Dieses Compliance Mapping beantwortet zwei Kernfragen: Wie greift der User auf das System zu? und Was macht der User im System? Beide Fragen bilden das Fundament jedes Audits zu NIS-2, DORA, revDSG, FINMA oder ISO 27001:2022. Syteca als spezialisierte PAM/UAM-Plattform liefert für diese beiden Fragen die technische Antwort sowie den forensischen Nachweis. Die folgenden Tabellen zeigen paragraphengenau, wie sich Syteca-Funktionen den Kontrollanforderungen der wichtigsten DACH-Rahmenwerke zuordnen lassen, und wo organisatorisch zu ergänzen ist.
📑 Inhaltsübersicht
Zwei Kernfragen als Leit-Struktur · Methodik und Bewertungsskala · Verifizierte Syteca-Fähigkeiten · Syteca Compliance Mapping für NIS-2 · Syteca Compliance Mapping für DORA und RTS 2024/1774 · Syteca Compliance Mapping für revDSG und DSV · Syteca Compliance Mapping für FINMA-RS 2023/01 und 2018/3 · Syteca Compliance Mapping für ISO 27001:2022 · Syteca Compliance Mapping für die DSGVO · Syteca Compliance Mapping für BSI IT-Grundschutz · Territorialität und Anwendbarkeit in der Schweiz · Was Syteca bewusst nicht abdeckt
Zwei Kernfragen als Leit-Struktur
Auditoren, die ein Privileged-Access-Management-Werkzeug beurteilen, stellen im Kern zwei Fragen. Das Syteca Compliance Mapping in diesem Beitrag ist konsequent entlang dieser beiden Fragen strukturiert.
Frage 1: Wie greift der User auf das System zu?
Hier geht es um Zugangs- und Zugriffskontrolle im engeren Sinn: Vault mit automatischer Passwort-Rotation, Just-in-Time-Zugriff mit zeitlich begrenzten One-Time-Passwords, Zwei-Faktor-Authentifizierung, sekundäre Authentifizierung für Shared Accounts, rollenbasierte Berechtigungen, Privileged Account Discovery, agentenloser Web Connection Manager für RDP- und SSH-Sitzungen. Die einschlägigen Kontrollen sind unter anderem NIS-2 Artikel 21(2)(i)+(j), DORA RTS 2024/1774 Artikel 21, Artikel 3 Absatz 1(a) und (c) DSV, FINMA-RS 2023/01 Randziffer 77, ISO 27001:2022 A.5.15 bis A.8.5 sowie BSI ORP.4 und OPS.1.2.5.
Frage 2: Was macht der User im System?
Hier geht es um Aktivitätsüberwachung, Beweissicherung und Anomalieerkennung: Session Recording als Video mit indexierten Textmetadaten, kontinuierliches User Activity Monitoring, UEBA-basierte Anomalieerkennung, Echtzeit-Alerts mit automatisierter Reaktion, manipulationsgeschützte Logs, forensischer .EFE-Export, 30+ Reports, SIEM-Integration via CEF/LEEF. Die einschlägigen Kontrollen sind unter anderem Artikel 4 DSV, DORA Artikel 10 und Artikel 11(8), DORA RTS 2024/1774 Artikel 12, 22 und 23, FINMA-RS 2023/01 Randziffer 65 und 79, ISO 27001:2022 A.8.15 bis A.8.18 sowie BSI OPS.1.1.2, OPS.1.1.5 und DER.1.
Das Mapping zeigt zu jeder dieser Kontrollen, wo Syteca direkt liefert, wo ergänzende organisatorische Massnahmen notwendig sind und wo die Anforderung ausserhalb des PAM/UAM-Scopes liegt. Zum Kontext der Einordnung führt der Beitrag auch ausgewählte Governance-nahe Anforderungen mit (etwa Meldepflichten oder Vertragsklauseln) – allerdings nur dort, wo sie unmittelbar an die beiden Kernfragen andocken.
Methodik des Syteca Compliance Mappings
Das Syteca Compliance Mapping bewertet für jede einzelne Kontrollanforderung, ob Syteca sie vollständig, teilweise oder nicht allein abdeckt. Die Skala lautet:
- Vollständig adressiert – Syteca deckt die technische Kontrollebene der Anforderung vollumfänglich ab. Governance-Aufgaben (Policy, Prozess, Personal) sind davon unberührt.
- Teilweise adressiert – Syteca liefert einen wesentlichen Beitrag, aber die Anforderung erfordert ergänzende Tools oder organisatorische Massnahmen.
- Nicht durch Syteca allein adressiert – Die Anforderung liegt ausserhalb des PAM/UAM-Fokus und muss durch andere Werkzeuge oder Prozesse erfüllt werden.
Alle Bewertungen basieren auf öffentlich zugänglichen Primärquellen: EUR-Lex für EU-Rechtsakte, fedlex.admin.ch für Schweizer Recht, finma.ch für FINMA-Rundschreiben, edoeb.admin.ch für EDÖB-Guidance, bsi.bund.de für BSI IT-Grundschutz sowie die offizielle Syteca-Dokumentation unter syteca.com und docs.syteca.com. Die Tabellen sind so aufgebaut, dass sie direkt als Anhang zu einem Audit-Report oder Risikobewertungsdokument verwendet werden können.
Vendor-Assurance von Syteca: ISO/IEC 27001:2017 zertifiziert (Initial Registration 6. August 2020; Rezertifizierung 28. Juli 2025; gültig bis 6. August 2026), ISO 9001, UK Cyber Essentials (aktuell 2026) sowie Mitwirkender an NIST SP 1800-18 «Privileged Account Management for the Financial Services Sector». Für DORA-Artikel-28-Due-Diligence bietet dieses Zertifikats-Portfolio eine solide Grundlage.
