Freigeben über

Microsoft Entra Kundenüberlegungen unter DORA

  • Artikel

Hinweis

Diese Informationen sind keine rechtliche, finanzielle oder professionelle Beratung und sollten weder als vollständige Erklärung noch als die maßnahmen angesehen werden, die erforderlich sind, um die Anforderungen des Gesetzes zu erfüllen. Es wird nur zu Informationszwecken bereitgestellt.

Der Digital Operational Resilience Act (DORA) ist ein von der Europäischen Union geschaffener Rechtsrahmen, der darauf abzielt, die operative Resilienz des Finanzdienstleistungssektors angesichts der sich schnell entwickelnden Landschaft der Risiken der Informations- und Kommunikationstechnologie (IKT) zu stärken. Regulierte Entitäten können Microsoft Entra Features und Funktionen in ihre Frameworks, Richtlinien und Pläne integrieren, um bestimmte Anforderungen gemäß DORA zu erfüllen.

Während Microsoft Entra ID Steuerelemente bietet, mit denen bestimmte DORA-Anforderungen erfüllt werden können, und moderne Iam-Funktionen (Identity and Access Management, Identitäts- und Zugriffsverwaltung), reicht es nicht aus, sich ausschließlich auf eine IAM-Plattform zu verlassen, um Daten von Finanzunternehmen zu schützen. Es ist wichtig, diesen Artikel und alle DORA-Anforderungen zu lesen, um ein umfassendes Programm für digitale operative Resilienz einzurichten. Offizielle DORA-Ressourcen finden Sie auf der offiziellen Website der Europäischen Behörde für das Versicherungswesen und die betriebliche Altersversorgung.

Microsoft Entra und DORA

Microsoft Entra, bestehend aus Microsoft Entra ID (früher Azure Active Directory) und anderen Microsoft Entra-Funktionen ist ein Unternehmensidentitätsdienst, mit dem Anwendungen, Systeme und Ressourcen zur Unterstützung der DORA-Compliance geschützt werden können. Microsoft Entra ID untermauert Microsoft-Unternehmensangebote wie Microsoft 365, Azure und Dynamics 365, verbessert die allgemeine Sicherheit und den Identitätsschutz und kann eine entscheidende Rolle bei der Ausrichtung an die umfassenderen Anforderungen an das ICT-Risikomanagement unter DORA spielen.

Regulierte Entitäten können Microsoft Entra Funktionen in ihre Frameworks, Richtlinien und Pläne integrieren, um bestimmte Anforderungen gemäß DORA zu erfüllen:

  • Framework für das IKT-Risikomanagement
  • Geschäftskontinuitätsrichtlinie für IKT
  • IKT-Reaktions- und Wiederherstellungspläne

Jedes der oben genannten Punkte kann verschiedene Strategien, Richtlinien, Verfahren, IKT-Protokolle und Instrumente umfassen, die Finanzunternehmen implementieren müssen. Die obige Liste sollte nicht als vollständig betrachtet werden.

Darüber hinaus ist ein interner Governance- und Kontrollrahmen, der ein effektives und umsichtiges Management des IKT-Risikos sicherstellt, von entscheidender Bedeutung, um die Risiken zu minimieren, die DORA angehen möchte. Wenn ein solches Framework durch die Verwendung von Microsoft Entra Kontrollen unterstützt wird, sollten die Kontrollen und andere Risikominderungen für die unterstützten Workloads regelmäßig bewertet werden, wobei besonders auf diejenigen zu achten ist, die für die Erbringung von Finanzdienstleistungen von wesentlicher Bedeutung sind.

Microsoft Entra Anleitung für Kunden im Rahmen von DORA

die geografisch verteilte Architektur von Microsoft Entra kombiniert umfassende Überwachungs-, automatisierte Umleitungs-, Failover- und Wiederherstellungsfunktionen, um kontinuierliche Hochverfügbarkeit und Leistung bereitzustellen. Microsoft verfolgt auch einen umfassenden Ansatz für das Management von Sicherheitsvorfällen, das Lieferantenmanagement und das Sicherheitsrisikomanagement.

Microsoft Entra ID Funktionalität kann Finanzunternehmen bei der Erfüllung ihrer DORA-Complianceverpflichtungen unterstützen. In der folgenden Tabelle werden Die Features, Funktionen und Dienstangebote von Microsoft zusammen mit zugehörigen Anleitungen und einer nicht umfassenden Liste von Beispielen für DORA-Artikel beschrieben, die im Rahmen eines umfassenden Programms zur digitalen betrieblichen Resilienz berücksichtigt werden sollten.

Die Artikel, auf die in der folgenden Tabelle verwiesen wird, bieten Finanzentitäten Anleitungen dazu, wie Microsoft Entra ID so konfiguriert und operationalisiert werden können, dass im Rahmen ihrer DORA-Complianceverpflichtungen effektive bewährte Methoden für die Identitäts- und Zugriffsverwaltung (Identity and Access Management, IAM) gefördert werden können.

