Nach einem zweijährigen Umsetzungszeitraum sind die Finanzunternehmen der EU zur Umsetzung der DORA (Digital Operational and Resilience Act) zum Stichtag 17.01.2025 verpflichtet.
Die DORA fokusiert sich auf das Risikomanagement der als kritisch oder wichtig klassifizierten Geschäftsprozesse. Dazu gehört die Identifikation und Überwachung der daran beteiligten Assets. Zur Sicherstellung der lückenlosen Überwachung setzen Finanzinstitute in der Regel auf Detektions- und Reaktionstools, wie beispielsweise SIEM und EDR Systeme. Die Bearbeitung der durch diese Systeme generierten Alarmmeldungen findet in der Regel durch das Analysten Team im Security Operations Center (SOC) statt. Um die in der DORA geforderten Sicherstellung der Alarmbearbeitung inner und außerhalb der Arbeitszeiten gewährleisten zu können, greifen die Unternehmen häufig auf spezialisierte externe Dienstleister zurück. Auf Grund der personellen Aufstellung der SOCs der Finanzunternehmen, wird die Erstanalyse der Alarme häufig vollständig an einen MDR- oder Co-Manged SOC Dienstleister ausgelagert, es ist aber auch ein Auslagerungsmodell zur Abdeckung der Randzeiten möglich.
Sollten ein Alarm auf Grundlage der geforderten sezenarienbasierten Überwachung und der Anomaly Erkennung in den Protokolldaten sich als schwerwiegender Vorfall bestätigen, müssen diese innerhalb von 4h nach Klassifizierung, spätestens aber nach 24 Stunden den Aufsichtsbehörden gemeldet werden.
Um diese Meldung zu ermöglichen fordert die DORA im Artikel die Alarmmeldungen zu priorisieren. SECUINFRA empfiehlt hierbei auf den Risk-based Alerting Ansatz zurückzugreifen. In einem solchen Ansatz können unter anderem die Schwere des Detektionsszenario, z.B. Fortschritt in der Killchain, die Kritikalität der Beteiligten Informationsassets, Systme und der Nutzerklassen, sowie die False Positive Quote berücksichtigt werden. Durch die resultierende Alarmpriosierung wird den Analysten die Fokussierung auf die im Unternehmenskontext besonders kritischen Alarmmeldung ermöglicht und kann daher ein wesentlicher Baustein zur Einhaltung der geforderten Meldepflichten sein.
SECUINFRA unterstützt betroffene Unternehmen mit erfahrenen Cyber Defense Consultants bei der Konzeptionierung und Umsetzung von Maßnahmen zur Erfüllung der durch die DORA geforderten technischen Anforderungen im Bereich SOC und SIEM. Zudem bietet SECUINFRA verschiedene an die Kundenbedürfnisse angepasste Service Dienstleistungen im Bereich von 24/7 Managed- und Co-Managed SOC Betrieb.
