Interview zu DORA und modellbasierten SIEM Use Cases Wie DORA die Cyberabwehr von Finanzunternehmen revolutioniert

Wie stärkt die DORA-Richtlinie die Cybersicherheit? Was leisten modellbasierte SIEM Use Cases? Und warum ist TLPT unverzichtbar? Erfahren Sie hier, wie Unternehmen sich auf die Anforderungen für 2025 vorbereiten können, welche Technologien dabei entscheidend sind und wie ein effektives Resilienzprogramm aussehen kann.

Die DORA-Richtlinie stellt die Finanzbranche vor weitreichende Neuerungen in der Cybersicherheit. Sie definiert einheitliche Standards, um digitale Resilienz zu stärken und Finanzunternehmen besser gegen Angriffe zu schützen. Christian Nern, Julian Krautwald und Patrick Frech von KPMG beleuchten im Interview, wie Unternehmen mit modellbasierten SIEM Use Cases, TLPT und weiteren Maßnahmen die Anforderungen innerhalb von 2025 priorisiert operationalisieren können, um die digitale Zukunft zu meistern.

Security-Insider: Welche Kernziele verfolgt die DORA-Richtlinie und warum ist sie für die Cyber-Sicherheit von Finanzunternehmen so entscheidend?

Christian Nern: Die Kernziele der DORA bestehen darin, einheitliche Standards für die Verwaltung des IKT-Risikos zu schaffen und eine einheitliche Grundlage für die Überprüfung der Cyberresilienz von Finanzunternehmen bereitzustellen. DORA betont die Bedeutung der Dokumentation und periodischen Überprüfung des IKT-Risikomanagement-Rahmens, um kontinuierliche Verbesserungen zu gewährleisten.

DORA ist von entscheidender Bedeutung für die Cyberresilienz von Finanzunternehmen, da es unter anderem sicherstellt, dass sie über robuste Mechanismen zur Erkennung, Bewältigung und Erholung von IKT-Vorfällen verfügen. Es schafft somit eine gesetzliche Verpflichtung, die die Sicherheit und Widerstandsfähigkeit der Finanzunternehmen gegen digitale Bedrohungen erheblich stärkt.

Security-Insider: Wie verändert DORA die bisherigen Anforderungen an die Erkennung und Abwehr von Cyberangriffen in Finanzunternehmen?

Christian Nern: Bisher waren die Anforderungen zur Erkennung und Abwehr, beispielsweise im Kapitel 5 „Operative Informationssicherheit“ der BAIT/VAIT, eher generischer Natur. DORA spezifiziert nun jedoch konkretere Vorgaben, insbesondere hinsichtlich der Protokollierung von Ereignissen und der zu implementierenden Erkennungsmechanismen. So müssen Finanzunternehmen ab dem 17. Januar 2025 unter anderem in der Lage sein, abnormales Verhalten wie zum Beispiel Datenverluste oder aber auffällige Transaktionen zu erkennen.

Security-Insider: Was sind die Hauptmerkmale von modellbasierten SIEM Use Cases und wie funktionieren sie?

Julian Krautwald: Modellbasierte SIEM Use Cases machen sich Künstliche Intelligenz und Maschinelles Lernen zu Nutze, um zu verstehen, was normales Nutzer- & System-Verhalten ist, um so sehr viel präziser Anomalien im Netzwerk zu erkennen, als dies faktenbasierte Use Cases leisten können.

Security-Insider: In welchen Punkten übertreffen modellbasierte SIEM Use Cases traditionelle SIEM-Ansätze in der Praxis?

Julian Krautwald: Durch die Fähigkeit normale Verhalten (siehe Antwort auf Frage 3) zu erlernen, steigern modellbasierte SIEM Use Cases nicht nur die Erkennungsrate, sondern bringen auch einen Effizienzgewinn in der Erstellung der Use Cases selbst. War es mit faktenbasierten Use Cases oftmals notwendig, große (und aufwändig zu pflegende) Kontexttabellen zu erstellen, fällt dieser äußerst zeitintensive Prozess mit den neuen Use Cases i.d.R. weg.

Security-Insider: Inwieweit helfen modellbasierte SIEM Use Cases die Anforderungen der DORA hinsichtlich der frühzeitigen Erkennung und Abwehr von Angriffen umzusetzen?

Julian Krautwald: Gerade die laut DORA einzusetzenden Maßnahmen zur Anomalienerkennung (z.B. von auffälligen Transaktionen) lassen sich durch modellbasierte SIEM Use Cases effizient realisieren.