Hinweis

Aus Gründen der Übersichtlichkeit haben wir den RTS zum IKT-Risikomanagement und zum vereinfachten Rahmen für das IKT-Risikomanagement (Ref. JC 2023 86) als "RTS on ICT Risk Management Frameworks" bezeichnet.

Microsoft-Feature, -Funktion oder -Dienstangebot Leitfaden zur Kundenüberlegung Beispiel-DORA-Artikel zur Kundenüberlegung
Mehrere Microsoft Entra ID-Funktionen ermöglichen Es Organisationen, Resilienz in die Identitäts- und Zugriffsverwaltung zu integrieren. Finanzentitäten können die Resilienz in Systemen verbessern, die durch Microsoft Entra ID geschützt werden, indem sie den Empfehlungen folgen, die im folgenden Artikel enthalten sind und auf die verwiesen wird:
 DORA Act:

  • Artikel 7: IKT-Systeme, -Protokolle und -Tools
Microsoft Entra Backup-Authentifizierungssystem Finanzentitäten können das Microsoft Entra Sicherungsauthentifizierungssystem berücksichtigen, das die Authentifizierungsresilienz bei einem Ausfall erhöht. Finanzentitäten können Maßnahmen ergreifen, um sicherzustellen, dass sich Benutzer im Falle eines Ausfalls mithilfe des Sicherungsauthentifizierungssystems authentifizieren können, z. B.:
 DORA Act:
  • Artikel 7: IKT-Systeme, -Protokolle und -Werkzeuge
  • Artikel 9: Schutz und Vermeidung von IKT-Risiken bei gleichzeitiger Gewährleistung der Resilienz und Sicherheit der Geschäfte der Finanzunternehmen.
Microsoft Entra fortlaufende Zugriffsevaluierung Finanzentitäten können die Verwendung der fortlaufenden Zugriffsevaluierung (Continuous Access Evaluation, CAE) in Betracht ziehen, die es Microsoft Entra ID ermöglicht, langlebige Token auszugeben, während Anwendungen den Zugriff widerrufen und die erneute Authentifizierung nur bei Bedarf erzwingen können. Das Nettoergebnis dieses Musters sind weniger Aufrufe zum Abrufen von Token, was bedeutet, dass der End-to-End-Flow resilienter ist.

Um CAE verwenden zu können, müssen sowohl der Dienst als auch der Client CAE-fähig sein. Daher können Finanzentitäten diese Implementierungsschritte in Betracht ziehen, um Code für die Verwendung cae-fähiger APIs zu aktualisieren, sicherzustellen, dass kompatible Versionen nativer Microsoft Office-Anwendungen verwendet werden, und Aufforderungen zur erneuten Authentifizierung optimieren.		 DORA Act:
  • Artikel 7: IKT-Systeme, -Protokolle und -Werkzeuge
  • Artikel 9: Schutz und Vermeidung von IKT-Risiken bei gleichzeitiger Gewährleistung der Resilienz und Sicherheit der Geschäfte der Finanzunternehmen.
Architekturoptionen für die Microsoft-Hybridauthentifizierung Finanzentitäten, die eine Hybridauthentifizierungsarchitektur erfordern, können die Resilienz von Mechanismen für die Hybridauthentifizierung berücksichtigen, einschließlich lokaler Abhängigkeiten und potenzieller Fehlerquellen.
  • Microsoft betrachtet die Kennworthashsynchronisierung (Password Hash Synchronization, PHS) als die robusteste Hybridarchitekturoption, da es lokale Abhängigkeiten nur für die Synchronisierung und nicht für die Authentifizierung gibt. Dies bedeutet, dass Sich Benutzer im Falle eines PHS-Ausfalls weiterhin mit Microsoft Entra ID authentifizieren können.
  • Die Passthrough-Authentifizierung (PTA) verfügt über einen lokalen Speicherbedarf in Form von Microsoft Entra PTA-Agents. Diese Agents müssen verfügbar sein, damit Benutzer sich bei Microsoft Entra ID authentifizieren können.
  • Der Verbund erfordert die Verwendung eines Verbunddiensts wie Active Directory-Verbunddienste (AD FS) (AD FS). Der Verbund hat die höchste Abhängigkeit von der lokalen Infrastruktur und daher mehr Authentifizierungsfehlerpunkte.
  • Organisationen, die PTA oder einen Verbund verwenden, können auch die Aktivierung von PHS für die Berichterstellung von kompromittierten Anmeldeinformationen und die Möglichkeit in Betracht ziehen, im Falle eines lokalen Ausfalls (z. B. aufgrund eines Ransomware-Angriffs) zur Verwendung der Cloudauthentifizierung zu wechseln.
 DORA Act:
  • Artikel 7: IKT-Systeme, -Protokolle und -Werkzeuge
  • Artikel 9: Schutz und Vermeidung von IKT-Risiken bei gleichzeitiger Gewährleistung der Resilienz und Sicherheit der Geschäfte der Finanzunternehmen.
Mehrere Microsoft Entra ID Ermöglichen es Organisationen, ihren Mandantensicherheitsstatus zu straffen. Finanzentitäten können wichtige empfohlene Aktionen bereitstellen:

