Banken und Versicherungen sind direkt von DORA (Digital Operational Resilience Act) betroffen. Um Digitale Resilienz sicherzustellen, müssen Unternehmen bei kritischen Vorfällen schnell und gut strukturiert reagieren.
Wie SIEM (Security Information and Event Management) und SOC (Security Operations Center) Unternehmen dabei helfen, die DORA-Anforderungen zu erfüllen, darauf legt Yassmine El Khaoudi den Fokus.
Ein paar Worte zu DORA (Digital Operational Resilience Act)
Die DORA-Verordnung setzt Standards für die Cybersicherheit und operative Resilienz von Versicherungs- und Finanzdienstunternehmen in der EU. Sie fordert:
- Unternehmen müssen Cyberrisiken effektiv managen.
- Unternehmen müssen dafür sorgen, dass ihre Systeme auch bei Vorfällen stabil bleiben.
DORA zielt darauf ab, die Vorgaben in der gesamten EU einheitlich zu überwachen und durchzusetzen. Das Gesetzespaket möchte die Zusammenarbeit bei der Bewältigung von Cyberrisiken sowie das Vertrauen in die digitale Infrastruktur stärken.
Was SIEM und SOC leisten
Diese umfassenden Anforderungen an Überwachung, Reaktion und Resilienz schaffen die Grundlage für den Einsatz von Lösungen wie SIEM und SOC Security Operations Center. Diese spielen im Rahmen von Kapitel II zum IKT-Risikomanagement eine zentrale Rolle. Artikel 10 schreibt das Erkennen von Vorfällen in Echtzeit durch Monitoring- und Analysetools vor.
Hier sind Organisationseinheiten wie das Security Operations Center besonders wichtig, da sie die kontinuierliche Überwachung und Analyse von Sicherheitsvorfällen sicherstellen. Die Artikel 11 und 12 betonen, dass es notwendig ist, schnell auf Vorfälle zu reagieren und Systeme und Daten effizient wiederherzustellen – und zwar durch regelmäßige Backups und Wiederherstellungspläne.
Wie ergänzen die Regulator Technical Standards (RTS) die DORA-Verordnung?
RTS definieren konkrete technische Mindestanforderungen für das IKT-Risikomanagement.
Sie geben vor, wie Sicherheitsvorfälle zu überwachen, zu protokollieren und zu behandeln sind. So schaffen sie eine Basis für operative Resilienz.
SIEM-Systeme unterstützen die Umsetzung der RTS. Während SIEM-Systeme Ereignisdaten korrelieren und Warnungen generieren, analysieren SOC-Teams diese Daten und ergreifen geeignete Maßnahmen.
SIEM (Security Incident Event Management)
Das SIEM ist eine Sicherheitslösung. Durch diese können Unternehmen potenzielle Sicherheitsbedrohungen sowie Schwachstellen erkennen und beseitigen. SIEM-Systeme gelten als zentrale Sicherheitsplattformen, die Daten aus verschiedenen Quellen (z.B. Syslog, Windows Event Logs) zusammenführen und analysieren.
Sie bieten Echtzeitüberwachung, Ereigniskorrelation und -analyse − so ist es möglich, komplexe Angriffsmuster, Anomalien und dolose Handlungen (also Sicherheitsbedrohungen, die durch absichtliches oder fahrlässiges Fehlverhalten von Menschen entstehen) schnell zu erkennen und abzuwehren.
Ein Alerting (Benachrichtigungen) informiert SIEM-Lösungen bei verdächtigen Aktivitäten und veranlasst eine tiefergehende Untersuchung.
Darüber hinaus unterstützen sie via Compliance- und Audit-Reports Unternehmen dabei, gesetzliche Anforderungen wie DORA einzuhalten.
Ein SIEM-System kann nur effektiv bleiben, wenn es kontinuierlich weiterentwickelt wird. Dazu zählt etwa, False Positives (irreführende Testergebnisse) effizient auszusortieren und neue Bedrohungen in Form von aktualisierten Regeln und Korrelationen zu integrieren.
Ein umfassendes Ökosystem bietet beispielsweise Microsoft mit seinen Defender-Tools/-Lösungen wie MDE (Microsoft Defender for Endpoint) und Sentinel.
Diese praktischen Tools ergänzen SIEM-Systeme, indem sie integrierte Funktionen zur Bedrohungserkennung und -abwehr bereitstellen. Die Tools sind wichtige Bausteine, um Digitale Resilienz zu ermöglichen.