Verifizierte Syteca-Fähigkeiten: Basis des Compliance Mappings
Zum Stand April 2026 (Syteca Version 7.21) sind folgende Fähigkeiten der Plattform öffentlich dokumentiert. Die Tabelle ist nach den beiden Kernfragen strukturiert – zuerst «Wie greift der User zu?», dann «Was macht der User im System?».
| Fähigkeit | Status | Technisches Detail |
|---|---|---|
| Wie greift der User auf das System zu? | ||
| Passwort-Vault mit Rotation | Vollständig | Automatische Rotation für AD, Windows, Unix-SSH, Unix-Telnet, Web und MS SQL; andere Typen Speicherung |
| Just-in-Time-Zugriff / One-Time Passwords | Vollständig | Konfigurierbarer Zeitrahmen, E-Mail-Genehmigung, Ticketing-Integration |
| Zwei-Faktor-Authentifizierung | Vollständig | TOTP via Google/Microsoft Authenticator; deckt BSI ORP.4.A10/A21, ISO 27001:2022 A.8.5, Artikel 3 Absatz 1(c) DSV ab. Für DORA-CIF ergänzender FIDO2-IdP empfohlen |
| Sekundäre Authentifizierung für Shared Accounts | Vollständig | Individuelle Attribution hinter Shared-Account-Logins (Root/Admin) |
| Privileged Account Discovery | Teilweise | Scope: Active Directory, Windows-lokal, Linux. Cloud-IAM (AWS, Azure, GCP) via Partner-Integration |
| Identity-Integration | Vollständig | AD nativ, Entra-ID-SSO, Okta, ForgeRock, SAML 2.0; für User-Provisioning ergänzende IGA empfohlen |
| Agentenloser Web Connection Manager | Vollständig | Browser-basiertes RDP und SSH via Chrome/Safari/Edge, seit v7.21 |
| Was macht der User im System? | ||
| Privilegierte Sitzungsaufzeichnung | Vollständig | Video und indexierte Textmetadaten (URLs, Fenstertitel, Tastatur, Kommandos, USB, IP) |
| Kontinuierliches UAM (alle Benutzer) | Vollständig | Agent-basiert auf Windows, Linux, macOS, UNIX, Citrix, VMware, Hyper-V |
| UEBA und Echtzeit-Alerts | Vollständig | Automatisierte Reaktion: Warnmeldung, Prozess-Kill, User-Block |
| Manipulationsgeschützte Logs | Vollständig | AES-256-Verschlüsselung, SHA-256-Integritätshash; Admins können Session-Logs nicht modifizieren |
| .EFE-Sitzungsexport | Vollständig | Digital signierter, verschlüsselter Forensik-Export mit SHA-256-Integritätssicherung |
| Report-Engine | Vollständig | 30+ Report-Typen, geplante Reports, Power-BI-Integration |
| SIEM-Integration | Vollständig | Splunk, QRadar, ArcSight via CEF/LEEF; TLS optional |
| USB-Management | Teilweise | Geräteklassenbasiert; keine inhaltsbasierte DLP |
| Pseudonymisierung | Vollständig | Reversibel (DSGVO Art. 4(5) personenbezogen); v7.21 mit sensitiver Datenmaskierung |
Plattformabdeckung: Windows (inkl. Server 2025), Linux (ab Kernel 2.6.32), macOS (Intel und Apple Silicon), UNIX (Solaris, AIX), Citrix, VMware Horizon, Hyper-V, WVD, Amazon WorkSpaces. Deployment: On-Premises, SaaS, Self-Managed auf AWS/Azure, offline/air-gapped via Offline-Aktivierung. Hochverfügbarkeit und Disaster Recovery via MS Failover Cluster + Storage Replica in On-Prem- und Self-Managed-Deployments verfügbar; im SaaS-Modus nicht. Vendor-Zertifikate: ISO/IEC 27001:2017 (seit 2020, rezertifiziert Juli 2025), ISO 9001, UK Cyber Essentials (2026), NIST SP 1800-18 Collaborator.
Syteca Compliance Mapping für NIS-2 (EU 2022/2555)
Artikel 21 Absatz 2 der NIS-2-Richtlinie definiert zehn Bereiche technischer und organisatorischer Massnahmen. Das Mapping fokussiert auf jene Absätze, die direkt an Privileged-Access-Management und User-Activity-Monitoring andocken: Access Control (Buchstabe i), MFA (Buchstabe j), Incident Handling mit forensischem Nachweis (Buchstabe b), Drittanbieter-Zugriffe (Buchstabe d) und Kryptographie (Buchstabe h). Für Finanzunternehmen gilt nach DORA Erwägungsgrund 28 und NIS-2 Artikel 4: DORA verdrängt NIS-2 auf ICT-Risikomanagement-Ebene.
