I

n der Welt der Cybersicherheit ist es ein offenes Geheimnis: Kein Unternehmen kann sich allein verteidigen. Die Angreifer arbeiten längst nicht mehr isoliert – sie tauschen sich aus, handeln im Darknet mit Schwachstellen und Angriffswerkzeugen und nutzen koordinierte Kampagnen, um möglichst viele Ziele gleichzeitig zu treffen. Wer darauf nur mit einer isolierten Verteidigungsstrategie reagiert, läuft Gefahr, in der Informationslücke zwischen den Organisationen unterzugehen. Genau hier setzt eine der Kernideen von DORA an: den strukturierten und sicheren Informationsaustausch im Finanzsektor zu fördern. Die Botschaft dahinter ist klar – Sicherheit wird zur Gemeinschaftsaufgabe.

Der Gedanke ist so einfach wie kraftvoll: Wenn ein Unternehmen eine Bedrohung erkennt oder einen Angriff erlebt, können andere davon profitieren, diese Informationen schnell zu kennen. Ob es sich um neue Phishing-Muster, Zero-Day-Schwachstellen oder komplexe Supply-Chain-Angriffe handelt – je früher andere potenzielle Opfer gewarnt sind, desto besser können sie reagieren. DORA will diesen Austausch nicht nur ermöglichen, sondern systematisieren. Das Ziel: Angriffszeiten verkürzen, Verteidigungsmaßnahmen beschleunigen und die kollektive Widerstandsfähigkeit des gesamten Sektors steigern.

Vom guten Willen zur belastbaren Praxis: Was DORA unter „Austausch“ versteht

In der Praxis bedeutet das, dass Unternehmen ermutigt und teilweise verpflichtet werden, sicherheitsrelevante Informationen über Vorfälle, Bedrohungen und Schutzmaßnahmen mit geeigneten Stellen zu teilen. Diese Stellen können branchenspezifische CSIRTs/SOCs, Aufsichtsbehörden, ISACs (Information Sharing and Analysis Centers) oder sektorspezifische Austauschplattformen sein. Wichtig ist dabei der Aspekt „geeignet“: Nicht jede Information muss oder darf an jeden gehen. DORA legt Wert darauf, dass der Austausch strukturiert, rechtlich abgesichert und datenschutzkonform erfolgt – und dass die Empfänger befähigt sind, das Material wirksam zu nutzen.

Damit der Austausch wirkt statt nur beschäftigt, braucht es vier Bausteine:

1. Gemeinsame Formate: maschinenlesbar, standardisiert, eindeutig.
2. Klare Vertraulichkeitsstufen: wer darf was sehen und wann.
3. Verlässliche Prozesse: vom Sammeln bis zur Wirksamkeitsprüfung.
4. Governance & Recht: Haftung, Datenschutz, Wettbewerbsrecht, Nachvollziehbarkeit.

Vertrauen schaffen: Rechtliche Leitplanken und Governance

Eines der größten Hindernisse für den Informationsaustausch war bislang das Misstrauen. Unternehmen fürchten, durch die Offenlegung von Sicherheitsvorfällen Reputationsschäden zu erleiden oder rechtliche Risiken einzugehen. DORA begegnet diesem Problem, indem es klare Rahmenbedingungen für den Austausch definiert und den Schutz sensibler Informationen betont.

Kernprinzipien für rechtssicheren Austausch:

• Zweckbindung & Minimalprinzip: Es werden nur die Informationen geteilt, die zur Abwehr/Prävention notwendig sind.
• Anonymisierung/Pseudonymisierung: Personen- und Unternehmensbezug wird – wo immer möglich – entfernt oder reduziert; technische Kernfakten bleiben erhalten.
• Vertraulichkeitskennzeichnung (z. B. nach TLP 2.0 – Traffic Light Protocol): TLP:CLEAR, TLP:GREEN, TLP:AMBER, TLP:RED geben präzise Weitergaberegeln vor.
• Datenverarbeitungsgrundlagen: Klare vertragliche Regeln/NDA/Datenteilungsvereinbarungen; Datenschutz (insb. DSGVO) durch Rechtsgrundlagen, Löschfristen und Logs abgesichert.
• Wettbewerbsrechtliche Safe-Guards: Austausch nur zu Sicherheitszwecken; keine Preise, Strategien oder wettbewerbsrelevanten Unternehmensgeheimnisse außerhalb der Cyberabwehr.
• Haftungs- und Gewährleistungsklauseln: „Best Effort/Good Faith“-Teilen; keine pauschale Gewähr für Vollständigkeit; Confidence-Score je Hinweis.