SOC-Teams überwachen Sicherheitsvorfälle
Sie erkennen Bedrohungen und behandeln Vorfälle – und zwar 24/7.
Aber was macht ein SOC-Team genau?
Qualifizierte Security-Analyst*innen untersuchen und bearbeiten die eingehenden Alarmmeldungen. Fehlalarme lassen sich identifizieren und tatsächliche Bedrohungen schnell isolieren.
Das SOC ist dafür verantwortlich, Sicherheitsvorfälle rasch einzudämmen und zu beseitigen. Es gilt, Schäden so gering wie möglich zu halten. Dank Bedrohungsintelligenz (Threat Intelligence) kann das SOC aktuelle Bedrohungsdaten analysieren und gezielte Schutzmaßnahmen ergreifen.
Zudem sorgt das Team dafür, Compliance-Anforderungen im Bereich Security Operations umzusetzen − das SOC zahlt also darauf ein, Regulierungen einzuhalten und Datenschutzbestimmungen zu unterstützen. Es ist essenziell, die Sicherheitsstrategie ständig zu optimieren – denn so ist das SOC für neue Bedrohungen gewappnet.
Im „Three-Lines-of-Defense“-Modell, also in einem mehrstufigen Sicherheitsmodell, übernimmt das SOC die First Line of Defense, indem es Sicherheitsvorfälle überwacht, Bedrohungen erkennt und operative Maßnahmen umsetzt. Die Second Line wird vom CISO gebildet, der Compliance-Vorgaben definiert und deren Umsetzung prüft. Die Third Line übernimmt die Revision.
Die Arbeit im SOC ist in drei Schichten unterteilt:
L1-Analyst*innen bewerten Alarmmeldungen und sortieren Fehlalarme aus.
L2- Analyst*innen führen tiefere Ursachenanalysen durch und leiten Gegenmaßnahmen ein.
L3- Analyst*innen begeben sich auf Bedrohungsjagd (“Threat Hunting”). Sie untersuchen komplexe Vorfälle.
Vom Risiko zur Sicherheitsregel: Wie SIEM die Sicherheit steuert
Unternehmen beginnen damit, Risiken (wie dolosen Handlungen) zu identifizieren und zu bewerten. Sie ermitteln passende Szenarien (Use Cases), die untersucht werden sollen.
Hilfsmittel wie das Mitre ATT&CK Framework (öffentlich verfügbare Wissensdatenbank über Cyberangriffe) dienen als Referenz für mögliche Bedrohungsszenarien. Um mit der Umsetzung zu beginnen, werden relevante Logdaten der Quellsysteme identifiziert, auf ein einheitliches Format gebracht und in das SIEM-System integriert.
Die Fähigkeit, Sicherheitsereignisse zu normalisieren und in Data Lakes (strukturierte und unstrukturierte Datenmengen) einzugliedern, schafft die Voraussetzung dafür, tiefergehende Analysen durchzuführen und Bedrohungen zu erkennen – Bedrohungen, die klassische Firewalls und IDS/IPS (Intrusion Detection/Prevention Systems) nicht erkennen. Neuere Technologien wie Microsoft Defender EDR übernehmen bereits regelbasierte Analysen am Endpoint, bevor die Daten weiterverarbeitet werden.
Das SIEM-System bildet die definierten Use Cases durch spezifische Regeln ab, die potenzielle Bedrohungsszenarien erkennen sollen.
Gute Beispiele für mögliche Bedrohungen sind ungewöhnliche Login-Versuche aus anderen Staaten oder verdächtige Datenübertragungen.
Die Regeln generieren Events, die in der SIEM oder einer SOAR-Lösung (Security Orchestration, Automation, and Response) verdichtet und analysiert werden. Technologien wie SOAR unterstützen automatisierte Playbooks, um Sicherheitsvorfälle zu behandeln. Diese Playbooks nutzen Threat Intelligence-Feeds, wie MITRE-ATT&CK-Taktiken, um bekannte Angriffstechniken zu erkennen und entsprechend zu reagieren.
Kombinierte Event-Muster lösen Alarmmeldungen aus. Das SOC-Team prüft diese, um False Positives auszuschließen und tatsächliche Sicherheitsvorfälle zu erkennen. Abschließend sorgt das Team dafür, die Vorfälle zu bekämpfen und zu beheben – so werden Risiken minimiert.