  • Stärken Ihrer Anmeldeinformationen
  • Reduzieren Ihrer Angriffsfläche
  • Automatisieren der Reaktion auf Bedrohungen
  • Nutzen von Cloud Intelligence
  • Aktivieren des Self-Service für Endbenutzer
 DORA Act:

  • Artikel 9: Schutz und Vermeidung von IKT-Risiken bei gleichzeitiger Gewährleistung der Resilienz und Sicherheit der Geschäfte von Finanzunternehmen
Das einmalige Anmelden (Single Sign-On, SSO) für Unternehmensanwendungen in Microsoft Entra ID trägt dazu bei, die Vorteile von Anmeldeinformationsrichtlinien, Bedrohungserkennung, Überwachung, Protokollierung und anderen Features zu gewährleisten. Finanzentitäten können Anwendungen so konfigurieren, dass sie Microsoft Entra ID als Identitätsanbieter verwenden, um von Anmeldeinformationsrichtlinien, Bedrohungserkennung, Überwachung, Protokollierung und anderen Features zu profitieren, die dazu beitragen können, Anwendungen angemessen zu schützen und zu überwachen.

Befolgen Sie die Anwendungsverwaltungsempfehlungen , um sicherzustellen, dass Anwendungen geschützt, gesteuert, überwacht und bereinigt werden.		 DORA Act:

  • Artikel 9: Schutz und Vermeidung von IKT-Risiken bei gleichzeitiger Gewährleistung der Resilienz und Sicherheit der Geschäfte der Finanzunternehmen.
  • Artikel 18: Klassifizierung von IKT-bezogenen Vorfällen und Cyberbedrohungen.


RTS zu IKT-Risikomanagement-Frameworks:
  • Artikel 20: Identitätsverwaltung
Die mehrstufige Authentifizierung in Microsoft Entra ID erfordert zwei oder mehr Authentifizierungsmethoden, um die Sicherheit zu erhöhen. Finanzunternehmen können die mehrstufige Authentifizierung (Multi-Factor Authentication, MFA) in Microsoft Entra ID implementieren, um das Risiko nicht autorisierter Zugriffe erheblich zu reduzieren und die Sicherheit von IKT-Systemen zu gewährleisten:

  • Authentifizierungsmethoden in Microsoft Entra ID umfassen starke phish-resistente MFA-Methoden wie Windows Hello, Passkeys (einschließlich FIDO2-Sicherheitsschlüsseln und gerätegebundenen Schlüsseln in Microsoft Authenticator) und zertifikatbasierte Authentifizierung.
  • Microsoft bietet Optionen zum Aufbau von Resilienz mit der Verwaltung von Anmeldeinformationen, einschließlich der Option zur Verwendung kennwortloser Authentifizierungsmethoden.
  • Sicherheitsstandards in Microsoft Entra Mandanten können verwendet werden, um Microsoft Authenticator schnell für alle Benutzer zu aktivieren.
  • Übersichtsrichtlinien für bedingten Zugriff können für eine präzisere Steuerung von Ereignissen oder Anwendungen verwendet werden, die MFA erfordern.
 DORA Act:
  • Artikel 9: Schutz und Vermeidung von IKT-Risiken bei gleichzeitiger Gewährleistung der Resilienz und Sicherheit der Geschäfte von Finanzunternehmen
  • Artikel 15: Weitere Harmonisierung der Instrumente, Methoden, Prozesse und Politiken des IKT-Risikomanagements

RTS zu IKT-Risikomanagement-Frameworks:
  • Artikel 11: Daten- und Systemsicherheit
  • Artikel 21: Access Control
  • Artikel 33: Access Control (vereinfachter Rahmen)
Bedingter Zugriff in Microsoft Entra ID ist die Zero Trust Richtlinien-Engine von Microsoft, die Signale aus verschiedenen Quellen beim Erzwingen von Richtlinienentscheidungen berücksichtigt. Finanzentitäten können die folgenden Steuerelemente innerhalb des bedingten Zugriffs für alle Benutzer implementieren:

Außerdem wird empfohlen, dass Finanzentitäten die empfohlenen Richtlinien in unserem Leitfaden zur Bereitstellung für bedingten Zugriff überprüfen und berücksichtigen.

Die Implementierung der oben genannten Kontrollen für privilegierte Konten kann als kritische Anforderung betrachtet werden, da diese Konten schwerwiegende Auswirkungen auf die Sicherheit und das Funktionieren von Microsoft Entra ID haben können.		 DORA Act:
  • Artikel 9: Schutz und Vermeidung von IKT-Risiken bei gleichzeitiger Gewährleistung der Resilienz und Sicherheit der Geschäfte von Finanzunternehmen
  • Artikel 15: Weitere Harmonisierung der Instrumente, Methoden, Prozesse und Politiken des IKT-Risikomanagements

RTS zu IKT-Risikomanagement-Frameworks:
  • Artikel 11: Daten- und Systemsicherheit
  • Artikel 21: Access Control
  • Artikel 22: Richtlinie für das Ikt-bezogene Incidentmanagement
  • Artikel 23: Erkennung und Kriterien für die Erkennung und Reaktion auf IKT-bezogene Vorfälle
  • Artikel 33: Access Control (vereinfachter Rahmen)
Privileged Identity Management (PIM) ist ein Dienst in Microsoft Entra ID, mit dem Sie den Zugriff auf wichtige Ressourcen in Ihrem organization verwalten, steuern und überwachen können. Robuste Sicherheitskontrollen können für privilegierte Rollen implementiert werden, um versehentliche oder böswillige Microsoft Entra ID Verfügbarkeit, Fehlkonfiguration und/oder Datenverlust zu verhindern:
 DORA Act:
  • Artikel 9: Schutz und Vermeidung von IKT-Risiken bei gleichzeitiger Gewährleistung der Resilienz und Sicherheit der Geschäfte der Finanzunternehmen.