| Art. 21(2) | Anforderung | Syteca-Beitrag | Bewertung |
|---|---|---|---|
| NIS-2 (b) | Incident Handling: Detektion, Analyse, Eindämmung, Beweissicherung | Echtzeit-Alerts, Session-Kill, User-Block, tamper-evidente Audit-Trails, SIEM-Forward, .EFE-Forensik, Ticketing-Integration | Vollständig für Detektions- und Nachweisebene; Playbook- und Case-Management organisatorisch |
| NIS-2 (d) | Lieferkettensicherheit: Drittanbieter-Risiken | Session-Recording von Vendor-Zugriffen, zeitbeschränkte OTPs, Secondary Auth, Attribution externer Admin-Aktivitäten | Vollständig für Third-Party-Zugriffskontrolle; vertragliche und organisatorische Supplier-Risk-Prozesse ergänzen |
| NIS-2 (h) | Kryptographie und Verschlüsselung für Zugangs- und Log-Daten | AES-256 und SHA-256 für Syteca-Logs und Vault-Secrets | Vollständig für PAM/UAM-Scope; Enterprise-KMS/HSM-Governance ausserhalb |
| NIS-2 (i) | Access Control: Joiner-Mover-Leaver, RBAC, Shared-Account-Kontrollen, Privileg-Rezertifizierung | Vault, JIT, Privileged Account Discovery, Secondary Auth für Shared Accounts, AD-/Entra-Integration, Session-Attribution | Vollständig für Access Control; HR-Screening, Asset-CMDB und Cloud-IAM-Discovery ergänzen |
| NIS-2 (j) | Multi-Faktor-Authentifizierung für privilegierte und Remote-Zugriffe | TOTP-2FA, Secondary Auth für Shared Accounts | Vollständig für MFA-Komponente; gesicherte Voice-/Video-/Notfall-Kommunikation nach Art. 21(2)(j) ausserhalb des PAM-Scopes |
Artikel 23 – Meldepflichten bei Vorfällen
Artikel 23 NIS-2 verlangt eine mehrstufige Meldekaskade. Syteca unterstützt alle Phasen auf der forensischen Nachweisebene – genau der Teil, den Auditoren bei Meldefristen sehen wollen.
| Phase | Frist | Syteca-Beitrag |
|---|---|---|
| Frühwarnung | 24 Stunden ab Kenntnis | Alert und Session-Timeline in Echtzeit |
| Vorfallsmeldung | 72 Stunden ab Kenntnis | Exportierbare Reports, .EFE-Beweise, indizierte Sitzungsmetadaten |
| Zwischenbericht (intermediate report) | Auf Anfrage der Behörde | Kontinuierliche Reports und Statusupdates |
| Abschlussbericht | Spätestens 1 Monat nach Vorfallsmeldung | .EFE-Sitzungen als digitales Beweismittel |
Syteca Compliance Mapping für DORA und RTS 2024/1774
DORA ist seit dem 17. Januar 2025 direkt anwendbar; die Delegierte Verordnung 2024/1774 enthält die detailliertesten EU-Regulierungen zu Access Control. Das Mapping fokussiert auf die Artikel, die für die beiden Kernfragen relevant sind: Artikel 9 (Protection and Prevention), Artikel 10 (Detection), Artikel 11 (Response and Recovery) sowie die zentralen RTS-Artikel 12, 20, 21, 22 und 23.
DORA-Basisverordnung
| Artikel | Anforderung | Syteca-Beitrag | Bewertung |
|---|---|---|---|
| DORA 9(1) | Kontinuierliche Überwachung und Steuerung der IKT-Systeme | UAM, PUM, SIEM-Forward | Vollständig auf Kontrollebene; 24/7-SOC organisatorisch |
| DORA 9(2) | Vertraulichkeit, Integrität, Verfügbarkeit, Authentizität für CIF | AES-256, SHA-256, Session-Signierung für Syteca-Log- und Session-Daten | Teilweise Scope: Syteca-Daten; Verschlüsselung in Ziel-Datenbanken separat |
| DORA 9(4)(c) | Zugriffsbeschränkung nach Least-Privilege, Need-to-Know, Need-to-Use | Vault, JIT/OTP, Secondary Auth, Session Recording, Privileged Account Discovery | Vollständig |
| DORA 9(4)(d) | Starke Authentifizierung für privilegiert, remote, CIF | TOTP-basierte 2FA erfüllt die allgemeine MFA-Anforderung | Teilweise Für CIF legt die RTS-Konkretisierung (Art. 21) phishing-resistente Faktoren nahe; FIDO2-IdP vorschalten |
| DORA 9(4)(e) | Changes: erfasst, getestet, bewertet, genehmigt, implementiert, verifiziert | Session-Aufzeichnung während Changes, Ticketing-Integration, auditierbarer Record | Teilweise CAB-/ITSM-Workflow separat |
| DORA 10(1) | Prompte Detektion anomaler Aktivitäten | UEBA-Modul, Echtzeit-Alerts | Vollständig |
| DORA 10(2) | Mehrschichtige Kontrollen, automatische Alarme | SIEM-Forward CEF/LEEF, automatisierte Reaktion | Vollständig |
| DORA 10(3) | Ressourcen für User-Activity-Monitoring | Kontinuierliches UAM für alle Benutzer | Vollständig |
| DORA 11(8) | «Readily accessible records of activities before and during disruption events» | .EFE-Sitzungen, tamper-evidente Logs, Report-Engine | Vollständig |
| DORA 28(1)-(2) | ICT-Third-Party-Risiko-Strategie: Überwachung und Kontrolle der Zugriffe | Vendor-Session-Monitoring, ticket-validierter Vendor-Zugriff, Secondary Auth für externe Dienstleister | Vollständig für den Zugangs- und Überwachungsteil; TPRM-Tool, RoI und DPA ergänzend |
RTS 2024/1774 – die PAM-zentralen Artikel
| Artikel | Anforderung | Syteca-Beitrag | Bewertung |
|---|---|---|---|