SIEM im Einsatz: Datenabfluss oder nicht?
Szenario 1: Einen Fehlalarm ausschließen
Maria* erstellt als Analystin regelmäßig Berichte. An einem Freitagnachmittag kopiert sie große Datenmengen aus der Kundendatenbank auf ihren verschlüsselten Firmen-USB-Stick. Sie will diese Berichte während einer geplanten Geschäftsreise fertigstellen. Das SIEM-System erkennt ungewöhnliche Datenübertragungsaktivitäten und schlägt Alarm, da es die Datenmenge und die Nutzung eines USB-Geräts Datendiebstahl einstuft.
Jetzt fängt die Prüfung an. Es stellt sich heraus, dass die Datenübertragung berechtigt war und den Sicherheitsrichtlinien entsprach.
Das Sicherheitsteam hebt die Einschränkungen auf und Maria* kann ihre Arbeit fortsetzen.
*fiktive Person
Szenario 2: Kein Fehlalarm – einen versuchten Datendiebstahl erkennen
Maria* beschließt, sensible Kundendaten zu kopieren, um diese an einen Mitbewerber weiterzugeben. Sie versucht, immense Datenmengen auf einen privaten USB-Stick zu übertragen. Das SIEM-System registriert die ungewöhnliche Aktivität und löst sofort eine Alarmkette aus. Darauf reagiert das Sicherheitsteam umgehend, sperrt den Zugriff auf die betroffenen Systeme und deaktiviert den USB-Port an Marias PC.
Diesmal handelt es sich tatsächlich um einen versuchten Datendiebstahl, das hat die Untersuchung gezeigt. Die rechtlichen Schritte gegen Maria* werden eingeleitet, die sensiblen Daten bleiben geschützt.
*fiktive Person
DORA-Kapitel II – IKT-Risikomanagement und die Rolle von SIEM/SOC
Artikel 8 – Identifizierung
Artikel 8 der DORA fordert von Unternehmen kritische IKT-Ressourcen, mögliche Cyberbedrohungen und IKT-Schwachstellen gründlich zu identifizieren. Dies bildet eine umfassende Risiko-Management-Grundlage, die für gezielte Sicherheitsmaßnahmen notwendig ist.
Diese Risikoidentifikation gemäß Artikel 8 findet in modernen SIEM-Systemen statt.
Aber wie? SIEM-Systeme sammeln Daten – und das fortlaufend. Diese Daten (z. B. Log-Daten, Login-Aktivitäten und Netzwerk-Traffic) werden mit Schwellenwerten oder bekannten Angriffsmustern verglichen.
SOC-Teams verwenden die Informationen, um kritische Systeme zu überwachen und spezifische Bedrohungen gezielt zu erkennen.
Die clevere Kombination aus SIEM und SOC ermöglicht eine kontinuierliche Risikoanalyse und ein solides Cyber-Schutzkonzept für das Unternehmen.
Integrierte Threat Intelligence-Feeds stellen hier Echtzeit-Informationen zu neuen Schwachstellen und Angriffstechniken bereit. Diese Feeds ermöglichen es, Risiken kontextbezogen zu bewerten. Sie priorisieren Bedrohungen nach dem Gefahrengrad, die eine Bedrohung darstellt.
Artikel 9 – Schutz und Prävention
Unternehmen müssen gemäß Artikel 9 präventive Maßnahmen implementieren, um ihre kritischen IKT-Ressourcen in einem angemessenen Rahmen zu schützen. Dazu zählen Sicherheitsrichtlinien und -standards sowie Technologien, die möglichen Angriffen vorbeugen.
Dazu greifen Unternehmen auf Technologien wie Intrusion Detection/Prevention Systems (IDS/IPS) und Zero-Trust-Architekturen zurück.
SIEM trägt zur Prävention bei, indem es Sicherheitsereignisse in Echtzeit untersucht, diese korreliert und bei potenziellen Bedrohungen Alarme auslöst.
Zwar können SIEM-Systeme Schwachstellen erkennen − in erster Linie liefern sie jedoch Events, die als Grundlage für weiterführende Analysen dienen.
SOC-Teams setzen diese Daten ein, um präventive Schutzmaßnahmen zu entwickeln und durchzuführen. Dazu zählen Fähigkeiten wie Bedrohungsintelligenz und aktive Überwachung.
Durch die Kombination von SIEM-Analyse und SOC-Strategien gelingt es, Bedrohungen frühzeitig zu erkennen und präventiv einzugreifen. So sind Angriffe deutlich seltener erfolgreich.
