Demo buchen
Blog
12 Minuten Lesezeit
Veröffentlicht am 16. Juni 2026

Signal-Rausch-Verhältnis mit NDR: Von der Datenflut zur Netzwerktransparenz im BFSI-Sektor 

Diesen Beitrag teilen

Inhaltsübersicht

Heute abonnieren

Erhalten Sie monatlich die neuesten Blogs in Ihren Posteingang - unser Cyber Flash.

Indem Sie auf Anmelden klicken, bestätigen Sie, dass Sie mit unseren Nutzungsbedingungen einverstanden sind.

Ein interaktives E-Book zum Erleben von Exeon.NDR in realistischen Szenarien aus den Bereichen Bankwesen, Finanzdienstleistungen und Versicherungen 

Einleitung 

Sicherheitsteams im BFSI-Sektor verteidigen nicht mehr einen klar definierten Netzwerkperimeter. Sie überwachen eine sich ständig verändernde Umgebung aus Kernbankensystemen, Versicherungsplattformen, Cloud-Workloads, SaaS-Anwendungen, Fintech-APIs, Remote-Benutzern, Zweigstellen, Geldautomaten, Zahlungsinfrastruktur und Verbindungen zu Drittanbietern. 

Gleichzeitig nimmt das Volumen an Sicherheitsdaten weiter zu. Firewalls, SIEM-Systeme, EDR-Tools, Identitätsplattformen, Cloud-Protokolle und Anwendungsprotokolle generieren zwar Signale, liefern jedoch nicht immer Antworten auf die operativen Fragen, die am wichtigsten sind: 

  • Welche Systeme kommunizieren eigentlich miteinander? 
  • Welche Verbindungen sind normal und welche sind neu oder risikobehaftet? 
  • Wo tritt verdächtiges Verhalten im verschlüsselten Datenverkehr auf? 
  • Welche Warnmeldungen erfordern die sofortige Aufmerksamkeit des SOC? 
  • Können wir schnell genug Nachweise für interne Interessengruppen, Wirtschaftsprüfer und Aufsichtsbehörden vorlegen? 

Herkömmliche Sicherheitslösungen konzentrieren sich oft auf den Netzwerkperimeter und die Endpunkte, ohne dabei vollständig zu erfassen, wie miteinander verbundene Komponenten in modernen Hybridumgebungen interagieren. „Network Detection and Response“ verfolgt einen anderen Ansatz. Es analysiert das Kommunikationsverhalten im gesamten Netzwerk und hilft Sicherheitsteams dabei, zu verstehen, wie Systeme, Benutzer, Anwendungen, Niederlassungen, Cloud-Dienste und Drittanbieter tatsächlich miteinander interagieren. 

Exeon.NDR hilft Teams im Finanz- und Versicherungssektor dabei, Netzwerk-Metadaten in klare Erkenntnisse über das Netzwerkverhalten umzuwandeln. Anstatt auf umfangreiche Sensorinstallationen oder die Überprüfung von Nutzdaten zurückzugreifen, analysiert Exeon.NDR Kommunikationsmuster, hebt Anomalien hervor, bewertet Risiken und liefert Analysten den Kontext, den sie benötigen, um Untersuchungen schneller durchzuführen. 

Dieses E-Book richtet sich an Leiter von SOCs, CISOs, CIOs, IT-Leiter (Infrastruktur) sowie Entscheidungsträger im Sicherheitsbereich in mittelgroßen bis großen Unternehmen der Finanz-, Versicherungs- und Bankbranche (BFSI). Der Schwerpunkt liegt auf praktischen Szenarien, die im Rahmen einer Produktdemo oder einer technischen Vertiefung behandelt werden können. 

Das Ziel ist einfach: zu zeigen, wie Exeon.NDR Unternehmen aus dem BFSI-Sektor dabei unterstützt, den Übergang von Datenüberflutung zu Netzwerktransparenz. 

So nutzen Sie dieses E-Book 

In den folgenden Kapiteln werden praktische use cases beschrieben use cases in BFSI-Umgebungen häufig auftreten. Jeder use case an einer realen betrieblichen Herausforderung und zeigt, wie Exeon.NDR Sicherheitsteams dabei unterstützt, Netzwerkverhalten zu erkennen, zu priorisieren und zu untersuchen. 

Das E-Book konzentriert sich eher auf die technische Anwendbarkeit und praktische Produkterfahrungen als auf abstrakte NDR-Theorie. In jedem Abschnitt wird erläutert, mit welchen Herausforderungen ein Sicherheitsteam im BFSI-Bereich konfrontiert wäre, wie Exeon.NDR den Arbeitsablauf unterstützt und wie der use case bestehende Investitionen in SIEM, SOAR, EDR, IDS oder GRC use case . 