| RTS 12 | Protokollierung logischer und physischer Zugriffe, IAM, Change, IKT-Ops, Netzwerk; Manipulationsschutz at-rest/in-transit/in-use; NTP-Synchronisation | AES-256/SHA-256-Manipulationsschutz, SIEM-Forward, NTP-Nutzung | Vollständig |
| RTS 20 | Identity Management: eindeutige Identität pro Person (inkl. Third-Party-Staff), Lifecycle, automatisiert wo möglich | Privileged Account Discovery, AD-/Okta-Sync, Secondary Auth für Shared Accounts | Teilweise Kein SCIM; IGA-Plattform (SailPoint, Saviynt, One Identity) ergänzen |
| RTS 21 | Access Control: Least-Privilege, SoD, Attribution (Shared-Account-Einschränkung), Zugang für privilegiert/Notfall/Admin auf «need-to-use or ad-hoc basis»; jährliche Rezertifizierung, halbjährlich für CIF; starke Auth für Remote/Privileged/CIF | Vault, JIT-OTP (implementiert als «ad-hoc basis»), Session Recording, Secondary Auth, Discovery, UEBA; TOTP-2FA | Teilweise Need-to-know, SoD, JIT, Attribution technisch vollständig abgedeckt; bei CIF Aufsichtsauslegung tendiert zu phishing-resistenter MFA via IdP; Rezertifizierungs-Kampagnen via GRC/IGA |
| RTS 22 | Incident-Management-Policy mit Evidence-Retention | .EFE-Export, tamper-evidente Logs, Retention-Konfiguration | Vollständig für Evidence-Layer; Policy-Autoring organisatorisch |
| RTS 23 | Anomalie-Erkennung inkl. Alarme auf CIF-IKT-Assets | UEBA mit Alarmen | Vollständig |
Territorialität für Schweizer Unternehmen: DORA bindet direkt EU-Finanzunternehmen. Schweizer Anbieter sind indirekt betroffen über Artikel 30 (Vertragsklauseln für IKT-Dienstleister) sowie – falls als Critical Third-Party Provider designiert – durch direkte ESA-Aufsicht nach Artikel 31. Die erste CTPP-Liste wurde am 18. November 2025 publiziert; designierte Nicht-EU-Anbieter müssen innerhalb von 12 Monaten eine EU-Tochter gründen (Art. 31(12)).
Syteca Compliance Mapping für das revidierte Schweizer DSG und die DSV
Das revidierte Schweizer Datenschutzgesetz ist seit dem 1. September 2023 in Kraft. Die Datenschutzverordnung (DSV) konkretisiert die technischen und organisatorischen Massnahmen. Artikel 4 DSV zur Protokollierung wurde am 1. Dezember 2025 (AS 2025 694) ausdrücklich um «Zugreifen» erweitert – eine Änderung mit direkter Relevanz für UAM-Deployments, die Lesevorgänge auf besonders schützenswerte Personendaten protokollieren.
| Referenz | Anforderung | Syteca-Beitrag | Bewertung |
|---|---|---|---|
| revDSG Art. 8 DSG | Risikogerechte technische und organisatorische Massnahmen | Vollständiger Kontrollsatz Vault/UAM/Alerts | Vollständig |
| revDSG Art. 24 DSG | Meldung an EDÖB «so rasch als möglich»; Dokumentation ≥ 2 Jahre (Art. 15 DSV) | Detektion via UEBA, Beweissicherung via .EFE, Retention-Konfiguration | Vollständig auf Nachweisebene |
| DSV Art. 3 Abs. 1(a) | Zugriffskontrolle (logischer Zugriff): Zugriff auf Personendaten nur gemäss Need-to-Know | Vault, JIT, RBAC via AD/Okta, Session Recording | Vollständig |
| DSV Art. 3 Abs. 1(c) | Benutzerkontrolle: Unberechtigte an der Nutzung hindern | 2FA (TOTP) und Secondary Auth für Shared Accounts | Vollständig |
| DSV Art. 3 Abs. 3(a) | Eingabekontrolle: Wer hat wann was geändert | Session-Recording, manipulationsgeschützte Logs, 30+ Reports | Vollständig |
| DSV Art. 3 Abs. 3(b) | Bekanntgabekontrolle: Empfänger-Nachverfolgbarkeit | URL- und Fenstertitel-Metadaten, USB-Events, nachgelagerte Beweissicherung für Aktionen in überwachten Sitzungen | Teilweise Keine Interception von Anwendungs-Datenflüssen; E-Mail-DLP/CASB separat |
| DSV Art. 3 Abs. 3(c) | Erkennungskontrolle: Rasche Detektion | UEBA mit Auto-Response | Vollständig |
| DSV Art. 4 Abs. 1 | Protokollierung (seit 1.12.2025): Bei automatisierter Bearbeitung besonders schützenswerter Personendaten in grossem Umfang ODER Profiling mit hohem Risiko: Speichern, Verändern, Bekanntgeben, Löschen, Vernichten, Zugreifen | Vollständige CRUD- und Access-Protokollierung via UAM-Agent | Vollständig |
| DSV Art. 4 Abs. 4 | Log-Inhalt: Identität, Art der Bearbeitung, Datum/Uhrzeit, ggf. Empfänger | Metadaten, Video, Keystroke-Aufzeichnung | Vollständig |
| DSV Art. 4 Abs. 5 | Retention ≥ 1 Jahr; getrennt vom Produktionssystem; Zugriff nur für Datenschutz- oder Sicherheitsprüfer | Separater Log-Speicher, administrativer Zugriff auf Logs einschränkbar | Vollständig |
Kernaussage für Schweizer Deployments: Artikel 4 DSV ist seit dem 1. Dezember 2025 expressis verbis auf «Zugreifen» erweitert. UAM mit vollständiger Leseaktivitätsprotokollierung ist damit rechtlich klar verankert, und die 1-Jahres-Retention auf einem vom Produktionssystem getrennten Log-Speicher mit eingeschränktem Zugang trifft genau den Syteca-Standarddeployment-Stil. Die Übergangsfristen nach Art. 46 DSV (Risikobeurteilung bis 31.12.2026, Umsetzung bis 31.12.2029) gelten nicht bei besonders schützenswerten Personendaten, Profiling oder im Scope von EU 2016/680.
