Nach einem zweijährigen Umsetzungszeitraum sind die Finanzunternehmen der EU zur Umsetzung der DORA (Digital Operational and Resilience Act) zum Stichtag 17.01.2025 verpflichtet.
Im Zentrum der DORA steht die Identifizierung und das Risikomanagement der Informations-Assets, welche kritische oder wichtige Geschäftsfunktionen unterstützen.
Dazu beleuchtet der begleitende RTS (Regulatory Technical Standard) zum IKT-Risikomanagement verschiedene Aspekte der IT-Sicherheit in der gesamten IT-Infrastruktur. Es wird dabei auf starke Kryptografie, Netzwerksicherheit und moderne und umfassende Authentifizierung- und Authorisierungssysteme gesetzt.
Aber auch die Überwachung und Protokollierung steht dabei im Fokus. Der Einsatz von modernen EDR, NDR, SIEM und SOAR-Systemen zur Überwachung der zentralen Infrastruktur Komponenten, hat sich bei bereits in der Vergangenheit stark regulierten Finanzunternehmen, heute weitreichend etabliert. Mit Inkrafttreten der DORA, rückt nun eine ganzheitliche und risikoorientierte Betrachtung der Enterprise IT-Landschaften in den Fokus.
Somit rücken neben den zentralen Infrastrukturkomponenten, auch mehr und mehr Eigen- als auch Fremdentwicklungen (Third-Party-Tools) – welche kritische Geschäftsfunktionen erfüllen – in den Fokus der Sicherheitsüberwachung.
Die Überwachung dieser Eigenentwicklungen, oder auch Third-Party Applications, ist jedoch deutlich weniger standardisiert und auf Grund der natürlich größeren Heterogenität eine große Herausforderung. Dennoch können SIEM-Systeme hier als der zentrale Lösungsbaustein dienen.
Die Normalisierung von Logdaten auf ein Datenschemata spielt dabei eine bedeutende Rolle. Die Normalisierung und das Mapping auf diesen Schemata von in Logevents enthaltenen Informationen kann dabei meist direkt im Preprozessing eines SIEM-Systems durchgeführt werden.
Bei Unternehmen, die eine hohe Anzahl von Eigenentwicklungen haben, empfiehlt sich zudem die zentrale Entwicklung einer Logging-library, welche bereits beim Auftreten von Ereignissen sicherheitsrelevante Events entsprechend klassifiziert und die notwendigen Datenfelder in ein strukturiertes Format überführt. Dies bietet die Möglichkeit eines standardisierten Log-Formates, für die sicherheitsrelevanten Log-Informationen gleichartiger Applikationen im Unternehmen.
Im SIEM können dann anwendungsübergreifend Regelwerke zur szenarienbasierten Auswertung der Logdaten implementiert werden. Die Auswahl dieser SIEM Use Cases sollte sowohl auf der unternehmenspezifischen Bedrohungslage basieren, als auch auf den regulatorischen Anforderungen.
Auch die DORA definiert bereits einige sicherheitsrelevante Eventkategorien. Die meisten SIEM-Systeme bieten außerdem statistische oder Machine Learning gestützte Anomalie-Erkennungsverfahren zur Auswertung der mannigfaltigen Protokolldaten.
Mit einem solchem Ansatz lassen sich somit einige der zentralen Herausforderungen der DORA skalierbar angehen.
Hierbei bleibt es jedoch essenziell Prozesse zu etablieren, welche eine kontinuierliche Verbesserung von statischen und Anomalie-basierten Detektionsverfahren im Rahmen eines Use Case Lifecycle-Managements sicherstellen.
SECUINFRA unterstützt betroffene Unternehmen mit erfahrenen Cyber Defense Consultants bei der Konzeptionierung und Umsetzung von Maßnahmen zur Erfüllung der durch die DORA geforderten technischen Anforderungen im Bereich SOC und SIEM. Zudem bietet SECUINFRA verschiedene an die Kundenbedürfnisse angepasste Service Dienstleistungen im Bereich von 24/7 Managed- und Co-Managed SOC Betrieb.
