Menu

Menu

Menu

Menu

Menu

Featured

Managed Services

Starke Allianzen

PwCs Trade Office

Menu

Ergebnisse werden geladen

Starke Authentifizierung unter DORA: Wie Banken und Versicherungen jetzt ihre Resilienz stärken

Daten auf Tablets
  • Artikel
  • 12 Minuten Lesezeit
  • 07 Mai 2026

Der Digital Operational Resilience Act (DORA) hat einen neuen Standard für die digitale Widerstandsfähigkeit im europäischen Finanzsektor gesetzt. Ein zentraler Aspekt der Verordnung ist das Management von IKT-Risiken, wobei die Zugriffskontrolle eine Schlüsselrolle einnimmt. Diese regulatorische Anforderung spiegelt die aktuelle Bedrohungslage wider, in der Angriffe auf digitale Identitäten zu den häufigsten und schädlichsten Sicherheitsvorfällen zählen. Rund 80 % aller Cybervorfälle beinhalten eine Form von Identitätsmissbrauch. Professionalisierte Phishing‑as‑a‑Service‑Modelle und KI‑gestützte Social‑Engineering‑Angriffe haben identitätsbasierte Attacken zur häufigsten Angriffsart gemacht und klassische Netzwerkangriffe längst überholt. Starke, manipulationsresistente Authentifizierung ist damit nicht nur eine regulatorische Pflicht, sondern ein zentraler Schutzmechanismus gegen moderne Cyberangriffe. Für Banken und Versicherungen bedeutet dies, dass eine starke, risikobasierte Authentifizierung nicht länger nur eine Best-Practice-Empfehlung, sondern eine strategische Notwendigkeit ist. Der Weg zur DORA-Konformität erfordert ein durchdachtes Konzept, das Sicherheit, Compliance und Benutzerfreundlichkeit in Einklang bringt und gleichzeitig die Chance bietet, veraltete Strukturen zu modernisieren und die operative Effizienz zu steigern.

Das Wichtigste in Kürze

  • Regulatorische Pflicht: DORA fordert starke, risikobasierte Authentifizierung nach anerkannten Standards wie BSI IT-Grundschutz oder NIST SP 800-63.
  • Drei Kernanforderungen: starke Authentifizierung nach Normen, risikobasierter Methodeneinsatz sowie spezielle zentrale Kontrollsysteme.
  • Phishing-Resistenz: SMS- und E-Mail-basierte Verfahren genügen nicht – FIDO2, Smartcards und zertifikatsbasierte Methoden sind der Goldstandard.
  • Sanktionsrisiko: Bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Vorjahresumsatzes, zusätzlich persönliche Haftung und Reputationsschäden.
  • Pragmatischer Einstieg: Eine Assessment- und Strategiephase von drei bis vier Monaten schafft Transparenz und die Grundlage für Investitionsentscheidungen.
  • Chance zur Modernisierung: weniger Komplexität, geringere Supportkosten und höhere Benutzerfreundlichkeit durch Single Sign-On.

Die drei Kernanforderungen von DORA an die Authentifizierung

Die DORA-Verordnung verpflichtet Finanzinstitute, ein robustes IKT-Risikomanagement umzusetzen. Für die Zugriffskontrolle und Authentifizierung aller Personen und Systeme ergeben sich daraus drei konkrete Kernanforderungen:

  • Starke Authentifizierung nach Normen: DORA schreibt den Einsatz starker Authentifizierung vor, die auf einschlägigen Normen (etwa BSI/NIST) basieren.
  • Risikobasierter Einsatz von Authentifizierungsmethoden: Die Authentifizierungsstärke muss dem Schutzbedarf und Risikoprofil des jeweiligen IKT-Assets entsprechen, insbesondere für privilegierte Zugänge, kritisch wichtige Funktionen (kwF), Fernzugriffe und öffentliche IKT-Ressourcen.
  • Spezielle Kontrollsysteme zur Authentifizierung: Die eindeutige Identifizierung von Personen und Systemen muss zentralisiert und nach klar definierten Prozessen erfolgen.