Syteca Compliance Mapping für FINMA-Rundschreiben 2023/01 und 2018/3
FINMA-RS 2023/01 «Operationelle Risiken und Resilienz – Banken»
In Kraft seit 1. Januar 2024. Das Mapping fokussiert auf die Randziffern, die direkt an PAM/UAM andocken: die Rz 51, 65, 68, 77, 79 zu privilegierten Zugriffen, Monitoring und Meldepflichten. Für Kat.-4-/5-Banken nach Art. 47a-47e ERV gelten vereinfachte Anforderungen.
| Randziffer | Anforderung | Syteca-Beitrag | Bewertung |
|---|---|---|---|
| FINMA 23/01 Rz 40 | Jährliche Reports an Geschäftsleitung zu IKT-/Cyber-Risiken und Wirksamkeit der Schlüsselkontrollen | Geplante Reports, 30+ Report-Typen | Vollständig |
| FINMA 23/01 Rz 51 | Strikte Trennung Entwicklung/Test/Produktion und klare AKV inkl. Zugangsberechtigungen | Vault, Tenant-/Rollen-Trennung, Session Recording | Vollständig |
| FINMA 23/01 Rz 60 | Materielle IKT-Vorfälle unverzüglich an FINMA melden | Alerts und .EFE-Beweise | Vollständig auf Nachweisebene |
| FINMA 23/01 Rz 65 | Zeitnahe Erfassung und Detektion von Cyber-Angriffen via kontinuierliches Monitoring der inventarisierten IKT und kritischen Daten | Kontinuierliches UAM mit UEBA, SIEM-Forward | Vollständig |
| FINMA 23/01 Rz 68 | Meldepflicht Cyber-Angriffe an FINMA | Beweiserhaltung, Reports als Grundlage | Vollständig auf Nachweisebene |
| FINMA 23/01 Rz 77 | Autorisierungssystem für kritische Daten (rollen-/funktionsbasiertes Berechtigungssystem; Zuteilung nach Need-to-Know) | Vault, RBAC, JIT, Discovery | Vollständig |
| FINMA 23/01 Rz 79 | Privilegierter Zugriff auf kritische Daten: Auswahl, Schulung, Monitoring, regelmässige Überprüfung; Liste der Personen mit erhöhten Privilegien | PUM, Session Recording, Privileged Account Discovery, Reports, Rezertifizierungs-Metriken | Vollständig für Monitoring- und Überprüfungs-Ebene; Schulung organisatorisch |
FINMA-RS 2018/3 «Outsourcing»
| Randziffer | Anforderung | Syteca-Beitrag | Bewertung |
|---|---|---|---|
| FINMA 18/3 Rz 18–20 | Auswahl, Instruktion und Kontrolle des Dienstleisters | Session-Monitoring von Vendor-Zugriffen, ticket-validierter Zugriff | Vollständig für Kontroll-Ebene |
| FINMA 18/3 Rz 26 | Prüfungs- und Revisionsrechte für Institut, Prüfgesellschaft und FINMA | .EFE-Exporte, tamper-evidente Logs, Reports als Evidence-Layer | Vollständig für Evidence-Layer |
| FINMA 18/3 Rz 27 | Prüfungsrechte erstrecken sich auf Unter-Outsourcing | Reports und Sitzungsbeweise bereitstellbar | Vollständig auf Evidence-Layer |
| FINMA 18/3 Rz 31 | Zugang zu relevanten Daten jederzeit aus der Schweiz möglich | On-prem-Deployment, Offline-Aktivierung, AWS-CH-Region-Deployment | Vollständig |
Syteca Compliance Mapping für ISO/IEC 27001:2022
Die 2022er-Fassung von ISO/IEC 27001 hat zentrale Kontrollen für Privileged Access Management und Monitoring neu eingeführt oder erweitert. Besonders relevant: A.8.16 «Monitoring activities» ist eine 2022 neu eingeführte Kontrolle, und A.8.2 «Privileged access rights» wurde um «Re-Authentifizierung vor Nutzung» und «Break-glass-Prozesse» erweitert. Das Mapping fokussiert auf die PAM/UAM-zentralen Annex-A-Controls.
