Matrix zeigt exemplarisch, wie Banken Verantwortlichkeiten entlang der Schnittstelle von kritischen oder wichtigen Funktionen, Prozessmanagement und IAM konkret und praxisnah strukturieren können.

Die RACI-Matrix schafft dabei vor allem drei entscheidende Vorteile:

• Erstens sorgt sie für klare Verantwortlichkeiten entlang der gesamten Ableitungskette – von der kritischen Funktion über den Prozess bis zur einzelnen Berechtigung.
• Zweitens reduziert sie Abstimmungsaufwände zwischen Fachbereich, Prozessmanagement und IAM, da Rollen und Zuständigkeiten eindeutig definiert sind.
• Drittens verbessert sie die Nachweisfähigkeit gegenüber Aufsicht und Revision, da Verantwortlichkeiten nicht nur implizit gelebt, sondern explizit dokumentiert sind.

Gerade im Kontext von DORA wird damit ein zentraler Aspekt adressiert: die nachvollziehbare Steuerung kritischer Funktionen über organisatorische Grenzen hinweg.

Der zentrale Punkt ist: Die Verantwortung für die Identifikation der kwF liegt nicht im IAM, sondern im Fachbereich beziehungsweise beim Process Owner. Dort wird entschieden, welche Funktionen und Prozessschritte kritisch oder wichtig sind.

IAM übernimmt dann die Übersetzung in Rollen, Berechtigungen, Rezertifizierungslogiken und Governance. Genau an dieser Stelle entsteht die eigentliche Vernetzung.

Gerade für Banken mit komplexen Systemlandschaften, ausgelagerten ICT-Services und historisch gewachsenen Rollenmodellen ist diese saubere Verknüpfung der entscheidende Hebel, um DORA nicht nur formal, sondern wirksam umzusetzen.

Fazit

DORA macht sichtbar, was in vielen Instituten lange unterschätzt wurde: Berechtigungsmanagement ist ein zentraler Bestandteil digitaler operationeller Resilienz.

Wer heute nachvollziehbar zeigen kann, welche Berechtigungen kritische oder wichtige Funktionen unterstützen, schafft nicht nur regulatorische Sicherheit. Er verbessert zugleich Transparenz, Steuerbarkeit und Sicherheit in genau den Prozessen, auf die es im Ernstfall ankommt.

Für Banken ist das die Chance, IAM aus der rein technischen Perspektive herauszulösen und als integralen Bestandteil von Governance, Resilienz und Prozesssteuerung zu etablieren.

Sie möchten Ihre DORA-Anforderungen mit Ihrem IAM gezielt zusammenbringen?

Wir unterstützen Sie dabei, kritische oder wichtige Funktionen methodisch mit Prozessen, Berechtigungskonzepten und Governance-Anforderungen zu verknüpfen. Praxisnah, prüfungssicher und mit Blick auf bestehende regulatorische Anforderungen wie DORA, MaRisk oder EBA-Guidelines.

Sprechen Sie uns an, wenn Sie

• kritische oder wichtige Funktionen mit Ihrem IAM verknüpfen möchten,
• Ihr Rollenmodell stärker prozessorientiert ausrichten wollen,
• Nachweise für Aufsicht, Revision oder Jahresabschlussprüfung verbessern möchten,
• oder Ihr Berechtigungsmanagement DORA-konform weiterentwickeln wollen.

Ancarix Consulting
Responsible by Design