DORA gibt damit einen klaren Auftrag: Jedes Finanzinstitut muss ein risikobasiertes Authentifizierungskonzept implementieren, das starke Authentifizierungsmethoden nutzt und sich an Standards wie BSI IT-Grundschutz oder NIST SP 800-63 orientiert. Eine risikoorientiere Umsetzung kann ähnlich zu der nachfolgenden Grafik durchgeführt werden.

Infografik: Risikoorientierte Umsetzung starker Authentifizierung

In jedem Bereich erfolgt die Priorisierung zunächst für IKT-Assets mit hohem Schutzbedarf und/oder ausgeprägtem Risikoprofil und wird anschließend auf Assets mit niedrigerem Schutzbedarf ausgeweitet.

Was genau bedeutet „starke Authentifizierung"?

Der BSI IT-Grundschutz definiert starke Authentifizierung wie folgt:

Starke Authentisierung bezeichnet die Kombination von zwei oder mehr Authentisierungstechniken, wie Passwort plus Transaktionsnummern (Einmalpasswörter) oder plus Chipkarte. Daher wird dies auch häufig als Zwei- oder Mehr-Faktor-Authentisierung bezeichnet.

Diese Definition muss jedoch präzisiert werden: Nicht jeder zweite Faktor ist gleich sicher. Ein zweiter Faktor per SMS oder E-Mail gilt nach Normen des BSI IT-Grundschutzes oder dem NIST SP 800-63 nicht als starke Authentifizierung, insbesondere bei hohem Schutzbedarf. Diese Verfahren sind nicht phishing-resistent und anfällig für Angriffe (wie SIM-Swapping) und sollten daher nicht für besonders privilegierte Zugriffe verwendet werden.

Bewährte Methoden sind zum Beispiel Authenticator-Apps mit zeitbasierten Einmalcodes oder Push-Benachrichtigungen. Da diese Verfahren allerdings nicht vollständig phishing-resistent sind, sollten ergänzende Maßnahmen wie Gerätebindung, „Number Matching“ oder Biometrie eingesetzt werden.

Für echte Phishing-Resistenz sind zertifikatsbasierte Authentifizierungsmethoden oder FIDO2 (WebAuthn/CTAP2) die beste Wahl. FIDO2 nutzt kryptografische Herkunftsbindung: Der private Schlüssel bleibt sicher auf dem Gerät oder Hardware-Sicherheitsschlüssel, und Anmeldungen funktionieren nur für die echte Website oder Anwendung. Die Nutzerverifizierung erfolgt lokal per PIN oder Biometrie, ohne dass Passwörter oder Einmalcodes übertragen werden. FIDO2 unterstützt Plattform-Authentifikatoren wie Windows Hello oder Apple Face ID/Touch ID sowie physische Sicherheitsschlüssel und ist als Passkey besonders nutzerfreundlich.

Typische Stolpersteine auf dem Weg zur DORA-Konformität

Viele Unternehmen arbeiten mit gewachsenen Strukturen: mehrere Verzeichnisdienste (AD, LDAP), unterschiedliche Authentifizierungsservices und Insellösungen. Die Folge: hohe Komplexität und fehlende Transparenz darüber, wie Authentifizierung und Autorisierung für einzelne Anwendungen ablaufen.

Häufig fehlt ein klares Bild, welche Nutzergruppen über welche Zugriffswege für welche Anwendungen welche Authentifizierungsstärke benötigen. Die Balance zwischen Sicherheit und Benutzerfreundlichkeit ist nicht definiert. Komplexe, uneinheitliche Abläufe frustrieren Anwender.

Viele Legacy-Systeme unterstützen moderne Protokolle nicht und stellen Kunden vor der Herausforderung, diese adäquat abzusichern. Der historische „Wildwuchs" erhöht Komplexität und Wartungsaufwand zusätzlich. Und wenn MFA-Methoden eingesetzt werden, kommen veraltete Methoden auf Basis von SMS zum Einsatz, die anfällig für Phishing und Angriffe wie SIM-Swapping sind.

Ein weiterer kritischer Punkt ist ein fehlendes Zielbild und geringe Awareness. Widerstand gegen Veränderung wie zusätzliche Login-Schritte oder neue Apps führen zu langsamer und niedriger MFA-Adaption, wenn diese optional bleibt. Ohne konsequente Durchsetzung und gute Kommunikation verharren viele beim Gewohnten.