| Kontrolle | Anforderung (Kurz) | Syteca-Beitrag | Bewertung |
|---|---|---|---|
| ISO 27001 A.5.15 | Access control: Regeln für logischen Zugriff; MAC/DAC/RBAC/ABAC | Vault, RBAC via AD/Entra/Okta, Need-to-Know | Vollständig auf technischer Enforcement-Ebene |
| ISO 27001 A.5.16 | Identity management: eindeutige IDs, Shared Accounts nur mit kompensierenden Kontrollen | Privileged Account Discovery, Secondary Auth für Shared Accounts | Teilweise SCIM/IGA ergänzen |
| ISO 27001 A.5.17 | Authentication information: sichere Verteilung, Rotation, getrennte Speicherung | Vault mit automatischer Rotation (6 Credential-Typen), SHA-256-Hash | Vollständig für die unterstützten Credential-Typen |
| ISO 27001 A.5.18 | Access rights: Bereitstellung, Review, Entfernung; SoD; periodische Überprüfung | Deprovisionierung, Rezertifizierungs-Reports | Teilweise Rezertifizierungs-Kampagnen via GRC/IGA |
| ISO 27001 A.8.2 | Privileged access rights: Inventar; event-by-event; Ablaufdatum; Re-Auth vor Nutzung (neu 2022); Break-glass (neu 2022); alle priv. Aktivitäten protokollieren | Vault, JIT, PUM, Session Recording, Auto-Rotate, Account Discovery | Vollständig für AD/Windows/Linux/UNIX/Citrix/VMware/Hyper-V-Scope; Cloud-IAM ergänzen |
| ISO 27001 A.8.3 | Information access restriction: granulare Zugriffe, dynamische ABAC/PBAC, Maskierung | Session-Recording mit sensitiver Datenmaskierung (v7.21) | Teilweise App-interne Feldrechte ausserhalb |
| ISO 27001 A.8.5 | Secure authentication: Authentifizierungsstärke ≈ Klassifizierung; verschlüsselte Übertragung; Brute-Force-Schutz | 2FA TOTP, verschlüsselte Sitzungen, Account-Lockout | Vollständig für typische Klassifizierungen; bei höchsten Schutzbedarfen FIDO2-IdP vorschalten |
| ISO 27001 A.8.15 | Logging: Events, Manipulationsschutz; Admin kann eigene Logs nicht modifizieren | Tamper-evidente AES-256/SHA-256-Logs; Admins können Session-Logs nicht modifizieren; digital signierter .EFE-Export | Vollständig |
| ISO 27001 A.8.16 | Monitoring activities (NEU 2022): Anomaly-Detection, Baselines, Echtzeit-Alerts für User- und Systemaktivitäten | UEBA mit Alerts und SIEM-Integration für User- und Privileg-Verhalten | Vollständig für User/Privileg-Verhalten; netzwerkseitige NDR/EDR ergänzend |
| ISO 27001 A.8.17 | Clock synchronisation | NTP-Nutzung | Vollständig |
| ISO 27001 A.8.18 | Use of privileged utility programs: Utility-Programme segregiert, Nutzung protokolliert, zeitbeschränkte Genehmigung | Session-Recording bei Utility-Aufruf, Vault-Kontrolle | Vollständig |
Syteca Compliance Mapping für die DSGVO
Das Mapping fokussiert auf die DSGVO-Artikel, die direkt an Access Control und UAM andocken – primär Artikel 32 (technische Sicherheitsmassnahmen) sowie die Meldepflichten Artikel 33 und 34.
| Artikel | Anforderung | Syteca-Beitrag | Bewertung |
|---|---|---|---|
| DSGVO Art. 25 | Privacy by Design + Default: TOMs (Pseudonymisierung, Datenminimierung) | Reversible Pseudonymisierung, Default-Deny, rollenbasierte Sichtbarkeit für Aufzeichnungen | Vollständig für die TOM-Bausteine; Design-Verantwortung liegt beim Controller |
| DSGVO Art. 28 | Auftragsverarbeiter: Auftragsverarbeitungsvertrag (DPA) | Syteca ist Prozessor für Kunden-PAM-Daten | Teilweise DPA zwingend abzuschliessen |
| DSGVO Art. 32(1)(a) | Pseudonymisierung und Verschlüsselung personenbezogener Daten | Reversible Pseudonymisierung für Syteca-Session-Daten; AES-256 für Syteca-Logs | Vollständig für PAM/UAM-Scope; Verschlüsselung von Kundendaten im Ziel-System separat |
| DSGVO Art. 32(1)(b) | Vertraulichkeit, Integrität, Verfügbarkeit, Belastbarkeit | Voller Kontrollstapel, HA/DR (nicht SaaS) | Vollständig für Syteca-Kontrollen; HA/DR im SaaS-Modus nicht verfügbar |
| DSGVO Art. 32(4) | «Weisungsgebunden unter Aufsicht des Verantwortlichen» | Session-Attribution, manipulationssichere Audit-Trails | Vollständig für Evidenzebene; DPA separat |
| DSGVO Art. 33 | Meldung an Aufsichtsbehörde binnen 72 h | .EFE-Forensik, Reports | Vollständig auf Nachweisebene |
| DSGVO Art. 34(3)(a) | Ausnahme von Betroffenen-Benachrichtigung bei Verschlüsselung | AES-256 für Syteca-Sitzungsdaten: Ausnahme gilt für Verletzung von Syteca-Daten | Vollständig für Syteca-Daten; Kundendatenverschlüsselung separat bewerten |