RTS zu IKT-Risikomanagement-Frameworks:
  • Artikel 11: Daten- und Systemsicherheit
  • Artikel 21: Access Control
  • Artikel 33: Access Control (vereinfachter Rahmen)
Microsoft Entra ID bietet rollenbasierte Zugriffssteuerungen (Role-Based Access Control, RBAC), einschließlich integrierter undbenutzerdefinierter Rollen. Finanzunternehmen können das Prinzip der geringsten Rechte befolgen, um den Zugriff auf das zu beschränken, was für legitime und genehmigte Funktionen und Aktivitäten erforderlich ist, um die potenziellen Auswirkungen einer Sicherheitsverletzung zu minimieren.

Im Rahmen einer Strategie mit den geringsten Rechten empfehlen wir Finanzentitäten, bewährte Methoden für Microsoft Entra Rollen zu befolgen.		 DORA Act:
  • Artikel 9: Schutz und Vermeidung von IKT-Risiken bei gleichzeitiger Gewährleistung der Resilienz und Sicherheit der Geschäfte der Finanzunternehmen.

RTS zu IKT-Risikomanagement-Frameworks:
  • Artikel 11: Daten- und Systemsicherheit
  • Artikel 21: Access Control
  • Artikel 33: Access Control (vereinfachter Rahmen)
Geschützte Aktionen in Microsoft Entra ID sind Berechtigungen, denen Richtlinien für bedingten Zugriff zugewiesen wurden. Wenn ein Benutzer versucht, eine geschützte Aktion auszuführen, muss er zuerst die Richtlinien für bedingten Zugriff erfüllen, die den erforderlichen Berechtigungen zugewiesen sind. Befolgen Sie die bewährten Methoden für geschützte Aktionen in Microsoft Entra ID, um die Anzahl der administrativen Aktionen zu erhöhen, die innerhalb des Bereichs geschützter Aktionen liegen, und das Risiko einer Mandantensperrung zu verringern.

Zum Schutz vor versehentlichen oder böswilligen endgültigen Löschungen einiger vorläufig gelöschter Verzeichnisobjekte aus dem Papierkorb und dauerhaftem Datenverlust können Sie eine geschützte Aktion für die folgende Berechtigung hinzufügen: Microsoft.directory/deletedItems/delete

Diese Löschung gilt für Benutzer, Microsoft 365-Gruppen und Anwendungen.		 DORA Act:
  • Artikel 9: Schutz und Vermeidung von IKT-Risiken bei gleichzeitiger Gewährleistung der Resilienz und Sicherheit der Geschäfte der Finanzunternehmen.

RTS zu IKT-Risikomanagement-Frameworks:
  • Artikel 11: Daten- und Systemsicherheit
  • Artikel 21: Access Control
  • Artikel 33: Access Control (vereinfachter Rahmen)
Microsoft Entra ID unterstützt zahlreiche Optionen für die Integration von Aktivitätsprotokollen für Die Speicherung oder Analyse, um Problembehandlung, langfristige Speicherung oder Überwachungsziele zu erreichen. Finanzentitäten können einen Integrationsansatz für Aktivitätsprotokolle auswählen und implementieren, der eine kontinuierliche Analyse und Überwachung sowie eine ausreichende Datenaufbewahrungsdauer ermöglicht:
 DORA Act:
  • Artikel 9: Schutz und Vermeidung von IKT-Risiken bei gleichzeitiger Gewährleistung der Resilienz und Sicherheit der Geschäfte der Finanzunternehmen.
  • Artikel 18: Klassifizierung von IKT-bezogenen Vorfällen und Cyberbedrohungen
  • Artikel 19: Meldung wichtiger IKT-bezogener Vorfälle und freiwillige Meldung wichtiger Cyberbedrohungen

RTS zu IKT-Risikomanagement-Frameworks:
  • Artikel 12: Protokollierung
  • Artikel 21: Access Control
  • Artikel 22: Richtlinie für das Ikt-bezogene Incidentmanagement
  • Artikel 23: Erkennung und Kriterien für die Erkennung und Reaktion auf IKT-bezogene Vorfälle
  • Artikel 33: Access Control (vereinfachter Rahmen)
Microsoft Identity Secure Score gibt an, wie eine organization an bestimmten Sicherheitsempfehlungen von Microsoft ausgerichtet ist. Finanzentitäten können die Microsoft Identity Secure Score regelmäßig überprüfen, um den Identitätssicherheitsstatus zu messen und nachzuverfolgen und Verbesserungen der Identitätssicherheit zu planen.