Strategische Lösungsansätze: Vom Regulatorik zur Chance

Die Nichterfüllung der DORA-Anforderungen ist kein Kavaliersdelikt. Die Konsequenzen reichen von erheblichen finanziellen Sanktionen (bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Vorjahresumsatzes) über Einschränkungen im Geschäftsbetrieb bis hin zur persönlichen Haftung von Führungskräften und erheblichen Reputationsschäden. Um Investitionen in die digitale Resilienz zu rechtfertigen, müssen diese Risiken transparent gemacht werden.

Ein Großprojekt zur Modernisierung der Authentifizierung kann jedoch abschreckend wirken. Der Schlüssel zum Erfolg liegt darin, pragmatisch zu starten. Anstatt sofort eine komplexe technische Implementierung anzustoßen, sollten Unternehmen mit einer fundierten Assessment- und Strategiephase beginnen.

Klare Verantwortlichkeiten als Grundlage wirksamer IAM-Kontrollen 

Ein wirksames IAM erfordert ein klares Kontrollsystem. Viele Unternehmen setzen hierfür auf das Verteidigungslinienmodell:

  • Erste Verteidigungslinie (Operative Umsetzung): Fachbereiche, Führungskräfte und IT sind für die tägliche Umsetzung verantwortlich – von der Beantragung und Genehmigung von Zugriffen bis zur konsequenten Nutzung starker Authentifizierung. 
  • Zweite Verteidigungslinie (Kontrolle & Steuerung): Compliance, Informationssicherheit und Risikomanagement definieren die Richtlinien, überwachen deren Einhaltung und bewerten die Risiken.
  • Dritte Verteidigungslinie (Unabhängige Prüfung): Die Interne Revision prüft unabhängig, ob Prozesse und Kontrollen wirksam sind und den regulatorischen Anforderungen genügen. 

Für die aktive Gestaltung und Umsetzung einer DORA-konformen Authentifizierungsstrategie sind die erste und zweite Verteidigungslinie maßgeblich. Während die dritte Linie eine rein prüfende Funktion einnimmt, ergeben sich die entscheidenden Handlungsfelder direkt aus den operativen und steuernden Verantwortlichkeiten der ersten beiden Linien: 

Handlungsfelder für die erste Verteidigungslinie:

Infografik: Handlungsfelder für die erste Verteidigungslinie

Startpunkt ist eine fundierte Analyse aller Systeme, Nutzergruppen und Zugriffsszenarien. Kritisch wichtige Funktionen (kwF) müssen identifiziert und IKT-Assets müssen nach Schutzbedarf klassifiziert werden. So kann im nächsten Schritt ein risikobasierter Einsatz von Authentifizierungsmethoden erfolgen.

Ein Zielbild der Authentifizierungslandschaft hilft, Lücken zu erkennen und Maßnahmen zu priorisieren (zum Beispiel Konsolidierung auf zentrale Services, Ablösung unsicherer Verfahren, Einführung passwortloser Methoden). Kontrollen sollten allerdings pragmatisch bleiben, sodass eine Balance zwischen Sicherheit und Benutzerfreundlichkeit gewährleistet werden kann.

DORA fordert „spezielle Kontrollsysteme“. Gemeint sind Plattformen, die Authentifizierung zentral steuern. Die Einführung eines modernen Identity Providers (IdP) ist ein klarer Lösungsansatz und bietet bessere Wartbarkeit sowie zentrale Nachweisbarkeit zur Erfüllung von Vorgaben.

Starke Authentifizierung muss überall dort umgesetzt werden, wo es das Risiko erfordert. Die Auswahl sollte sich an Standards orientieren. Für hohen Schutzbedarf empfiehlt das BSI phishing-resistente Methoden. Bewährt sind Hardware-Keys (FIDO2), Smartcards, sowie biometrische Methoden in Kombination mit Gerätebindung (zum Beispiel Windows Hello for Business), die gleichzeitig eine hohe Benutzerfreundlichkeit bieten. Kommunikation und Schulung sind essenziell für eine hohe Adoptionsrate.