Syteca Compliance Mapping für BSI IT-Grundschutz
ORP.4 Identitäts- und Berechtigungsmanagement
| Anforderung | Stufe | Syteca-Beitrag | Bewertung |
|---|---|---|---|
| BSI ORP.4.A1 Regelung für die Einrichtung und Löschung von Benutzenden | Basis | Via Discovery und AD-Integration | Vollständig |
| BSI ORP.4.A2 Least Privilege / Need-to-Know | Basis | JIT, Vault, RBAC | Vollständig |
| BSI ORP.4.A3 Dokumentation der Kennungen und Rechteprofile | Basis | Reports | Vollständig |
| BSI ORP.4.A6–A7 Zugangs- und Zugriffsrechte | Basis | Vault | Vollständig |
| BSI ORP.4.A8 Passwortgebrauch | Basis | Vault | Vollständig |
| BSI ORP.4.A9 Identifikation und Authentisierung | Basis | Vault, AD-Integration | Vollständig |
| BSI ORP.4.A10 Schutz weitreichender Berechtigungen mit MFA | Standard | TOTP-MFA | Vollständig |
| BSI ORP.4.A14 Wirksamkeit der Benutzertrennung | Standard | UAM | Vollständig |
| BSI ORP.4.A21 Mehr-Faktor-Authentisierung | Hoch | TOTP | Vollständig |
| BSI ORP.4.A24 Vier-Augen-Prinzip für administrative Tätigkeiten | Hoch | Approval-Workflows, Secondary Auth | Teilweise Formalisierter Vier-Augen-Workflow über Ticketing-Integration |
OPS.1.1.2 Ordnungsgemässe IT-Administration
| Anforderung | Stufe | Syteca-Beitrag | Bewertung |
|---|---|---|---|
| BSI OPS.1.1.2.A4 Beendigung der Admin-Tätigkeit: alle Admin-Passwörter rotieren | Basis | Automatische Rotation für 6 unterstützte Credential-Typen | Vollständig |
| BSI OPS.1.1.2.A5 Nachweisbarkeit administrativer Tätigkeiten | Basis | Vollständige Session-Aufzeichnung | Vollständig |
| BSI OPS.1.1.2.A16 Zugangsbeschränkungen für administrative Zugänge | Hoch | Web Connection Manager, 2FA | Vollständig |
| BSI OPS.1.1.2.A18 Durchgängige Protokollierung; Admin kann Umfang/Art nicht beeinflussen | Hoch | Manipulationsgeschützte Logs | Vollständig |
| BSI OPS.1.1.2.A28 Protokollierung administrativer Tätigkeiten | Standard | Tamper-evidente Logs | Vollständig |
| BSI OPS.1.1.2.A30 Echtzeit-Analyse via SIEM-Plattform | Hoch | SIEM-Forward CEF/LEEF | Vollständig |
OPS.1.1.5 Protokollierung
| Anforderung | Stufe | Syteca-Beitrag | Bewertung |
|---|---|---|---|
| BSI OPS.1.1.5.A3 Konfiguration sicherheitsrelevanter Events | Basis | Flexibles Event-Modell | Vollständig |
| BSI OPS.1.1.5.A5 Verhinderung unkontrollierter Löschung | Basis | Manipulationsschutz | Vollständig |
| BSI OPS.1.1.5.A6 Zentrale Protokollierungsinfrastruktur | Standard | Application Server, SIEM | Vollständig |
| BSI OPS.1.1.5.A8 Archivierung | Standard | Retention-Policy | Vollständig |
| BSI OPS.1.1.5.A10 Administratoren dürfen Logs nicht modifizieren | Standard | Tamper-evidente Logs | Vollständig |
| BSI OPS.1.1.5.A11 Near-Real-Time-Monitoring | Hoch | Echtzeit-Monitoring | Vollständig |
| BSI OPS.1.1.5.A12 Verschlüsselung und digitale Signatur der Logs | Hoch | AES-256 und SHA-256; digital signierter .EFE-Export | Vollständig |
| BSI OPS.1.1.5.A13 Hochverfügbare Protokollierungsinfrastruktur | Hoch | HA-Modus (On-Prem / Self-Managed) | Vollständig in On-Prem / Self-Managed; im SaaS-Modus nicht verfügbar |
OPS.1.2.5 Fernwartung
| Anforderung | Stufe | Syteca-Beitrag | Bewertung |
|---|---|---|---|
| BSI OPS.1.2.5.A3 Schnittstellenabsicherung | Basis | Web Connection Manager | Vollständig |
| BSI OPS.1.2.5.A8 Sichere Protokolle, VPN über öffentliche Netze | Standard | TLS | Vollständig |
| BSI OPS.1.2.5.A25 Entkopplung der Kommunikation bei der Fernwartung (Jump-Server) | Standard | Web Connection Manager als agentloser Jump-Broker (v7.21) | Vollständig |
DER.1 Detektion von sicherheitsrelevanten Ereignissen
| Anforderung | Stufe | Syteca-Beitrag | Bewertung |
|---|---|---|---|
| BSI DER.1.A6 Kontinuierliche Überwachung und Auswertung | Standard | UAM, UEBA | Vollständig |
| BSI DER.1.A11 Zentrale Log-Infrastruktur für Security Relevant Events | Standard | Application Server, SIEM | Vollständig |
| BSI DER.1.A15 Zentrale Detektion und Echtzeitüberprüfung von Ereignismeldungen (industriell als «SIEM» bezeichnet) | Hoch | SIEM-Integration | Vollständig |
| BSI DER.1.A17 Automatische Reaktion auf sicherheitsrelevante Ereignisse (industriell als «SOAR» bezeichnet) | Hoch | Auto-Response: Warnung, Session-Kill, User-Block | Vollständig |
Territorialität: Wer ist von NIS-2 und DORA betroffen?