Microsoft bietet auch zahlreiche Dienste an, z. B. den Microsoft Zero Trust Workshop, der Organisationen dabei helfen kann, ihren Microsoft Entra Mandantensicherheitsstatus zu bewerten, wie an anderer Stelle in dieser Tabelle beschrieben.		 DORA Act:
  • Artikel 9: Schutz und Vermeidung von IKT-Risiken bei gleichzeitiger Gewährleistung der Resilienz und Sicherheit der Geschäfte der Finanzunternehmen.

RTS zu IKT-Risikomanagement-Frameworks:
  • Artikel 34: Sicherheit des IKT-Betriebs
Das Feature Microsoft Entra Empfehlungen trägt dazu bei, die Sicherheit und Integrität des Mandanten durch Überwachung und E-Mail-Warnungen zu gewährleisten. Finanzunternehmen können Microsoft Entra Empfehlungen regelmäßig überprüfen, um das Bewusstsein für neue Empfehlungen zu gewährleisten, da diese dabei helfen können, Möglichkeiten zur Implementierung bewährter Methoden und zur Optimierung von Konfigurationen für Microsoft Entra ID-bezogene Features zu identifizieren. DORA Act:
  • Artikel 9: Schutz und Vermeidung von IKT-Risiken bei gleichzeitiger Gewährleistung der Resilienz und Sicherheit der Geschäfte der Finanzunternehmen.

RTS zu IKT-Risikomanagement-Frameworks:
  • Artikel 34: Sicherheit des IKT-Betriebs
Azure Workbooks für Microsoft Entra ID bietet eine visuelle Darstellung von Mandantendaten, die Abfragen und Visualisierungen für eine Reihe von Identitätsverwaltungsszenarien ermöglicht. Finanzentitäten können Arbeitsmappenvorlagen in Microsoft Entra ID auswählen und regelmäßig überprüfen, mit denen die Sicherheit und das Funktionieren relevanter Microsoft Entra ID Anwendungsfälle überwacht werden können.

Beispiele für aktuelle Microsoft Entra vorlagen für öffentliche Arbeitsmappen, die hilfreich sein können:
  • Das Gap Analyzer für bedingten Zugriff kann sicherstellen, dass Ressourcen durch bedingten Zugriff in Microsoft Entra ID
  • Die Arbeitsmappe mit dem Bericht zu vertraulichen Vorgängen dient dazu, verdächtige Anwendungs- und Dienstprinzipalaktivitäten zu identifizieren, die auf Gefährdungen in Ihrer Umgebung hinweisen können.
 DORA Act:
  • Artikel 9: Schutz und Vermeidung von IKT-Risiken bei gleichzeitiger Gewährleistung der Resilienz und Sicherheit der Geschäfte von Finanzunternehmen
  • Artikel 17: ICT-bezogener Vorfallmanagementprozess
Microsoft Graph bietet API-basierten Zugriff auf Microsoft Entra ID und eine Reihe von Microsoft 365-Diensten. Um die Angriffsfläche einer Anwendung und die Auswirkungen einer Sicherheitsverletzung zu verringern, können Finanzentitäten beim Erstellen, Zuweisen des Zugriffs und der Überwachung Microsoft Identity Platform integrierten Anwendung das Prinzip der geringsten Rechte befolgen. DORA Act:
  • Artikel 9: Schutz und Vermeidung von IKT-Risiken bei gleichzeitiger Gewährleistung der Resilienz und Sicherheit der Geschäfte von Finanzunternehmen

RTS zu IKT-Risikomanagement-Frameworks:
  • Artikel 12: Protokollierung Artikel 21: Access Control
  • Artikel 33: Access Control (vereinfachter Rahmen)
Microsoft365DSC ermöglicht die automatisierte Mandantenkonfigurationsverwaltung. Microsoft365DSC unterstützt bestimmte Microsoft Entra ID Konfigurationen. Um bestimmte Microsoft Entra ID Konfigurationseinstellungen aufzuzeichnen und Änderungen nachzuverfolgen, können Finanzentitäten automatisierte Konfigurationsverwaltungstools wie Microsoft365DSC in Betracht ziehen.

Für alle Konfigurationseinstellungen, die nicht über die API verfügbar sind, ist möglicherweise eine manuelle Dokumentation erforderlich.		 DORA Act:
  • Artikel 9: Schutz und Vermeidung von IKT-Risiken bei gleichzeitiger Gewährleistung der Resilienz und Sicherheit der Geschäfte von Finanzunternehmen
Microsoft Entra ID Protection hilft Organisationen dabei, identitätsbasierte Risiken zu erkennen, zu untersuchen und zu beheben. Um identitätsbasierte Risiken (einschließlich anomaler Aktivitäten) zu erkennen, zu untersuchen und zu beheben, können Finanzentitäten einen Dienst wie Microsoft Entra ID Protection in Betracht ziehen.

