Mehr Cybersicherheit für den Finanzsektor – das fordert der Digital Operational Resilience Act der EU. Eine Schlüsseltechnologie für die Compliance bietet die Netzwerk-Überwachung. Deep Observability schließt die Security-Lücken bei verschlüsselten Daten.
DORA Compliance mit Network Detection and Response: Resilienz ist mehr als nur wünschenswert. Der Digital Operational Resilience Act (DORA) ist eine EU-Verordnung, die den europäischen Finanzmarkt gegenüber Risiken in der Informations- und Kommunikationstechnologie stärken soll. Obwohl das Gesetz längst gilt, arbeiten Finanzinstitute noch immer daran, die Anforderungen konsequent in ihre täglichen Abläufe zu integrieren.
DORA definiert sechs Resilienzbereiche: Risikomanagement; Erkennung, Kategorisierung und Reporting von Vorfällen; Testen der betrieblichen Resilienz; Management des IT-Drittanbieterrisikos; Überwachung kritischer Drittdienstleister; Informationsaustausch sowie Notfallübungen. Aktuelle Umfragen von Security-Spezialisten deuten darauf hin, dass viele deutsche Banken und Finanzdienstleister die erforderlichen Maßnahmen hinsichtlich der Klassifizierung von sicherheitsrelevanten Vorfällen sowie der detaillierten Berichterstattung bislang nicht umgesetzt haben. Network Detection and Response leistet bei der Compliance eine wichtige Hilfe.
Monitoring deckt Anomalien und Risiken auf
Network Detection and Response repräsentiert die wachsamen Augen und Ohren eines Netzwerks. Die Lösungen kommunizieren mit zahlreichen Sensoren, die überall aktiv sind, wo Daten in und aus dem Netzwerk fließen. So wird der gesamte Datenfluss kontinuierlich überwacht. Zur Analyse der Sensordaten nutzen die Lösungen Künstliche Intelligenz und Machine Learning. So entsteht ein detailliertes Bild des üblichen Netzwerkverhaltens. Sobald das Monitoring anomale Aktivitäten erkennt, erhält das Team eine Nachricht und erste automatisierte Abwehrmaßnahmen starten.
Insgesamt eignet sich Network Detection and Response dazu, um Unternehmen in ihrer DORA-Strategie zu unterstützen. Vier Bereiche decken diese Lösungen ab:
1. IT-Risiken managen
In Art. 5-15 verlangt DORA eine laufende Risikoanalyse, den Einsatz technischer Schutzmaßnahmen sowie kontinuierliches Monitoring. Monitoring-Lösungen unterstützen dies durch umfassende Netzwerksichtbarkeit. Ergänzend liefern sie historische Daten und Threat Intelligence Feeds, die fundierte Risikoanalysen ermöglichen.
2. Vorfälle erkennen und klassifizieren
In Art. 17-23 schreibt DORA ein schnelles Erkennen, Klassifizieren und Melden von IT-Vorfällen vor. Monitoring-Tools analysieren laufend den Netzwerkverkehr und erkennen mithilfe von Machine Learning verdächtige Abweichungen sowie unerlaubte Zugriffsversuche. Forensische Funktionen ermöglichen eine Ursachenanalyse. Das detaillierte Protokollieren und standardisierte Berichte unterstützen Unternehmen beim gesetzeskonformen Incident Management.
3. Drittanbieter-Risiken überwachen
Zur Erfüllung der DORA-Vorgaben müssen auch externe IT-Dienstleister überwacht werden. Network Detection and Response schafft hier Transparenz durch die Analyse der Netzwerkdaten aus Cloud- und Remote-Diensten. So fallen Datenabflüsse und ungewöhnliche Verbindungen sofort auf.
4. Informationen austauschen
In Art. 40 fordert DORA von Finanzinstituten, dass sie sich untereinander über Bedrohungen und Schwachstellen austauschen. Die Lösungen zum Netzwerk-Monitoring integrieren sich in Threat-Intelligence-Plattformen und erleichtern so den standardisierten Austausch und identifizieren Hinweise auf eine Kompromittierung. Dies stärkt die gemeinsame Abwehrfähigkeit gegenüber Cyberbedrohungen.
Deep Observability prüft verschlüsselte Daten
Da die aktuellen Lösungen für Network Detection and Response verdächtige Aktivitäten und Bedrohungen schneller erkennen als herkömmliche Tools, erweisen sie sich in Sachen DORA-Compliance als Schlüsseltechnologie. Es bleiben allerdings Limitierungen: Sobald die überwachenden Sensoren neu konfiguriert werden – zum Beispiel, wenn sich die Netzwerkinfrastruktur verändert oder wächst, entstehen Lücken bei der Transparenz. Zudem bewegen sich im Netzwerk unzählige, größtenteils verschlüsselte Daten aus verschiedenen Richtungen. Monitoring-Lösungen können verschlüsselte Daten kaum überprüfen. Das birgt ein Risiko: Laut einer Marktstudie des Security-Spezialisten Gigamon verbergen sich 86 Prozent der Cyberbedrohungen in verschlüsselten Daten.
Damit Network Detection and Response für vollständige Sichtbarkeit bis hinunter auf Netzwerkebene sorgen kann, ist eine weitere Komponente nötig, die sich Deep Observability nennt. Lösungen, die nach dieser Methode arbeiten entschlüsseln die Daten, extrahieren daraus umfassende Informationen und leiten sie an das Netzwerk-Monitoring weiter. Nur im Verbund entfalten die Sicherheitslösungen das Sicherheitspotenzial, das sie versprechen. jf
Der Autor
Ali Moniri ist Technical Lead EMEA bei Gigamon, einem Anbieter von Deep-Observability-Lösungen.