Die Schweiz ist weder EU- noch EWR-Mitglied. NIS-2 und DORA gelten daher nicht direkt auf Schweizer Staatsgebiet. Sie treffen Schweizer Unternehmen aber in mehreren Konstellationen:
| Szenario | NIS-2 direkt? | DORA direkt? | Indirekte Exposition |
|---|---|---|---|
| CH-Firma, nur Schweiz, keine EU-Kunden | Nein | Nein | Nur nach ISG/CSV und revDSG |
| CH-Firma mit EU-Tochter | Ja, via EU-Tochter | Ja, falls Finanzunternehmen | Gruppenweite Harmonisierung |
| CH-MSP/Cloud/Datacenter an EU-Kunden | Ja (Art. 26(1)(b)+(3): EU-Vertreter bestellen) | Nein (ausser als DORA-Lieferant) | Vertragskaskade |
| CH-ICT-Lieferant an EU-KRITIS | Nein (direkt beim Kunden) | — | Art. 21(2)(d) Flow-down |
| CH-ICT-Lieferant an EU-Finanzunternehmen | — | Nein direkt; Art. 30 Vertragsklauseln; RoI-Aufnahme (Art. 28(3)) | Vertragliche DORA-Äquivalenz |
| CH-Anbieter als CTPP designiert | — | Ja (ESA-Oversight, 12-Monats-EU-Tochter nach Art. 31(12)) | Direkte ESA-Aufsicht |
Was Syteca bewusst nicht abdeckt
Syteca ist eine spezialisierte PAM/UAM-Plattform, kein All-in-One-Security-Tool. Für eine vollständige Compliance-Architektur ergänzt Syteca gezielt andere Bausteine. Die wichtigsten Ergänzungen auf einen Blick:
- Governance und Policies – ISMS, Risikoregister, Verarbeitungsverzeichnis, DORA Register of Information, Bearbeitungsreglement. Liegen organisatorisch beim Kunden und seinen GRC-Tools.
- Netzwerk- und Infrastruktur-Sicherheit – Mikro-Segmentierung, Schwachstellen-Scanning, Patch-Management, Backup/Recovery, physischer Zutritt liegen ausserhalb des PAM/UAM-Scopes.
- Phishing-resistente MFA für DORA-CIF – Für kritische oder wichtige Funktionen unter DORA RTS Art. 21 wird ein vorgelagerter IdP (Microsoft Entra ID, Okta) mit FIDO2/WebAuthn empfohlen; Syteca übernimmt PAM und Aufzeichnung.
- Cloud-IAM-Privilegien-Inventar – Das native Privileged Account Discovery ist auf AD, Windows und Linux fokussiert. Für AWS, Azure und GCP IAM empfehlen sich ergänzende CIEM-Tools.
Fazit: Syteca deckt die beiden Audit-Kernfragen vollständig ab
Auf die beiden Leit-Fragen jedes PAM-Audits – «Wie greift der User auf das System zu?» und «Was macht der User im System?» – liefert Syteca technisch eine sehr belastbare Antwort. Das Mapping zeigt, dass Syteca die zentralen PAM/UAM-Kontrollen von ISO 27001:2022 (A.5.15–A.5.18, A.8.2–A.8.5, A.8.15–A.8.18), DORA RTS 2024/1774 (Art. 12, 21, 22, 23), revDSG (Art. 4 DSV inkl. Erweiterung vom 1.12.2025), FINMA-RS 2023/01 (Rz 51, 65, 77, 79) und BSI IT-Grundschutz (ORP.4, OPS.1.1.2, OPS.1.1.5, OPS.1.2.5, DER.1) durchgängig adressiert.
Für Finanzunternehmen mit CIF unter DORA empfiehlt sich ein vorgelagerter Identity Provider mit FIDO2 für die Authentifizierungsebene; Syteca übernimmt PAM, Aufzeichnung und Beweissicherung. Für Schweizer Mittelständler, KRITIS-Betreiber und Gesundheitsdienstleister ist Syteca in der Standardkonfiguration bereits auditfest. Die praktische Evaluation gelingt am besten, indem Sie Ihre bestehende Kontroll-Matrix aus dem aktuellen Audit- oder Risikoregister nehmen, die Kontrollen mit den grössten Nachweislücken markieren und prüfen, welche davon Syteca schliesst. In den meisten DACH-Mittelstandsumgebungen ergibt das eine klare, belastbare Business-Case-Grundlage.
🔎 Syteca im Kontext Ihrer Kontroll-Matrix bewerten?
TECHWAY begleitet Sie bei der Evaluation gegen Ihre konkreten regulatorischen Anforderungen. Wir liefern auditfeste Mappings, Proof-of-Concept-Support und die Einführung mit Schweizer Ansprechpartner. Kontaktieren Sie uns für ein unverbindliches Erstgespräch.
⚡ Key Takeaways
- Das Syteca Compliance Mapping ist konsequent entlang der zwei Audit-Kernfragen strukturiert: «Wie greift der User zu?» und «Was macht der User im System?». Alles, was nicht diesen Kern berührt, ist bewusst ausgeklammert.
- Zentrale Volltreffer: ISO 27001:2022 A.8.2, A.8.15, A.8.16, A.8.18, A.8.17 · DORA RTS Art. 12, 22, 23 · Art. 4 DSV (inkl. Erweiterung 1.12.2025) · FINMA Rz 51, 65, 77, 79 · BSI OPS.1.1.2.A5/A18 · BSI DER.1.A15/A17.
- TOTP-2FA deckt die gängigen DACH-Rahmenwerke (BSI, ISO, DSV) vollumfänglich ab. Für DORA-CIF empfiehlt sich ein FIDO2-IdP vorgelagert.
- HA/DR und Master Panel sind in On-Prem- und Self-Managed-Deployments verfügbar, nicht im SaaS-Modus – für resiliente und mandantenfähige Setups ist das bei der Deployment-Wahl zu berücksichtigen.
- Für Schweizer Unternehmen gelten NIS-2 und DORA vorwiegend indirekt über Vertragskaskaden. Direkte Pflichten bestehen nur in klar abgegrenzten Konstellationen (Art. 26(3) NIS-2 für CH-MSPs mit EU-Geschäft; CTPP-Designation nach Art. 31 DORA).
- Syteca ist ISO/IEC 27001:2017 zertifiziert (seit 2020, rezertifiziert Juli 2025), ISO 9001, UK Cyber Essentials, NIST SP 1800-18 Collaborator – eine solide Grundlage für DORA-Artikel-28-Due-Diligence.
