{"id":59613,"date":"2025-08-13T11:38:05","date_gmt":"2025-08-13T09:38:05","guid":{"rendered":"https:\/\/www.secuinfra.com\/?p=59613"},"modified":"2025-08-13T11:44:53","modified_gmt":"2025-08-13T09:44:53","slug":"dora-konformes-soc-so-gelingt-die-alarmpriorisierung-mit-risk-based-alerting","status":"publish","type":"post","link":"https:\/\/testing.secuinfra.com\/de\/techtalk\/dora-konformes-soc-so-gelingt-die-alarmpriorisierung-mit-risk-based-alerting\/","title":{"rendered":"DORA-konformes SOC: So gelingt die Alarmpriorisierung mit Risk-Based Alerting"},"content":{"rendered":"\n

Nach einem zweij\u00e4hrigen Umsetzungszeitraum sind die Finanzunternehmen der EU zur Umsetzung der DORA (Digital Operational and Resilience Act) zum Stichtag 17.01.2025 verpflichtet.<\/p>\n\n\n\n

Die DORA fokusiert sich auf das Risikomanagement der als kritisch oder wichtig klassifizierten Gesch\u00e4ftsprozesse. Dazu geh\u00f6rt die Identifikation und \u00dcberwachung der daran beteiligten Assets. Zur Sicherstellung der l\u00fcckenlosen \u00dcberwachung setzen Finanzinstitute in der Regel auf Detektions- und Reaktionstools, wie beispielsweise SIEM und EDR Systeme. Die Bearbeitung der durch diese Systeme generierten Alarmmeldungen findet in der Regel durch das Analysten Team im Security Operations Center (SOC) statt. Um die in der DORA geforderten Sicherstellung der Alarmbearbeitung inner und au\u00dferhalb der Arbeitszeiten gew\u00e4hrleisten zu k\u00f6nnen, greifen die Unternehmen h\u00e4ufig auf spezialisierte externe Dienstleister zur\u00fcck. Auf Grund der personellen Aufstellung der SOCs der Finanzunternehmen, wird die Erstanalyse der Alarme  h\u00e4ufig vollst\u00e4ndig an einen MDR- oder Co-Manged SOC Dienstleister ausgelagert, es ist aber auch ein Auslagerungsmodell zur Abdeckung der Randzeiten  m\u00f6glich.<\/p>\n\n\n\n

Sollten ein Alarm auf Grundlage der geforderten sezenarienbasierten \u00dcberwachung und der Anomaly Erkennung in den Protokolldaten sich als schwerwiegender Vorfall best\u00e4tigen, m\u00fcssen diese innerhalb von 4h nach Klassifizierung, sp\u00e4testens aber nach 24 Stunden den Aufsichtsbeh\u00f6rden gemeldet werden.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Um diese Meldung zu erm\u00f6glichen fordert die DORA im Artikel die Alarmmeldungen zu priorisieren. SECUINFRA empfiehlt hierbei auf den Risk-based Alerting Ansatz zur\u00fcckzugreifen. In einem solchen Ansatz k\u00f6nnen unter anderem die Schwere des Detektionsszenario, z.B. Fortschritt in der Killchain, die Kritikalit\u00e4t der Beteiligten  Informationsassets, Systme und der Nutzerklassen, sowie die False Positive Quote ber\u00fccksichtigt werden.  Durch die resultierende Alarmpriosierung wird den Analysten die Fokussierung auf die im Unternehmenskontext besonders kritischen Alarmmeldung erm\u00f6glicht und kann daher ein wesentlicher Baustein zur Einhaltung der geforderten Meldepflichten sein.<\/p>\n\n\n\n

SECUINFRA unterst\u00fctzt betroffene Unternehmen mit erfahrenen Cyber Defense Consultants bei der Konzeptionierung und Umsetzung von Ma\u00dfnahmen zur Erf\u00fcllung der durch die DORA geforderten technischen Anforderungen im Bereich SOC und SIEM. Zudem bietet SECUINFRA verschiedene an die Kundenbed\u00fcrfnisse angepasste Service Dienstleistungen im Bereich von 24\/7 Managed- und Co-Managed SOC Betrieb.<\/p>\n\n\n\n

<\/p>\n","protected":false},"excerpt":{"rendered":"

Nach einem zweij\u00e4hrigen Umsetzungszeitraum sind die Finanzunternehmen der EU zur Umsetzung der DORA (Digital Operational and Resilience Act) zum Stichtag 17.01.2025 verpflichtet.<\/p>\n","protected":false},"author":39,"featured_media":59942,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[66],"tags":[788],"dpc_coauthors":[],"class_list":["post-59613","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-techtalk","tag-dora"],"acf":[],"_links":{"self":[{"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/posts\/59613","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/users\/39"}],"replies":[{"embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/comments?post=59613"}],"version-history":[{"count":2,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/posts\/59613\/revisions"}],"predecessor-version":[{"id":59947,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/posts\/59613\/revisions\/59947"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/media\/59942"}],"wp:attachment":[{"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/media?parent=59613"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/categories?post=59613"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/tags?post=59613"},{"taxonomy":"dpc_coauthors","embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/dpc_coauthors?post=59613"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}