Finanzentitäten, die Microsoft Entra ID Protection bereitstellen, können den Dienst mit bedingtem Zugriff in Microsoft Entra ID für automatisierte Korrekturen und SIEM-Tools (Security Information and Event Management) wie Microsoft Sentinel für Die Archivierung, weitere Untersuchung und Korrelation. Sowohl Personen- als auch Workloadidentitäten können innerhalb des Bereichs dieser Schutzmaßnahmen stehen.

Es wird empfohlen, dass Unternehmensverteidigungstools verwendet werden, um Erkennung, Prävention, Untersuchung und Reaktion zu koordinieren. Beispielsweise hilft Microsoft Defender XDR Sicherheitsteams, ihre Organisationen mithilfe von Informationen aus anderen Microsoft-Sicherheitsprodukten, einschließlich Microsoft Entra ID Protection, zu schützen und zu erkennen.		 DORA Act:
  • Artikel 10: Erkennung
  • Artikel 15: Weitere Harmonisierung der Instrumente, Methoden, Prozesse und Politiken des IKT-Risikomanagements
  • Artikel 17: ICT-bezogener Vorfallmanagementprozess

RTS zu IKT-Risikomanagement-Frameworks:
  • Artikel 22: Richtlinie für das Ikt-bezogene Incidentmanagement
  • Artikel 23: Erkennung und Kriterien für die Erkennung und Reaktion auf IKT-bezogene Vorfälle
Microsoft Entra ID Features zur Wiederherstellung, einschließlich vorläufigem Löschen und Microsoft Graph-APIs für viele verschiedene Ressourcentypen (Beispiel: Graph-APIs für bedingten Zugriff). Finanzunternehmen können bewährte Methoden zur Wiederherstellbarkeit in Wiederherstellungsverfahren und IKT-Geschäftskontinuitätstests (oder ähnliche Aktivitäten) integrieren, einschließlich, aber nicht beschränkt auf:
  • Microsoft Graph-APIs können verwendet werden, um regelmäßig den aktuellen Status unterstützter Microsoft Entra ID Konfigurationen zu exportieren. M365DSC stellt ein Framework bereit, das ihnen dabei helfen kann.
  • Überwachungsprotokolle und Azure-Arbeitsmappen können verwendet werden, um eine Fehlerhafte Konfiguration der Mandantenkonfiguration zu überwachen.
  • Prozeduren zur Wiederherstellung nach Löschungen in Microsoft Entra ID können in einem Testmandanten für bestimmte Objekttypen zusammen mit dem entsprechenden Kommunikationsprozess getestet werden.
  • Graph-APIs für bedingten Zugriff können verwendet werden, um Richtlinien wie Code zu verwalten.
  • Wiederherstellungsverfahren können mit einem Ansatz mit den geringsten Rechten zusammen mit einer Just-in-Time-Eskalation von PIM ausgeführt werden, um das Risiko zu reduzieren, das mit Aufgaben wie dem Löschen von harten Objekten verbunden ist.
  • Für Playbookbücher zur Reaktion auf Vorfälle und Wiederherstellungsszenarien können Finanzentitäten Microsoft-Playbooks zur Reaktion auf Vorfälle überprüfen und übernehmen.

Die Häufigkeit der oben genannten Schritte kann vom Finanzunternehmen basierend auf der Wichtigkeit der in Microsoft Entra ID gespeicherten Informationen unter Berücksichtigung aller von DORA festgelegten Zeitrahmen bestimmt werden.		 DORA Act:
  • Artikel 11: Reaktion und Wiederherstellung
  • Artikel 12: Sicherungsrichtlinien und -verfahren, Wiederherstellungs- und Wiederherstellungsverfahren und -methoden

RTS zu IKT-Risikomanagement-Frameworks:
  • Artikel 25: Prüfung der IKT-Geschäftskontinuitätspläne
  • Artikel 26: IKT-Reaktions- und Sanierungspläne
Microsoft-Ressourcen, die Informationen und Schulungsressourcen im Zusammenhang mit Sicherheitsrisiken, Cyberbedrohungen, IKT-bezogenen Vorfällen und sicherheitsbezogenen Produktfunktionen bereitstellen. Finanzentitäten können diese von Microsoft bereitgestellten Ressourcen im Zusammenhang mit Sicherheitsrisiken und Cyberbedrohungen routinemäßig überprüfen, nachverfolgen und darauf reagieren, die folgendes umfassen können:

Finanzunternehmen können IKT-Sicherheitsbewusstseinsprogramme entwickeln, die Microsoft Entra ID Schulungen für relevante Mitarbeiter beinhalten, die Folgendes umfassen können:

Beachten Sie, dass einige der oben genannten Ressourcen eine Reihe von Microsoft-Sicherheitsprodukten und -Technologien abdecken. Sie sind nicht auf Microsoft Entra beschränkt.		 DORA Act:
  • Artikel 13: Lernen und Entwickeln
  • Artikel 25: Testen von IKT-Tools und -Systemen