Governance in der Organisation:

• Intelligence Charter: Mandat, Ziele, Grenzen, Verantwortlichkeiten, Freigabeprozesse.
• Rollenmodell: Intel Lead, Legal/Privacy Liaison, Sector Liaison/ISAC-SPOC, SOC/Detection Owner, Comms Lead.
• Freigabe-Workflow: Vier-Augen-Prinzip, rechtliche Prüfschritte, automatische Kennzeichnung (TLP, Sensitivität, TTL).

Was geteilt wird – und was nicht: Von IOCs bis TTPs

Um dem Sektor wirklich zu helfen, sollte der Austausch verwenden lassen, nicht nur „interessieren“. Das gelingt, wenn Inhalte actionable sind.

Typen von teilbaren Inhalten:

• IOCs (Indicators of Compromise): IPs, Domains, URLs, Hashes (SHA-256), Zertifikatsfingerprints, E-Mail-Artefakte (SPF/DKIM/DMARC-Fehler).
• TTPs (Tactics, Techniques, Procedures): Abbildung auf MITRE ATT&CK (z. B. T1566.001 Spearphishing Attachment, T1078 Valid Accounts).
• Exploit-/Vuln-Informationen: CVEs mit CVSS, Ausnutzbarkeit im Feld, Workarounds, Patches, betroffene Produkte/Versionen.
• Detektionsrezepte: Sigma-Regeln, YARA-Signaturen, EDR-Querys, SIEM-Korrelationen, DNS-/Web-Filterlisten.
• Playbook-Auszüge: Eindämmungs- und Eradikationsschritte, Prioritäten, „Kill Switches“.
• Kampagnenmuster: Infrastruktur-Clustering, Beacons, Zeitprofile, Social-Engineering-Narrative.
• Lessons Learned: Was hat funktioniert, was nicht? Welche Kontrollen waren wirksam?

Was nicht geteilt wird:

• Nicht benötigte personenbezogene Daten (PII), interne Preis-/Kundendetails, Quellcodes, geheime Schlüssel/Secrets, produktionsnahe private Artefakte ohne Schutz.

Qualitätsmerkmale: Jede Einheit hat Kontext, Confidence (niedrig/mittel/hoch), Erstbeobachtung (Zeitquelle), Gültigkeitsdauer (TTL) und Empfohlene Aktion (block/monitor/hunt).

Standards & Werkzeuge: Damit Maschinen verstehen, was Menschen meinen

Damit Informationen schnell in Erkennung und Abwehr übergehen, braucht es Standards.

Formate & Protokolle

• STIX 2.1 (Structured Threat Information eXpression): Datenmodell für Objekte (Indicator, Malware, Campaign, Relationship).
• TAXII 2.x (Transport): Maschinenlesbarer Austausch von STIX-Bundles.
• TLP 2.0: Standardisierte Vertraulichkeitsstufen.
• Sigma: SIEM-agnostische Detektionsregeln (lassen sich in Splunk/Elastic/QRadar-Dialekte übersetzen).
• YARA: Mustererkennung für Dateien/Speicher/Netzwerk.
• MISP-Objekte/OpenCTI: Open-Source-Plattformen für Threat Intel Management; MISP unterstützt auch Sightings, Feeds, Galaxies (ATT&CK/Actor-Cluster).

Beispiel: STIX-Indicator (vereinfacht)

{ "type": "indicator", "spec_version": "2.1", "id": "indicator--1234...", "created": "2025-04-15T09:21:00Z", "name": "Malicious IP used in FIN-sector phishing", "pattern_type": "stix", "pattern": "[ipv4-addr:value = '185.203.112.77']", "valid_from": "2025-04-15T09:21:00Z", "confidence": 70, "labels": ["phishing", "command-and-control"], "extensions": { "tlp": {"label": "TLP:AMBER"} } }

Automatisierung: STIX/TAXII-Ingestion → Normalisierung → De-Duplication & TTL → Anreicherung (Whois, GeoIP, Reputation) → Policy-Mapping → Verteilung (Firewall, EDR, DNS, WAF) → Feedback (Sightings, FP/FN-Quote).