Die use cases nach fünf wiederkehrenden Sicherheitsprioritäten im BFSI-Bereich gegliedert: 

  • Schaffung von Transparenz in komplexen Hybridlandschaften, in denen die Infrastruktur häufig auf lokale Umgebungen, Cloud-Workloads, SaaS-Plattformen, Remote-Benutzer und Verbindungen zu Drittanbietern verteilt ist, Cloud, SaaS und Verbindungen zu Drittanbietern 
  • Erkennung komplexer Bedrohungen und lateraler Bewegungen im verschlüsselten Datenverkehr 
  • Reduzierung von SOC-Störsignalen durch risikobasierte Warnmeldungen und einen besseren Kontext 
  • Untersuchung von Anomalien in Filialen und im IoT-Bereich (z. B. Geldautomaten oder Überwachungskameras) 
  • Erstellung von Nachweisen für DORA, EIOPA, die Abschlussprüfung und das Risikomanagement in Bezug auf Dritte 

In jedem Kapitel wird erläutert, wie Exeon.NDR Sicherheitsteams dabei unterstützt, Netzwerkaktivitäten zu erkennen, zu priorisieren und zu untersuchen. Jedes Kapitel enthält: 

  • ein reales Szenario aus dem BFSI-Bereich,  
  • eine Erläuterung, wie Exeon.NDR den Arbeitsablauf unterstützt,  
  • Eine visuelle Übersicht und ein kurzer Democlip, die zeigen, was Analysten direkt in der Exeon.NDR-Konsole sehen, 
  • sowie ein praktisches Beispiel, das veranschaulicht, wie der use case im Bankwesen, bei Finanzdienstleistungen oder in der Versicherungsbranche use case .  

Das tatsächliche Netzwerk über alle Niederlassungen, das IoT, Rechenzentren, die Cloud und verschlüsselten Datenverkehr hinweg im Blick behalten 

Moderne BFSI-Umgebungen sind stark dezentralisiert. Eine Bank kann Hunderte von Filialen, IoT-Netzwerke (Überwachungskameras, Geldautomaten usw.), Rechenzentren, Cloud-Workloads, SaaS-Anwendungen und Partnerverbindungen betreiben. Ein Versicherer stützt sich möglicherweise auf Maklerportale, Schadensbearbeitungssysteme, Kundenplattformen, Cloud-Dienste und ausgelagerte Anbieter. Finanzdienstleistungsunternehmen kombinieren häufig Altsysteme mit APIs, Cloud-nativen Diensten und Integrationen von Drittanbietern. 

Auf dem Papier mögen diese Umgebungen zwar dokumentiert sein. In der Praxis entwickeln sich Kommunikationsmuster jedoch oft schneller als Architekturdiagramme. Es kommen neue SaaS-Tools auf den Markt. Cloud-Workloads kommunizieren mit unerwarteten Zielen. Filial- oder Geldautomaten-Systeme senden Datenverkehr außerhalb ihrer erwarteten Peer-Gruppe. Verschlüsselter East-West-Datenverkehr verbirgt verdächtiges Verhalten vor Tools, die auf die Überprüfung der Nutzdaten angewiesen sind.

Exeon.NDR hilft Teams dabei, zu erkennen, wie Systeme tatsächlich im gesamten Netzwerk miteinander kommunizieren. Durch die Analyse von Metadaten aus der bestehenden Infrastruktur – wie NetFlow, IPFIX, sFlow und ausgewählten Protokollen – erstellt es eine kommunikationsbasierte Übersicht über IT-, IoT- und OT-Umgebungen, ohne dass eine umfassende Paketanalyse oder zusätzliche Sensoren erforderlich sind. 

Da Exeon.NDR Metadaten und Verhaltensmuster anstelle von Nutzdaten analysiert, bleibt verschlüsselter Datenverkehr aus verhaltensbezogener Sicht weiterhin sichtbar. Das SOC kann ungewöhnliche Kommunikationshäufigkeit, -volumen, -richtung, Peer-Beziehungen oder Zeitpunkte erkennen, ohne sensiblen Datenverkehr zu entschlüsseln. 

Damit erhalten Sicherheits- und IT-Teams eine praktische Möglichkeit, Fragen wie die folgenden zu beantworten: 

  • Welche Ressourcen sind filial-, geldautomaten-, cloud- und rechenzentrumsübergreifend im Einsatz?  
  • Welche Systeme kommunizieren mit externen Zielen?  
  • Gibt es unerwartete Wege zwischen sensiblen Zonen?  
  • Welche verschlüsselten Datenströme weisen ein ungewöhnliches Verhalten auf? 
  • Können wir den Wirtschaftsprüfern zeigen, welche Bereiche überwacht werden?