RTS zu IKT-Risikomanagement-Frameworks:
  • Artikel 3: IKT-Risikomanagement
  • Artikel 10: Verwaltung von Sicherheitsrisiken und Patches
Microsoft Entra ID Governance ist eine Identitätsgovernancelösung, die es Organisationen ermöglicht, die Produktivität zu verbessern, die Sicherheit zu erhöhen und Compliance- und gesetzliche Anforderungen einfacher zu erfüllen. Finanzentitäten können die Bereitstellung einer Identity Governance-Lösung in Betracht ziehen, um Zugriffsverwaltungsrechte zu steuern. Microsoft Entra ID Governance umfasst die folgenden Funktionen, mit denen das Prinzip der geringsten Rechte auf Microsoft Entra ID geschützte Ressourcen angewendet werden kann:
  • Die Berechtigungsverwaltung ermöglicht die Automatisierung von Zugriffsanforderungsworkflows, Zugriffszuweisungen, Überprüfungen und Ablauf. Überprüfungen der Aufgabentrennung werden auch unterstützt, um die Zuteilung von Kombinationen von Zugriffsrechten zu verhindern, die Kontrollen ermöglichen können, indem sie umgangen werden.
  • Zugriffsüberprüfungen in Microsoft Entra ID ermöglichen die regelmäßige Verwaltung des Ressourcenzugriffslebenszyklus.
  • Lebenszyklusworkflows ermöglichen die Automatisierung von Lebenszyklusprozessen in Joiner-, Mover- und Leaver-Szenarien. Dies kann den Widerruf von Zugriffsrechten umfassen.
  • Privileged Identity Management (PIM) ist ein Dienst in Microsoft Entra ID, mit dem Sie den Zugriff auf wichtige Ressourcen in Ihrem organization verwalten, steuern und überwachen können.
  • Rollen mit den geringsten Berechtigungen für die Verwaltung in Identity Governance-Features
 DORA Act:
  • Artikel 9: Schutz und Vermeidung von IKT-Risiken bei gleichzeitiger Gewährleistung der Resilienz und Sicherheit der Geschäfte der Finanzunternehmen.
  • Artikel 15: Weitere Harmonisierung der Instrumente, Methoden, Prozesse und Politiken des IKT-Risikomanagements

RTS zu IKT-Risikomanagement-Frameworks:
  • Artikel 20: Identitätsverwaltung
  • Artikel 21: Access Control
  • Artikel 33: Access Control (vereinfachter Rahmen)
Microsoft-Ressourcen, die Anleitungen im Zusammenhang mit Microsoft Entra ID Sicherheitsvorgängen und der Reaktion auf Vorfälle bieten. Finanzentitäten können die Operationalisierung Microsoft Entra ID Sicherheitsvorgänge und Anleitungen zur Reaktion auf Vorfälle überprüfen und in Betracht ziehen, einschließlich, aber nicht beschränkt auf:
 DORA Act:
  • Artikel 17: ICT-bezogener Vorfallmanagementprozess
Ressourcen, die Informationen im Zusammenhang mit (und möglicherweise im Zusammenhang mit) Microsoft Entra ID Verfügbarkeit bereitstellen Finanzentitäten können informationen, die in diesen Artikeln und Websites enthalten sind, routinemäßig überprüfen, nachverfolgen und berücksichtigen:

Beachten Sie, dass einige der oben genannten Ressourcen eine Reihe von Microsoft-Sicherheitsprodukten und -Technologien abdecken. Sie sind nicht auf Microsoft Entra beschränkt.		 DORA Act:
  • Artikel 18: Klassifizierung von IKT-bezogenen Vorfällen und Cyberbedrohungen
  • Artikel 19: Meldung wichtiger IKT-bezogener Vorfälle und freiwillige Meldung wichtiger Cyberbedrohungen

RTS zu IKT-Risikomanagement-Frameworks:
  • Artikel 10: Verwaltung von Sicherheitsrisiken und Patches
Microsoft-Dienstangebote, die Organisationen dabei unterstützen können, ihren Microsoft Entra Mandantensicherheitsstatus im Rahmen von Tests zur digitalen betrieblichen Resilienz zu bewerten Das von einer Finanzeinrichtung bereitgestellte Programm zur Prüfung digitaler operativer Resilienz kann eine Reihe von Bewertungen, Tools und Methoden umfassen, einschließlich, aber nicht beschränkt auf:
  • Die Microsoft Entra ID On-Demand-Bewertung, die Iam-Anleitungen (Identity and Access Management) für Microsoft Entra ID und verwandte Komponenten analysiert und bereitstellt.
  • Der Microsoft Zero Trust Workshop ist ein umfassender technischer Leitfaden, der Kunden und Partnern dabei hilft, eine Zero Trust Strategie zu entwickeln und End-to-End-Sicherheitslösungen bereitzustellen, um ihre Organisationen zu schützen.