Artikel 10 – Bedrohungen erkennen
Unternehmen müssen über Mechanismen verfügen, mit denen sie Sicherheitsvorfälle und Bedrohungen schnell und zuverlässig ermitteln und rechtzeitig darauf reagieren. Dafür müssen sie ausreichend Ressourcen und Kapazitäten bereitstellen.
SIEM-Systeme sind unverzichtbar, wenn es darum geht, Bedrohungen zu erkennen.
Denn: Sie untersuchen sicherheitsrelevante Ereignisse, identifizieren verdächtige Muster und erstellen sofortige Warnmeldungen.
SOC-Teams überwachen diese Alarmmeldungen rund um die Uhr, bewerten deren Kritikalität und priorisieren die Reaktionen auf Vorfälle. So können Maßnahmen greifen, bevor die Bedrohungen tatsächlich Schäden verursachen.
Artikel 11 – Reaktion und Wiederherstellung
In Artikel 11 geht es darum, wie auf Sicherheitsvorfälle zu reagieren ist und wie betroffene Systeme wiederhergestellt werden können. Diese IKT-Geschäftsfortführungsleitlinien stehen für eine klare Strategie, um Sicherheitsvorfälle zu bewältigen (Incident Response). So müssen Unternehmen einen Notfallwiederherstellungsplan besitzen, um nach einem Vorfall wieder zügig betriebsfähig zu werden. Die Voraussetzung dafür:
SIEM und SOC müssen effizient zusammenarbeiten.
Artikel 12 – Richtlinie und Verfahren zum Backup – wie Wiedergewinnung und Wiederherstellung funktionieren können
Artikel 12 fordert Unternehmen dazu auf, robuste Back-up- und Wiederherstellungspläne zu etablieren. Backups sind dazu da, kritische Daten im Ernstfall wiederherstellen zu können – ohne die Schutzziele von Informationen (Verfügbarkeit, Integrität, Vertraulichkeit) zu gefährden.
Es darf keine Möglichkeit bestehen, IKT-Systeme zu manipulieren. Unbefugte dürfen keinen Zugriff darauf erhalten. Dabei können z.B. logisch und räumlich getrennte Systeme und wirksame Zugriffskontrollen helfen.
Das SIEM überwacht die Backup-Integrität und kann verdächtige Aktivitäten in den Backup-Prozessen erkennen, die auf Manipulationen oder andere Risiken hindeuten.
SOC-Teams überprüfen und testen regelmäßig die Wiederherstellungsprozesse. Sie sorgen dafür, dass Backups im Ernstfall schnell und sicher greifen.
Hier sind auch spezialisierte CSIRT-Teams (Computer Security Incident Response Teams) und DFIR-Dienstleister (Digital Forensics and Incident Response) entscheidend. Diese Teams unterstützen bei der forensischen Analyse. Darüber hinaus übernehmen sie die Verantwortung dafür, dass die Wiederherstellung effektiv und umfassend durchgeführt wird, vor allem bei länger andauernden Vorfällen.
Der Prozess beginnt mit der Analyse von Sicherheitsvorfällen durch CSIRT-Teams, die Eindämmungs- und Wiederherstellungsmaßnahmen koordinieren.
DFIR-Dienstleister ergänzen diesen Ansatz durch forensische Untersuchungen. Hier werten sie Daten wie Log-Dateien und Netzwerkanalysen aus, um die Ursachen des Vorfalls zu ermitteln und Beweise zu sichern. Es kommen dabei spezialisierte Tools zum Einsatz, wie Disk-Imaging-Software, und Frameworks, um Incidents zu verwalten. Auch Threat-Hunting-Werkzeuge sind beliebt, um gezielte Angriffe zu erkennen.
Das geschickte Zusammenspiel von SIEM, SOC, CSIRT und DFIR sorgt dafür, dass Backup- und Wiederherstellungsprozesse manipulationssicher und jederzeit einsatzbereit sind.
SIEM und SOC bilden das Herzstück jeder guten Cyber-Abwehr
Die Digitale Resilienz von Unternehmen im Finanzsektor ist enorm wichtig.
Sind SIEM und SOC eng verzahnt und werden RTS-Vorgaben konsequent angewendet, können Unternehmen im Finanzsektor ihre Digitale Resilienz stärken − und ebenso die Anforderungen der DORA rechtskonform umsetzen.