Vom Eingang zur Wirkung: Der Prozesszyklus des Teilens

1. Collection: Eingang über Feeds, ISAC, CSIRT, Partner, eigene Incidents, Honeypots.
2. Triage & Scoring: Relevanz für eigene Landschaft (Branche, Technologien, Geografie), Confidence, Dringlichkeit.
3. Enrichment: Mapping auf ATT&CK, Assoziation zu Kampagnen/Cluster, technische Anreicherung.
4. Decision: Blocken? Beobachten? Threat Hunting? Awareness-Push?
5. Dissemination: Intern (SOC, SRE, Comms, Führung) und – wo zulässig – extern über definierte Kanäle mit TLP-Label.
6. Action & Measurement: Umsetzung in Tools/Playbooks, Messung der Wirksamkeit.
7. Feedback: Sightings zurück an die Community, Lessons Learned ans ISMS/BCM, Verbesserungen an Use-Cases.

Zeit ist Wirkung: Zwei Kernmetriken bestimmen den Nutzen:

• Time to Share (TtS): Vom Erstwissen bis zur bereitgestellten, verwertbaren Info.
• Time to Act (TtA): Von der bereitgestellten Info bis zur wirksamen Abwehr (Regel ausgerollt, Block aktiv, Hunt abgeschlossen).

Qualität statt Quantität: Wie „gute“ Intelligence aussieht

Mehr Feeds bedeuten nicht automatisch mehr Sicherheit. Signal-zu-Rauschen ist entscheidend.

Qualitätsregeln:

• Dedup/Deconflict: Keine Flut an Duplikaten; gleiche Indikatoren zusammenführen; Quellenbewertung führen.
• TTL & Hygiene: Indikatoren „altern“; Expired IOCs räumen, um False Positives zu senken.
• Confidence & Sightings: Hinweise nur mit nachvollziehbarer Evidenz und Confidence verteilen; Sightings sammeln (intern/extern).
• Pyramid of Pain: Besser TTPs/Verhalten teilen als nur Hash/IP; Verhalten ist langlebiger und schwerer zu ändern.
• Diamond Model/VERIS: Methodische Einordnung (Actor–Infrastructure–Capability–Victim) hilft, das Gesamtbild zu verstehen.

Messgrößen (KPIs/KRIs):

• Coverage: Anteil kritischer ATT&CK-Techniken mit mindestens einer aktiven Detection.
• Adoption Rate: Prozent der geteilten IOCs/TTP-Detektionen, die in X Tagen produktiv werden.
• False-Positive-Quote pro Quelle.
• Time to Block (TtB) für IOCs/TTPs.
• Prevented Incidents: Korrelation von geteilten IOCs mit geblockten Ereignissen.
• Reciprocity Index: Verhältnis „geteilt“ zu „erhalten“ (fördert Fairness).

Verknüpfung mit Incident-Prozessen: Austausch und Melden ohne Widerspruch

Informationsaustausch ergänzt, ersetzt aber nicht die gesetzlich geforderten Meldungen (z. B. DORA-Incident-Reporting, DSGVO-Meldungen, NIS-Pflichten). Wichtig ist ein Abstimmungsleitfaden:

• Synchronisierte Faktenbasis: Ein Regulatory Liaison stellt sicher, dass Zahlen, Zeitlinien und Hypothesen in allen Kanälen konsistent sind.
• TLP-Disziplin: In frühen Phasen eher konservative TLP-Labels; nach Validierung ggf. lockern.
• Segmentierte Inhalte: Was wird an wen geteilt? (z. B. TLP:RED an enges CSIRT-Netz, TLP:AMBER an ISAC, TLP:GREEN an breitere Branche).
• Comms-Playbook: Entwicklungsstufen der Kernbotschaften; Freigaben; Out-of-Band-Kanäle für Krisen.

Drittparteien integrieren: Lieferkette als Verstärker – nicht als Blackbox

Da ein erheblicher Teil der Finanz-IT ausgelagert ist, muss der Austausch durch die Lieferkette fließen:

• Vertragliche Pflichten: Zeitnahe Threat-/Incident-Information, TLP-Konformität, technische Mindestinhalte (IoCs, TTPs, betroffene Produkte/Regionen), 24/7-SPOCs.
• Flow-Down: Sub-Prozessoren müssen denselben Standard erfüllen.
• Technische Anbindung: TAXII-Endpoints, API-Feeds, gemeinsame War-Rooms, MISP-Sharing-Communities.
• Scorecards: Transparenz über geteilte Qualität, Reaktionsfähigkeit, RCA-Tiefe, Test-Nachweise.