Finanzunternehmen können solche Bewertungen regelmäßig in Übereinstimmung mit den aktuellen DORA-Anforderungen durchführen.		 DORA Act:
  • Artikel 24: Allgemeine Anforderungen an die Durchführung digitaler resilienztests
  • Artikel 25: Testen von IKT-Tools und -Systemen
Ressourcen, die Informationen im Zusammenhang mit Microsoft Entra Änderungen bereitstellen Finanzentitäten können informationen, die in den folgenden Artikeln und Websites enthalten sind, routinemäßig nachverfolgen und berücksichtigen. Von Finanzunternehmen ergriffene Aktionen können z. B. Regressionstests und Aktualisierungen von Prozessen und Tests im Zusammenhang mit digitaler Operativer Resilienz umfassen.
  • Das Microsoft 365 Message Center kann verwendet werden, um anstehende Änderungen zu verfolgen, einschließlich neuer und geänderter Features, geplanter Wartung und anderer wichtiger Ankündigungen.
  • Neuerungen (Vorschau) können verwendet werden, um Microsoft Entra ID Änderungen im Microsoft Entra Admin Center
 DORA Act:
  • Artikel 25: Testen von IKT-Tools und -Systemen

RTS zu IKT-Risikomanagement-Frameworks:
  • Artikel 16: Erwerb, Entwicklung und Wartung von IKT-Systemen
  • Artikel 17: ICT Change Management
  • Artikel 34 – Sicherheit des IKT-Betriebs
Ressourcen, die Informationen zu Penetrationstests und Microsoft Entra ID Finanzentitäten, die Penetrationstests für ihre Microsoft Cloud durchführen möchten, können die in diesem Artikel aufgeführten Einsatzregeln berücksichtigen:

Finanzunternehmen können die oben genannten Einsatzregeln im Rahmen dieses Berichts der Europäischen Aufsichtsbehörden (ESA) berücksichtigen:
  • JC 2024 29: Abschlussbericht zu DORA RTS on Threat Led Penetration Testing (TLPT) gemäß Artikel 26 der DORA.
 DORA Act:
  • Artikel 25: Testen von IKT-Tools und -Systemen
  • Artikel 26: Erweiterte Tests von IKT-Tools, -Systemen und -Prozessen auf der Grundlage von TLPT
  • Artikel 27: Anforderungen an Tester für die Durchführung von TLPT

RTS zu IKT-Risikomanagement-Frameworks:
  • Artikel 25: Prüfung der IKT-Geschäftskontinuitätspläne
  • Artikel 26: IKT-Reaktions- und Sanierungspläne
Ressourcen im Zusammenhang mit der Aktivierung, Erzwingung und Verwaltung von Verschlüsselungs- und kryptografischen Kontrollen bei der Übertragung von Daten an oder von Microsoft Entra ID. Aus Sicherheitsgründen wird Microsoft Entra ID in Kürze keine TLS-Protokolle (Transport Layer Security) mehr und Verschlüsselungsverfahren vor TLS 1.2 unterstützen und die Unterstützung für TLS 1.3 einführen.

Finanzunternehmen können die folgenden Schritte in Betracht ziehen, um die Verwendung und Verwaltung geeigneter Verschlüsselungs- und Kryptografiekontrollen sicherzustellen:
 RTS zu IKT-Risikomanagement-Frameworks:
  • Artikel 6: Verschlüsselung und kryptografische Kontrollen
  • Artikel 7: Verwaltung kryptografischer Schlüssel
  • Artikel 14: Sichern von Informationen während der Übertragung

RTS zu IKT-Risikomanagement-Frameworks:
  • Artikel 6: Verschlüsselung und kryptografische Kontrollen
  • Artikel 7: Verwaltung kryptografischer Schlüssel
  • Artikel 14: Sichern von Informationen während der Übertragung
  • Artikel 35: Daten-, System- und Netzwerksicherheit
Ressourcen im Zusammenhang mit Microsoft Entra ID Kapazität und Leistungsmerkmalen Finanzunternehmen können erwägen, die folgende Dokumentation zu überprüfen und nachzuverfolgen, um bestimmte Microsoft Entra ID Kapazität und Leistungsmerkmale zu verstehen:
 RTS zu IKT-Risikomanagement-Frameworks:
  • Artikel 9: Kapazitäts- und Leistungsmanagement

RTS zu IKT-Risikomanagement-Frameworks:
  • Artikel 34: Sicherheit des IKT-Betriebs
Global Secure Access ist microsoft Security Service Microsoft Edge(SSE)-Lösung Finanzdienstleistungen können Kontrollen implementieren, um den Zugriff auf das öffentliche Internet und private Netzwerke mithilfe des globalen sicheren Zugriffs zu schützen. RTS zu IKT-Risikomanagement-Frameworks:
  • Artikel 13: Netzwerksicherheitsverwaltung
  • Artikel 14: Sichern von Informationen während der Übertragung
  • Artikel 35: Daten-, System- und Netzwerksicherheit
Ressourcen im Zusammenhang mit dem Erwerb, der Entwicklung und der Wartung von Anwendungen Finanzdienstleistungen können die folgenden Aspekte im Rahmen der Beschaffung oder Erstellung neuer Anwendungen umfassen:
 RTS zu IKT-Risikomanagement-Frameworks:
  • Artikel 16 Erwerb, Entwicklung und Wartung von IKT-Systemen
  • Artikel 37: Erwerb, Entwicklung und Wartung von IKT-Systemen (vereinfachter Rahmen)

Ressourcen