DORA-Compliance neu gedacht: NDR als Schlüsseltechnologie.
Obwohl der Stichtag längst hinter uns liegt, arbeiten Finanzinstitute noch immer daran, die DORA-Anforderungen konsequent in ihre täglichen Abläufe zu integrieren. Aktuelle Umfragen deuten darauf hin, dass viele deutsche Banken und Finanzdienstleister kritische Maßnahmen noch gar nicht umgesetzt haben – vor allem hinsichtlich der Klassifizierung von sicherheitsrelevanten Vorfällen sowie der detaillierten Berichterstattung. Hier kommt Network Detection and Response (NDR) ins Spiel.
Zusammenfassung (TL; DR):
- Über die Vorteile von Network-Detection-and-Response-Lösungen für eine erfolgreiche DORA-Strategie
- NDR kommuniziert mit zahlreichen Sensoren, die sich überall dort befinden, wo Daten in und aus dem Netzwerk fließen
Zur Erinnerung: Beim Digital Operational Resilience Act – DORA – handelt es sich um eine EU-Verordnung, die den europäischen Finanzmarkt gegenüber Risiken und Vorfällen, die die Informations- und Kommunikationstechnologie (IKT) betreffen, stärken soll. DORA definiert dafür insgesamt sechs Resilienzbereiche: IKT-Risikomanagement; Erkennung, Kategorisierung und Reporting IKT-bezogener Vorfälle; Testen der betrieblichen Resilienz; Management des IKT-Drittanbieterrisikos; Überwachung kritischer IKT-Drittdienstleister; Informationsaustausch sowie Notfallübungen.
Was genau ist NDR?
Eine NDR-Lösung repräsentiert die wachsamen Augen und Ohren eines Netzwerks. Sie kommuniziert mit zahlreichen Sensoren, die sich überall dort befinden, wo Daten in und aus dem Netzwerk fließen. Dadurch kann sie den gesamten Datenfluss kontinuierlich überwachen. Gleichzeitig nutzt sie die Fähigkeiten von KI und Machine Learning, um die Daten zu analysieren. In Kombination mit historischen Daten erstellt eine NDR-Lösung auf Basis ihrer Analyseergebnisse ein genaues Bild des normalen Netzwerkverhaltens. Sobald sie anomale Aktivitäten erkennt, benachrichtigt sie das Team und ergreift erste automatisierte Abwehrmaßnahmen.
Demnach eignet sich eine NDR-Lösung ideal, um Unternehmen in ihrer DORA-Strategie maßgeblich zu unterstützen – konkret in diesen Bereichen:
IKT-Risiken managen (Art. 5-15 DORA)
DORA verlangt eine laufende Risikoanalyse, den Einsatz technischer Schutzmaßnahmen sowie kontinuierliches Monitoring. NDR-Lösungen unterstützen dies durch umfassende Netzwerksichtbarkeit. Ergänzend liefern sie historische Daten und Threat Intelligence Feeds, die fundierte Risikoanalysen ermöglichen.
Vorfälle erkennen und klassifizieren, Bericht erstatten (Art. 17-23 DORA)
DORA schreibt ein schnelles Erkennen, Klassifizieren und Melden von IKT-Vorfällen vor. NDR-Tools analysieren dafür laufend den Netzwerkverkehr und erkennen mithilfe von KI effizient verdächtige Abweichungen sowie unerlaubte Zugriffsversuche (Incident Detection). Forensische Funktionen erlauben eine umfangreiche Ursachenanalyse. Durch detaillierte Protokollierung und standardisierte Berichte unterstützen sie Unternehmen beim gesetzeskonformen Incident Management.
Drittanbieterrisiken managen (Art. 28-39 DORA)
Zur Erfüllung der DORA-Vorgaben müssen auch externe IKT-Dienstleister überwacht und gemanagt werden. NDR schafft hier Transparenz, indem es den Netzwerkverkehr von SaaS-, Cloud- und Remote-Diensten analysiert. Im Zuge dessen macht eine NDR-Lösung auf ungewöhnliche Verbindungen oder Datenabflüsse aufmerksam.
Informationen austauschen (Art. 40 DORA)
DORA fordert von Finanzinstituten, dass sie sich untereinander über Bedrohungen und Schwachstellen austauschen. NDR-Lösungen integrieren sich in Threat-Intelligence-Plattformen, erleichtern so den standardisierten Austausch und identifizieren Hinweise auf eine Kompromittierung. Dies stärkt die gemeinsame Abwehrfähigkeit gegenüber Cyberbedrohungen.
Da eine moderne NDR-Lösung Netzwerke effizienter durchsucht und so verdächtige Aktivitäten und Bedrohungen schneller erkennt als herkömmliche Tools, erweist sie sich als zentrale Schlüsseltechnologie – sowohl bei der effizienten Bedrohungsjagd als auch zur Einhaltung der DORA-Anforderungen. Dennoch bleiben auch bei ihnen trotz der umfangreichen Funktionen gewisse Limitierungen bestehen.
So besteht das Risiko von Sichtbarkeitslücken, sobald die überwachenden Sensoren umverlegt und neu konfiguriert werden müssen – zum Beispiel, wenn sich die Netzwerkinfrastruktur verändert oder wächst. Zudem kommen unzählige, größtenteils verschlüsselte Daten aus verschiedenen Richtungen gleichzeitig ins Netzwerk und bewegen sich hindurch (lateraler East-West Traffic). Sowohl lateraler als auch verschlüsselter Datenverkehr sind für NDR-Lösungen nur schwer einzusehen. Ihre Stärken liegen vielmehr bei entschlüsseltem Verkehr. Allerdings stellen gerade verschlüsselte Daten eine große Gefahr dar: 86 Prozent der Cyberbedrohungen sind im verschlüsselten Datenverkehr verborgen. Und NDR ist nur dann wirksam, wenn das Tool die Anomalien auch sieht.
Deshalb ist es wichtig, für vollständige Sichtbarkeit zu sorgen – und zwar bis hinunter auf Netzwerkebene (Deep Observability). So wird eine entsprechende Lösung zwischen Infrastruktur und Sicherheitsplattformen – einschließlich NDR – platziert. Diese sammelt sämtliche Daten aus allen Umgebungen, bereitet sie auf, entschlüsselt sie gegebenenfalls, filtert sie nach Risiken und analysiert sie. Erst dann werden die Daten an NDR- und andere Sicherheitslösungen weitergeleitet, die aufgrund vollständiger Sichtbarkeit effizienter arbeiten und genau das Sicherheitspotenzial entfalten können, das sie versprechen.
