Contents
Erkennungsmechanismen für anomale Aktivitäten (Art. 10 DORA i.V.m. Art. 23 RTS RMF)
Die frühzeitige Erkennung anomaler Aktivitäten – ob technisches Versagen, Cyberangriff oder Fehlverhalten – ist essenziell für die digitale Resilienz. DORA fordert deshalb konkrete Mechanismen, Prozesse und Tools, um solche Ereignisse in Echtzeit zu erkennen, zu bewerten und zu eskalieren.
Art. 10 DORA in Verbindung mit Art. 23 der RTS RMF verlangt ein umfassendes Detection Framework für alle IKT-bezogenen Anomalien und Vorfälle, insbesondere bei kritischen Funktionen.
Diese Anforderungen macht DORA an Erkennungsmechanismen
| Anforderung | Inhalt |
|---|---|
| Echtzeiterkennung | Umgehende Identifikation anomaler Aktivitäten und IKT-bezogener Vorfälle |
| Multilayer-Kontrollen | Alarmschwellen und automatische Warnsysteme zur Eskalation |
| Umfassende Log-Auswertung | Analyse interner und externer Logdaten gemäß Art. 12 RTS RMF |
| Verhaltensanomalien erkennen | Tools zur Erkennung verdächtiger Muster, auch mit externen Datenquellen |
| Kriterienbasierte Auslösung | Angriffe, Systemausfälle, Datenverlust, Transaktionsstörungen |
| Manipulationssichere Speicherung | Lückenlose, geschützte Protokollierung von Zeit, Art und Herkunft der Anomalie |
Praktische Umsetzung der DORA-Vorgaben zur Anomalie-Erkennung
| Maßnahme | Beschreibung |
|---|---|
| SIEM-Systeme | Security Information and Event Management zur automatisierten Anomalieerkennung |
| Threat Intelligence | Einbindung externer Cyberbedrohungsanalysen in interne Detection-Systeme |
| Alarmschwellen definieren | Vorab festgelegte Kriterien für die automatische Auslösung von Incident-Prozessen |
| Ressourcensicherung | Permanente Überwachung durch ein Security Operations Centre (SOC) |
| Response-Prozesse verknüpfen | Verknüpfung von Detection mit Reaktions- und Eskalationsverfahren gem. Art. 11 DORA |
Pflicht zur Aufzeichnung jeder anomalen Aktivität
DORA schreibt eine vollständige Dokumentation jeder erkannten Anomalie vor – inklusive:
- Zeitpunkt des Ereignisses
- Zeitpunkt der Erkennung
- Art des Vorfalls
- Risikoauswirkungen
- Betroffene Systeme oder Netzwerke
Diese Informationen müssen manipulationsgeschützt gespeichert, analysiert und revisionssicher bereitgehalten werden – auch für spätere aufsichtsrechtliche Meldungen.