Security-Insider: Wie sieht ein konkretes Beispiel aus, bei dem ein modellbasierter SIEM Use Case erfolgreich zur Erkennung eines Angriffs beitragen kann?

Julian Krautwald: Loggt sich ein Mitarbeitender in das Netzwerk des Unternehmens ein, erkennt ein traditionelles SIEM-System, das auf faktenbasierte Use Cases zugreift, nur den Akt des Logins selbst. Modellbasierte Use Cases wenden hingegen einen Algorithmus an, der ein auf den User zugeschnittenes Login-Verhalten auf Basis erhobener Daten definiert. Die Wahrscheinlichkeit, dass das System eine Anomalie richtigerweise erkennt, ist damit um ein Vielfaches höher.

Security-Insider: Wie sollte ein umfassendes „Programm für das Testen der digitalen operationalen Resilienz“ in Finanzunternehmen aussehen, das den Anforderungen der DORA-Richtlinie gerecht wird?

Patrick Frech: Ein umfassendes Programm zur digitalen operativen Resilienz sollte kritische und wichtige Funktionen sowie Systeme in eigenen Unternehmen sowie auch bei Drittanbietern durch regelmäßige Testmethoden überprüfen. Diese sollten in angemessenen Zeiträumen (z.B. mindestens wöchentliche Schwachstellenscans), nach Risikobetrachtung und better practices ausgewählt werden. In Verbindung mit klaren Rollen und Verantwortlichkeiten und unter Aspekten der kontinuierlichen Verbesserung, sollte dieses Programm regelmäßig neu validiert und ggf. der dynamischen Bedrohungslage angepasst werden.

Security-Insider: Welche spezifischen Herausforderungen ergeben sich hinsichtlich der Testmethodenabdeckung, den eingesetzten Prozessen sowie den Verantwortlichkeiten und der Expertise bei der Operationalisierung des Testprogramms und wie können Unternehmen diese bewältigen?

Patrick Frech: Spezifische Herausforderungen bei der Operationalisierung eines Testprogramms wie TLPT ergeben sich insbesondere bei der Abdeckung der Testmethoden, den eingesetzten Prozessen und den erforderlichen Verantwortlichkeiten sowie der Expertise. Dazu zählen mögliche Lücken in der Testabdeckung durch fehlende Szenarien, mangelnde Klarheit über Verantwortlichkeiten bei komplexen Angriffssimulationen und die Notwendigkeit, spezialisiertes Fachwissen kontinuierlich verfügbar zu halten. Vor allem TLPT stellt hier eine komplexe Testmethode dar, welche durch externe Dienstleister umgesetzt werden muss. Unternehmen, die bereits wissen, dass sie TLPT pflichtig werden, sollten sich rechtzeitig Ressourcen sichern, um in der nahenden Umsetzung handlungsfähig zu sein.

Security-Insider: Inwieweit „komplettiert“ das Threat Lead Penetration Testing (TLPT) das Testprogramm und wie ist es vom „klassischen“ Penetration Testing abzugrenzen?

Patrick Frech: TLPT ergänzt das Testprogramm, indem es hochentwickelte, realistische Bedrohungsszenarien simuliert, die spezifisch auf das Unternehmen zugeschnitten sind. Im Gegensatz zum klassischen Penetration Testing, das Schwachstellen anhand standardisierter Tests identifiziert, ist TLPT szenarienbasiert und bewertet die praktische Resilienz gegenüber realen Angriffen. Diese Angriffe können digitaler, physischer oder beider Natur sein und auch die digitale Lieferkette des Unternehmens betrachten.

Security-Insider: Welche Empfehlungen würden Sie Finanzunternehmen geben, die gerade erst anfangen, sich mit den Anforderungen der DORA-Richtlinie auseinanderzusetzen?

Patrick Frech: Nicht in blinden Aktionismus zu verfallen, auch wenn eine DORA-Compliance bis zum 17. Januar 2025 gewährleistet sein muss. Für Finanzunternehmen, die gerade erst damit beginnen, die Anforderungen der DORA-Richtlinie zu verstehen, empfehle ich, zunächst eine umfassende Bestandsaufnahme aller kritischen IT-Systeme und Dienstleistungen vorzunehmen. Darauf aufbauend sollten sie ein Resilienzprogramm mit klaren Verantwortlichkeiten und regelmäßigen Tests (z. B. Schwachstellenscans, Penetrationstests) entwickeln. Wichtig ist zudem, ein Risikomanagement aufzubauen, das die dynamische Bedrohungslage berücksichtigt, und Best Practices sowie etablierte Frameworks (wie NIST oder ISO) einzubeziehen.

(ID:50277467)