Altanwendungen erfordern spezielle Risikominderungsstrategien. Je nach Art des Systems können bestimmte IDPs auch veraltete Protokolle unterstützen. Alternativ kann der Zugriff mit starker Authentifizierung auf ein Legacy-System über das Netzwerk abgesichert werden (zum Beispiel durch Zero-Trust-Netzwerk-Technologien).

Handlungsfelder für die zweite Verteidigungslinie:

Unternehmen müssen eine klare IAM‑Governance in der zweiten Verteidigungslinie etablieren. Sie legt verbindliche Richtlinien fest, überwacht die Umsetzung entsprechender IAM-Kontrollen und bewertet kontinuierlich die damit verbundenen Risiken. So schafft die zweite Linie den notwendigen organisatorischen Rahmen für ein robustes IAM. 

Die IAM-Governance sollte verbindliche Authentifizierungsrichtlinien entwickeln und regelmäßig aktualisieren. Sie müssen festlegen, welche Methoden zulässig sind und wie deren Schutzlevel klassifiziert wird. Die Orientierung an etablierten Standards wie BSI IT-Grundschutz oder NIST SP 800-63 bietet einen verlässlichen Rahmen. 

Fazit

Starke Authentifizierung ist eine unumgängliche Anforderung von DORA. Anstatt sich von der Komplexität eines Großprojekts lähmen zu lassen, sollten Banken und Versicherungen jetzt mit einem klaren, überschaubaren ersten Schritt beginnen: einer fundierten Assessment- und Strategiephase.

Dieser Ansatz mit einem Zeithorizont von drei bis vier Monaten schafft nicht nur Transparenz über Risiken und Kosten, sondern liefert dem Management eine solide Grundlage für strategische Investitionsentscheidungen. Ein so erarbeitetes Zielbild ist zudem die Basis für eine audit-sichere Dokumentation und die Auswahl der passenden Technologien.

Darüber hinaus bietet die Umsetzung eine Chance: Unternehmen können ihre Authentifizierungslandschaft modernisieren, Betriebsprozesse vereinfachen und bestehende Komplexität deutlich reduzieren. Kosteneinsparungen ergeben sich insbesondere durch geringeren Administrationsaufwand, die Ablösung redundanter Systeme sowie weniger passwortbedingte Supportfälle durch den Einsatz von Single Sign‑On. Wer diese Gelegenheit nutzt, schafft nicht nur Sicherheit, sondern auch Effizienz und Zukunftsfähigkeit.

Bei PwC bieten wir Unternehmen umfassende Unterstützung: Wir helfen von der Governance und Strategie bis zur Implementierung und Managed Services für Ihre IdP-Lösung und beraten Sie in der Umsetzung einer zukunftsfähigen und skalierbaren Lösung.

Die Autoren

Sven Schreyer
Sven Schreyer

Director, Digital Identity, PwC Germany

Sven Schreyer verfügt über mehr als 20 Jahre Erfahrung in verschiedenen Funktionen in der IT- und Informationssicherheit als Programm- und Projektmanager sowie Führungskraft für internationale Softwarehersteller und Beratungsunternehmen, davon über sechs Jahre bei PwC Deutschland.
E-Mail
Xuan Chen
Xuan Chen

Director, Cyber Security & Privacy, PwC Germany

Xuan Chen ist Experte für digitale Identität, spezialisiert auf die Migration von SAP IDM zu alternativen IAM-Lösungen. Mit über 15 Jahren Erfahrung, davon ein Jahrzehnt bei SAP Deutschland im Bereich Design und Implementierung von IAM-Systemen, hat Xuan umfangreiches Wissen in der Transition von IAM-Lösungen erworben. Er leitet Projekte zur effizienten Umstellung auf moderne IAM-Produkte.
E-Mail
View More

Kontakt

So berät Sie PwC zu DORA

Follow us

© 2017 - 2026 PwC. All rights reserved. PwC refers to the PwC network and/or one or more of its member firms, each of which is a separate legal entity. Please see www.pwc.com/structure for further details.

Wir erbringen hochwertige, branchenspezifische Dienstleistungen in den Bereichen Wirtschaftsprüfung, Steuer- und Unternehmensberatung.