Visualisieren Sie die tatsächlichen Kommunikationswege zwischen Niederlassungen, Geldautomaten, Cloud-Workloads und Rechenzentrumssystemen.


Erfahren Sie, wie Exeon.NDR Netzwerk-Metadaten in eine übersichtliche Darstellung der Ressourcen und Kommunikationswege umwandelt.

Praktisches Beispiel aus dem BFSI-Bereich

Eine Bank möchte nachvollziehen, ob ihre Filialen und IoT-Umgebungen (Zahlungsterminals, Überwachungskameras, Geldautomaten, Zugangskontrollsysteme usw.) ausschließlich mit den erwarteten Systemen kommunizieren. Exeon.NDR hebt die tatsächlichen Kommunikationswege hervor und deckt ungewöhnliche oder bisher nicht dokumentierte Verbindungen auf. Das SOC kann dann prüfen, ob es sich um erwartete Kommunikation, um risikobehaftete Kommunikation oder um ein potenzielles Anzeichen für eine Kompromittierung handelt. 

Für einen führenden Akteur im BFSI-Sektor bedeutet der Mehrwert nicht einfach nur „mehr Transparenz“. Es geht um umsetzbare Transparenz: eine Übersicht über Vermögenswerte und Kommunikationswege, die die Erkennung, Untersuchung, die Sicherung von Prüfungsnachweisen und eine bessere Entscheidungsfindung unterstützt.

Erkennung von APT-Verhalten und lateraler Bewegung im verschlüsselten Datenverkehr 

Erfahrene Angreifer treten selten als ein einziges, offensichtliches Ereignis in Erscheinung. Oft bewegen sie sich schrittweise durch eine Umgebung: Sie verschaffen sich einen Zugang, kommunizieren mit der Command-and-Control-Infrastruktur, scannen interne Systeme, bewegen sich lateral, greifen auf sensible Ressourcen zu und bereiten sich auf Datendiebstahl, Betrug oder Betriebsstörungen vor. 

Im BFSI-Sektor kann dies schnell geschäftskritische Auswirkungen haben. Ein kompromittierter Server kann als Sprungbrett für den Zugriff auf Zahlungssysteme, Kundendaten, Schadenbearbeitungsplattformen, Handelsumgebungen oder privilegierte Verwaltungssysteme dienen. 

Herkömmliche Erkennungsinstrumente spielen zwar eine wichtige Rolle, haben jedoch oft Schwierigkeiten, das Netzwerkverhalten zu einem zusammenhängenden Angriffsmuster zusammenzufügen. Ein SIEM erfasst möglicherweise Protokolle aus verschiedenen Systemen. EDR erfasst möglicherweise Aktivitäten auf Host-Ebene. Firewalls protokollieren möglicherweise den zugelassenen Datenverkehr. Doch die Frage bleibt: Wie bewegt sich der Angreifer durch das Netzwerk? 

Exeon.NDR ergänzt die Analyse um die Ebene des Netzwerkverhaltens. Es erkennt verdächtige Kommunikationsmuster und fasst diese zu einer für die Untersuchung geeigneten Übersicht zusammen. Anstatt nur einzelne Protokolle oder Endpunkt-Ereignisse zu betrachten, können Analysten erkennen, wie das verdächtige System kommuniziert, welche Partner daran beteiligt sind und wie sich das Verhalten im Laufe der Zeit entwickelt hat. 

Dies ist insbesondere bei verschlüsseltem Datenverkehr von großem Wert. Angreifer können zwar ihre Nutzdaten verbergen, hinterlassen jedoch dennoch Verhaltensspuren: Zeitablauf, Häufigkeit, Richtung, Volumen und ungewöhnliche Peer-Beziehungen. 

Im Rahmen einer typischen Untersuchung könnte ein Analyst mit einer Exeon.NDR-Warnmeldung mit hohem Risiko beginnen, die betroffenen Ressourcen genauer untersuchen, die Kommunikationspartner überprüfen, den zeitlichen Verlauf verdächtiger Aktivitäten analysieren und feststellen, ob es sich um ein Einzelfall handelt oder um Teil eines umfassenderen Musters. Ereignisse mit hohem Risiko können anschließend zur Anreicherung, Fallbearbeitung und Eindämmung an SIEM- oder SOAR-Workflows weitergeleitet werden. 

Verfolgen Sie verdächtiges Netzwerkverhalten von der Hochrisiko-Warnung bis hin zum Untersuchungskontext. 

Erfahren Sie, wie Exeon.NDR verdächtiges Kommunikationsverhalten verdächtiges Kommunikationsverhalten identifiziert und die Untersuchung lateraler Bewegungen unterstützt.