Kultur des Teilens: Von „Was, wenn wir uns blamieren?“ zu „Was, wenn wir zu spät sind?“

Selbst mit Regeln und Plattformen bleibt der Austausch wirkungslos, wenn die Beteiligten ihn nur zögerlich nutzen. Kulturfragen sind zentral:

• Psychologische Sicherheit: Fehler und frühe Hypothesen dürfen geäußert werden – sauber als vorläufig markiert.
• Anreize & Anerkennung: „First Sighting“-Badges, interne/branchenspezifische Anerkennung, Beitrag im Jahresreport.
• Training: Analyst:innen und Engineers lernen TLP, STIX, ATT&CK, Sigma – und wann was geteilt wird.
• Blameless RCAs: Lernen statt Schuld; Austausch über „Near Misses“ schafft echten Mehrwert.

Best Practices aus der Praxis: Drei Mini-Szenarien

1) Sektorweite Phishing-Welle mit MFA-Bypass
Eine Bank sichtet ungewöhnliche OAuth-Konsentscreens; es gibt neue IdP-Missbrauchs-TTPs. Binnen 60 Minuten teilt sie TLP:AMBER: IoCs (bösartige Domains), Sigma-Regeln für ungewöhnliche Consent-Flows, Mitigation-Tipps (temporäre Policy-Anpassungen, Risk-Based-Auth), Confidence: hoch. Zwei weitere Institute melden „Sightings“; ein drittes blockt proaktiv – Time to Act < 3 Stunden, Kundenschaden minimiert.

2) Lieferketten-Exploit in populärer Komponente
Ein Zahlungsdienstleister entdeckt einen Exploit in einer verbreiteten Bibliothek. DORA-konformer Austausch enthält: betroffene Versionen, sichere Kompilation, SBOM-Hinweise, WAF-Regeln, EDR-Detektionen für Post-Ex-TTPs. Binnen 24 Stunden sind in 40 % der Häuser Patches oder Mitigations aktiv; bekannte Command-and-Control-Infrastrukturen werden branchenweit gesperrt.

3) Regionale Cloud-Störung
Mehrere Häuser sehen identische Latenz-/Fehler-Muster in einer Cloud-Region. Über ISAC werden synthetische Checks, Notfall-Routen und Messaging-Workarounds geteilt. Ein Ampelsystem informierter Häuser senkt die Mean Time to Recovery deutlich; parallel läuft die aufsichtliche Lagekoordination.

Sicherheit der Austauschkanäle: Die Meta-Ebene schützen

Wenn Angreifer Abwehrinformationen sehen, passen sie sich an. Deshalb:

• Transportverschlüsselung und Signaturen (z. B. TLS mTLS, Message-Signaturen).
• Zugriffssteuerung: Rollen, TLP-Erzwingung, Logging, „Need-to-Know“.
• Härtung der Plattformen (MISP/OpenCTI/SOAR): RBAC, Secret-Management, Audit-Trails.
• „Honey-Intel“-Detektor: Beobachten, ob geteilte Falsch-Indikatoren in der Wildnis auftauchen – Hinweis auf kompromittierte Kreise.

Metriken, die wirklich zählen

Geschwindigkeit

• Time to Share (Median/90. Perzentil) je Ereignistyp.
• Time to Block/Hunt nach Erhalt.

Qualität

• FP-Quote je Quelle; Confidence-Korrelation mit späteren RCAs.
• Adoptionsrate (Prozent Indikatoren/Regeln produktiv in X Tagen).

Wirkung

• Prevented Loss Estimates: Verhindertes Volumen (modelliert über Baseline-Angreifererfolg).
• Coverage (ATT&CK-Techniques mit aktiver Detection/Prevention).
• Lessons-Learned-Umsetzung (Fristtreue, Re-Test-Erfolg).

Kultur

• Reciprocity Index, Beitragsdichte pro Quartal, Trainingsquote.

Implementierungsfahrplan: 180 Tage zur gelebten Austauschfähigkeit

Tag 0–30 – Grundlagen & Governance

• Intelligence-Charter, Rollen, TLP-Policy, Rechtsrahmen (NDA/DSA).
• Toolentscheidung (MISP oder OpenCTI), TAXII-Client im SOC.
• Datenklassifizierung für Threat Intel (PII-Filter, Redaktionsleitfaden).

Tag 31–90 – Prozesse & Technik

• STIX/TAXII-Ingestion, Normalisierung, De-Dup, TTL-Hygiene.
• ATT&CK-Mapping, Sigma/YARA-Pipeline, erste Feeds.
• Onboarding ISAC/CSIRT, Pilot-Sharing (TLP:AMBER), Time-to-Share messen.

