DORA-Resilienz erzwingen: Wie aus isolierten Ereignisdaten bewertbare DORA-Vorfälle entstehen

DORA definiert im Finanzsektor die Spielregeln für ICT-Resilienz neu. Doch während der Markt noch über Regulatorik debattiert, gewinnen Architekten die Oberhand, die verteilte Signale aus Endpunkten und Identitätssystemen in einer hoch performanten Datenstruktur vereinen. Wer seine Daten-Assets beherrscht, verwandelt Compliance-Zwang in einen massiven technologischen Vorsprung.

von Jürgen Crasser, Senior Architect & Strategist Cyber Resilience, 8COM

In Banken, Versicherungen und regulierten FinTechs treffen die DORA-Anforderungen auf komplexe, historisch gewachsene IT-Umgebungen. Kernbanksysteme, spezialisierte Fachverfahren, Legacy-Anwendungen, Cloud-Dienste und Identitätsplattformen existieren häufig parallel und greifen ineinander. Jedes dieser Systeme erzeugt eigene Protokolle, Ereignistypen und Alarmstrukturen.

Die vorhandenen Protokoll- und Ereignisdaten ergeben zunächst kein konsistentes Gesamtbild. Stattdessen entstehen zahlreiche Einzelhinweise, die isoliert betrachtet wenig Aussagekraft besitzen. Gleichzeitig verkürzen automatisierte und KI-gestützte Angriffe die erforderlichen Reaktionszeiten deutlich. Angreifer nutzen generative Modelle, um Phishing-Kampagnen dynamisch anzupassen, Schwachstellen automatisiert zu identifizieren und Angriffsschritte zu orchestrieren. Zwischen Erstzugriff, Privilegienausweitung und lateraler Bewegung liegen dadurch oft nur kurze Zeitfenster.

Um diese fragmentierten Einzelhinweise auswertbar zu machen, muss die Systemarchitektur den gesamten Datenfluss neu strukturieren: Detektions-Pipelines korrelieren Ereignisse hochfrequent über normalisierte Schemata.“

Eine hocheffiziente Log-Parser-Logik minimiert dabei die Mean Time to Detect (MTTD) und unterbindet die Ausbreitung von Angriffen bereits in der Discovery-Phase.

Datenkonsistenz und Kontext als Grundlage

Gerade unter diesem Zeitdruck entscheidet die Qualität der verfügbaren Daten darüber, ob Verantwortliche einen Vorfall früh erkennen und korrekt einordnen.“

Viele Organisationen stoßen hier auf ein grundlegendes Problem: Unterschiedliche Systeme verwenden eigene Feldnamen, Datenformate und Identifier. Eine Quelladresse erscheint je nach Quelle als src_ip, source.ip oder eingebettet in einen unstrukturierten Logeintrag. Ähnliche Inkonsistenzen betreffen Benutzerkennungen, Hostnamen und Asset-Zuordnungen.

Die technologische Basis bildet eine Event-Driven Architecture, die eine Normalisierung auf Standards wie das Open Cybersecurity Schema Framework (OCSF) erzwingt. Durch Schema-on-Write-Verfahren transformieren Ingest-Pipelines unstrukturierte Strings bereits beim Eintritt in streng typisierte JSON-Objekte. Dies verlagert rechenintensive Joins, da strukturierte Daten performante Cross-Correlation zwischen Attributen wie endpoint.process.path und network.traffic.destination_ip überhaupt erst ermöglichen.

Warum inkonsistente Daten jede Detektion ausbremsen

Ohne eine saubere Vereinheitlichung bleiben diese Daten schwer vergleichbar. Korrelationen greifen ins Leere oder liefern ungenaue Ergebnisse. Übrig bleiben einzelne Alerts, die zwar auf Auffälligkeiten hinweisen, deren Zusammenhang sich jedoch kaum belastbar rekonstruieren lässt.

Für die Bewertung eines Vorfalls genügt die isolierte Betrachtung einzelner sicherheitsrelevanter Ereignisse nicht. DORA verlangt eine Einordnung entlang der geschäftlichen Auswirkungen. Die technische Implementierung nutzt hierfür automatisierte Enrichment-Funktionen: Über REST-APIs werden Telemetriedaten während der Indizierung mit Metadaten aus der CMDB angereichert. So erhält jeder Datenpunkt sofort einen Kontext zur Business-Kritikalität, was die automatisierte Schwellenwert-Analyse für Major ICT Incidents erst ermöglicht. Technische Signale müssen daher in Beziehung zu betroffenen Systemen, deren Kritikalität und den unterstützten Prozessen gesetzt werden.

Ein einzelner Login außerhalb üblicher Zeiten wirkt für sich genommen unauffällig. In Kombination mit ungewöhnlichen Prozessstarts, Zugriffen auf privilegierte Konten oder lateralen Bewegungen im Netzwerk entsteht jedoch ein anderes Bild. Erst diese Verknüpfung erzeugt ein auswertbares Ereignismodell.

Die algorithmische Verknüpfung dieser Telemetrie unter Einbeziehung von Entitäts-Risiko-Scores und heuristischen Entropie-Prüfungen generiert eine belastbare Faktenbasis. Erst diese Verknüpfung erlaubt eine Einschätzung, welche die granularen Reporting-Anforderungen der DORA-Standards technisch erfüllt. Genau an diesem Punkt verschiebt sich die Herausforderung von der reinen Detektion hin zur belastbaren Bewertung im Sinne der DORA-Anforderungen.

Operative Resilienz statt formaler Erfüllung

DORA verlangt konsistente Bewertung und Meldefähigkeit von ICT-Vorfällen. In der Praxis scheitert dies häufig daran, dass sicherheitsrelevante Ereignisse nicht konsistent korrelierbar sind.“

Ein Security Operations Center wird in diesem Kontext zur operativen Instanz, die korrelierte Ereignisdaten in konkrete Entscheidungen übersetzt. Die Priorisierung von Vorfällen, die Bewertung ihrer Auswirkungen auf Geschäftsprozesse und die Ableitung von Meldepflichten hängen direkt von der Qualität und Konsistenz der zugrundeliegenden Daten ab.

Ohne durchgängige Normalisierung, Kontextanreicherung und Echtzeit-Korrelation bleiben auch gut aufgestellte Analyseprozesse fragmentiert und reaktiv. Erst wenn Detektion, Bewertung und Reaktion auf einer konsistenten Datenbasis zusammenlaufen, entsteht die operative Resilienz, die DORA voraussetzt.

Am Ende entfaltet DORA ihren Zweck nur dort, wo korrelierte Telemetrie in belastbare Entscheidungen und konkrete Reaktionen überführt wird.“

Jürgen Crasser, 8COM