Worawut - stock.adobe.com
DORA und SIEM: Die Cyberresilienz richtig stärken
Mit der Einführung der neuen DORA-Verordnung muss dem Thema Cyberresilienz oberste Priorität eingeräumt werden. SIEM kann dabei helfen, ist aber nur so gut wie die Use Cases.
Eine große Mehrheit der Finanzdienstleister vertraut seit Jahren auf SIEM-Systeme, um der Bedrohung im Cyberraum wirksam entgegenzutreten. Sie haben sich bewährt, wenn es darum geht, Sicherheitsdaten aus verschiedenen Quellen innerhalb eines Netzwerks zu sammeln und auszuwerten, um verdächtige Aktivitäten und potenzielle Sicherheitsbedrohungen zu identifizieren. Doch die Bedrohungslage wird immer komplexer – und damit auch die Anforderungen an SIEM (Security Information and Event Management).
Mit dem Digital Operational Resilience Act (DORA) wird ab dem 17. Januar 2025 ein Rahmenwerk angewendet, das klare Vorgaben für den Umgang mit Cyberrisiken im Finanzsektor beinhaltet. Im Fokus stehen sensible Finanzdaten, deren Schutz herausfordernder denn je ist. Denn mit der fortschreitenden Digitalisierung und Vernetzung vervielfältigen sich für Hacker die Möglichkeiten, um in das Netzwerk eines Unternehmens einzudringen.
Finanzinstitute sollten also spätestens jetzt aktiv werden und ihre Strategien und Prozesse mit Blick auf das eigene Schwachstellenmanagement grundlegend überdenken. Stand jetzt gibt es bis zur Anwendung von DORA noch viel zu tun: Ungefähr 60 Prozent der betroffenen Unternehmen erfüllen die in der Verordnung festgehaltenen Anforderungen nur teilweise, 17 Prozent stehen noch ganz am Anfang. Das hängt auch damit zusammen, dass DORA neue Schwerpunkte setzt, wie etwa die kontinuierliche Echtzeit-Analyse von Systemaktivitäten oder regelmäßige Resilienztests.
Leistungsfähigkeit von SIEM bedingt durch Use Cases
Auf dem Weg zur umfassenden Cyberresilienz, die auch im Bedrohungsfall einen fortlaufenden Geschäftsbetrieb gewährleistet, nimmt SIEM eine Schlüsselfunktion ein. Dabei gilt: SIEM-Lösungen sind nur so gut wie die Use Cases, auf denen sie aufbauen. Die Auswahl und Entwicklung geeigneter Anwendungsfälle sollte daher mit einer klaren Strategie erfolgen, die sich grob in drei Schritte unterteilen lässt.
Christian Nern,
KPMG
Identifizierung und Bewertung bestehender Sicherheitsrisiken. Die Ergebnisse der Analyse bilden die Basis für die Ermittlung der Anwendungsfälle. Maßgeblich ist hier die Definition des Ziels. Was soll mit dem Use Case konkret erreicht werden? Welche im Threat Modeling erkannte Bedrohung soll mit seiner Hilfe überwacht werden? Im zweiten Schritt folgt die Log-Analyse. Hierbei werden Protokolldaten aus verschiedenen IT-Systemen und Anwendungen gesammelt und ausgewertet. Ziel ist es, Erkenntnisse über die Systemaktivitäten und -ereignisse zu gewinnen und festzustellen, ob sich die vorab bestimmten Detektionsziele mit den untersuchten Protokolldaten realisieren lassen. Sobald das richtige Event gefunden wurde, geht es weiter mit der Entwicklung der Use Cases, dem sogenannten Rule Engineering. Dabei stellt sich die Frage: Wie befähige ich SIEM, auf die Attribute des Events zuzugreifen und die richtigen Schlüsse zu ziehen? Es muss also eine Regellogik definiert werden, die abnormales Verhalten aus einem Event herauslesen kann.
Spezifische Anwendungsfälle für eine spezifische Bedrohungslage
Das sind drei Schritte eines Prozesses, der im Detail noch weitaus komplexer und vielschichtiger ist. Sie umreißen jedoch ein Vorgehen, das sich auf einer Linie mit den Erwartungen der Regulatorik befindet. Denn sie fordert eine penible Auskunft darüber, welche Kriterien zur Identifizierung und Behebung der Sicherheitsvorfälle angewendet werden.
Julian Krautwald,
KPMG
Doch es geht nicht allein darum, die regulatorischen Anforderungen zu erfüllen. Denn Unternehmen ziehen einen echten Mehrwert aus Use Cases, die auf ihre spezielle Bedrohungslandschaft zugeschnitten sind. Frameworks mit vordefinierten Use Cases bergen das Risiko, dass eine besondere Bedrohungslage nur unzureichend erkannt wird: Fehlermeldungen werden falsch priorisiert und tatsächliche Bedrohungen werden entweder nicht erkannt oder gehen in der Masse aus Alarmmeldungen unter.
Dank KI und maschinellem Lernen: Das Wesentliche im Blick behalten
Eine neue Qualität in der Erkennung von Cyberbedrohungen eröffnen sogenannte modellbasierte SIEM Use Cases. Sie nutzen künstliche Intelligenz und maschinelles Lernen, um sehr viel präziser Anomalien im internen Netzwerk zu erkennen, als dies faktenbasierte Use Cases leisten können. Bei Letzteren wird im Vorfeld definiert, was unter abnormalem Verhalten im Kontext eines bestimmten Events zu verstehen ist. Künstliche Intelligenz und Maschinelles Lernen bieten hingegen einen ganz anderen Zugriff.
Ein Beispiel: Loggt sich ein Mitarbeitender in das Netzwerk des Unternehmens ein, erkennt ein traditionelles SIEM-System, das auf faktenbasierte Use Cases zugreift, nur den Akt des Logins selbst. Modellbasierte Use Cases wenden hingegen einen Algorithmus an, der ein auf den User zugeschnittenes Login-Verhalten auf Basis erhobener Daten definiert. Die Wahrscheinlichkeit, dass das System eine Anomalie richtigerweise erkennt, ist damit um ein Vielfaches höher.
Das ist nur eines von vielen Beispielen dafür, wie SIEM-Systeme mit Hilfe von KI und Machine Learning wesentlich flexibler und zielgerichteter auf Anomalien reagieren können. Und das ist auch dringend geboten: Mit der zunehmenden Komplexität und Vernetzung der IT-Landschaft sowie der wachsenden Bedrohung durch Cyber-Angriffe steigt auch die Zahl der generierten Sicherheitsdaten rasant. Durch die Definition spezifischer Use Cases können Unternehmen ihre SIEM-Systeme darauf ausrichten, die wichtigsten und relevantesten Bedrohungen zu erkennen und zu analysieren. Dies hilft, die Flut an Daten zu bewältigen und sich auf die Bedrohungen zu konzentrieren, die das größte Risiko darstellen.
Über die Autoren:
Christian Nern ist Partner und Head of Security bei KPMG im Bereich Financial Services in München. Vor seiner Tätigkeit bei KPMG hat der Diplom-Kaufmann 25 Jahre lang in exponierten Leadership-Positionen verschiedener Bereiche in der IT-Industrie gearbeitet
Julian Krautwald ist Practice Lead Detection & Response bei KPMG im Bereich Financial Services. Er ist Experte auf dem Gebiet digitale Transformation des Financial-Service-Sektors mit dem Fokus auf die operative Cybersicherheit.
Die Autoren sind für Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.