Tag 91–150 – Integration & Wirksamkeit

• SOAR-Playbooks: IOC → Policy-Update (DNS, EDR, WAF) nach Freigabe.
• Feedbackschleifen (Sightings), KPI-Dashboards, Quality-Gates.
• Lieferanten-Onboarding (API-Feeds, War-Room-Mechanik, vertragliche Pflichten).

Tag 151–180 – Skalierung & Kultur

• Tabletop „Sector-wide Campaign“ inkl. Austauschkanäle.
• Trust Center (unter NDA) mit Resilienz-Nachweisen.
• Jahresplan mit OKRs (z. B. TtS < 4 h für High-Threats; Coverage +20 %).

Typische Stolpersteine – und Gegenmittel

• Oversharing/PII-Leak → Gegenmittel: Redaktions-Engine, Privacy-Review, TLP-Erzwingung.
• IOC-Flut ohne Wirkung → Gegenmittel: TTL, Priorisierung, Behavior/TTP-Fokus, KPIs.
• Langsame Freigaben → Gegenmittel: vordefinierte Freigabe-Profile, Incident-Mode-Fast-Track.
• Rechtsunsicherheit → Gegenmittel: Standard-DSA/NDA, Schulung, Konsultation der Rechtsabteilung, klare Zweckbindung.
• Fehlende Adoption im SOC → Gegenmittel: Automationspfade, Ownership, Incentives über FP-Reduktion/MTTD-Verbesserung.
• Isolierte Lieferanten → Gegenmittel: Vertragliche Sharing-Pflichten, API-Anbindung, Scorecards, Exit-Sanktionen.

Best-Practice-Vorlagen (kompakt)

Intel-Brief (eine Seite)

• Titel, Datum, TLP, Confidence, Quelle
• Kurzlage: Was passiert? Wen betrifft es?
• IoCs/TTPs (ATT&CK) + Sigma/YARA-Snippets
• Empfehlungen: Block/Monitor/Hunt, Patches, Awareness
• Gültigkeit/TTL, Kontakt/SPOC

Detektionspaket

• Sigma-Regel + Testdaten → CI/CD-Pfad → Ausrollung → Monitoring des FP-Rates.

Legal-Checkliste

• Zweck, Rechtsgrundlage, TLP, PII-Bewertung, Aufbewahrung, Löschung, Weitergabekreis, Haftungstext.

Warum gerade der Finanzsektor profitiert

Finanzunternehmen teilen ähnliche Angriffsflächen (Zahlungsverkehr, Online-Banking, Handelssysteme, Kernbank, API-Ökosysteme) und sind eng vernetzt (Clearing, Karten, Identitäts-Provider). Angriffsmuster skalieren hier besonders gut – positiv wie negativ. Ein strukturierter Austausch erkennt Kampagnenfrüherkennung, schützt Kundengelder und stabilisiert Marktinfrastruktur. DORA bündelt diesen Sektorvorteil: statt vieler Inseln eine verbundene Radar-Kette.

Informationsaustausch + Tests = Lernende Verteidigung

Austausch entfaltet maximale Wirkung, wenn er mit Resilienztests gekoppelt wird:

• Purple-Team-Sprints mit frisch geteilten TTPs → Detection-Gaps schließen.
• Tabletop „Branchencampaign“ → Kommunikation & Meldekette proben.
• Chaos-/Failover-Drills nach geteilten Störungserfahrungen → MTTR senken.
  Die Erkenntnisse fließen zurück in den Austausch – so entsteht ein lernender Kreislauf.

Fazit: Vom Alleingang zur Allianz – DORA als Multiplikator

Letztlich ist der Informationsaustausch kein Allheilmittel, aber er ist ein mächtiges Werkzeug im Arsenal moderner Cybersicherheit. In einer Zeit, in der Angriffe komplexer, schneller und globaler werden, kann kein einzelner Akteur alles sehen oder abwehren. Wer seine Erkenntnisse teilt und von den Erfahrungen anderer lernt, verschafft sich selbst einen Vorteil und trägt gleichzeitig dazu bei, den gesamten Sektor widerstandsfähiger zu machen. DORA liefert dafür den Rahmen, die regulatorische Sicherheit und den Anreiz, aus isolierten Verteidigern ein vernetztes, lernendes System zu formen – eines, das gemeinsam stärker ist als die Summe seiner Teile. Wer diesen Geist annimmt, schafft nicht nur Compliance, sondern echte operative Überlegenheit: schnellere Reaktionen, bessere Detektion, kleinere Schäden – und mehr Vertrauen bei Kund:innen, Partnern und Aufsicht.