Praktisches Beispiel aus dem BFSI-Bereich

Ein verdächtiges internes System nimmt die Kommunikation mit ungewöhnlichen Gegenstellen auf und zeigt Anzeichen von Command-and-Control-Verhalten. Exeon.NDR korreliert das Kommunikationsmuster, stuft das Risiko ein und liefert dem Analysten den Kontext für die Untersuchung. Der Befund kann anschließend zur Anreicherung, Fallerstellung und Eindämmung an SIEM- oder SOAR-Workflows weitergeleitet werden. 

Für Teams im BFSI-Bereich trägt dies dazu bei, die Zeitspanne zwischen dem ersten verdächtigen Verhalten und einer fundierten Reaktion zu verkürzen. Außerdem hilft es den Analysten, den Beteiligten den Vorfall zu erläutern: welche Systeme betroffen waren, wie sich das Verhalten entwickelt hat und bei welchen Kommunikationswegen Maßnahmen erforderlich sind.  

Reduzierung von SOC-Störungen durch risikobasierten Netzwerkkontext 

Den meisten SOCs im BFSI-Sektor mangelt es nicht an Sicherheitsdaten. Das Problem ist vielmehr, dass sie zu viele kontextarme Daten haben. Analysten müssen oft zwischen SIEM-Warnmeldungen, Firewall-Protokollen, EDR-Befunden, Identitätswarnungen, Ticket-Systemen und Tabellenkalkulationen hin- und herwechseln, um einen einzelnen Vorfall zu verstehen. 

Dies führt zu einer Alarmmüdigkeit und zu uneinheitlichen Untersuchungsabläufen. Zwei Analysten können denselben Ereignistyp unterschiedlich untersuchen, je nachdem, welche Tools sie zuerst überprüfen und wie viel Kontext sie manuell zusammenstellen. 

Exeon.NDR trägt dazu bei, diese Belastung zu verringern, indem es das Netzwerkverhalten anhand von Risiken und Kontext priorisiert. Anstatt jedes Ereignis gleich zu behandeln, fasst es verwandte Beobachtungen zusammen, hebt ungewöhnliches Verhalten hervor und stellt den Analysten die Informationen zur Verfügung, die sie benötigen, um über das weitere Vorgehen zu entscheiden. 

Für das SOC bedeutet dies, dass die Untersuchung mit einem klareren Überblick beginnt: 

  • Um welchen Vermögenswert handelt es sich?  
  • Welches Kommunikationsverhalten ist ungewöhnlich?  
  • Welche Peers sind betroffen?  
  • Ist das Verhalten neu, selten oder riskant?  
  • Ist ein ähnliches Verhalten schon einmal aufgetreten?  
  • Sollte dies an SIEM oder SOAR weitergeleitet werden?  

Exeon.NDR ersetzt weder das SIEM noch das SOAR. Stattdessen steigert es deren Effektivität, indem es ihnen aussagekräftigere Netzwerksignale zuführt. Mit einem Risikowert versehene Netzwerkereignisse können im SIEM mit Daten zu Identitäten, Endgeräten, Anwendungen oder Bedrohungsinformationen korreliert werden. Das SOAR kann dann bei Fällen mit hoher Priorität die Reaktionsschritte anreichern, weiterleiten oder automatisieren. 

Priorisieren Sie risikoreiches Netzwerkverhalten und reduzieren Sie die Informationsflut für die Analysten.

Wechseln Sie von der Alarmübersicht zum Untersuchungskontext, ohne die Story manuell neu erstellen zu müssen. 

Praktisches Beispiel aus dem BFSI-Bereich

Nach einem Ransomware-Vorfall setzt eine mittelgroße deutsche Bank Exeon.NDR ein, um das SOC auf risikobewertete Netzwerkereignisse zu konzentrieren, anstatt sich mit unwesentlichen Störsignalen zu beschäftigen. Analysten können Bedrohungen im verschlüsselten Datenverkehr mit einem klareren Kontext untersuchen, während Signale mit hohem Risiko zur weiteren Bearbeitung an SIEM/SOAR-Workflows weitergeleitet werden. 

Die Auswirkungen auf den Betrieb sind klar: Analysten verbringen weniger Zeit damit, den Kontext von Grund auf neu zu erstellen, und mehr Zeit damit, Entscheidungen zu treffen. Unwichtige Informationen werden reduziert. Risikoreiches Verhalten lässt sich leichter priorisieren. Die Übergabe von Ermittlungsergebnissen erfolgt einheitlicher, da die Netzwerkdaten bereits aufbereitet und nachvollziehbar sind. 

Untersuchung von Anomalien in Zweigstellen und verteilten Standorten

Filialumgebungen sind für Unternehmen aus dem BFSI-Sektor besonders relevant, da sie geschäftskritische Dienste, lokale Netzwerke, Fernverbindungen, Benutzerendgeräte, IoT-Geräte und manchmal auch lokale Internet-Anbindungen vereinen. Während zentrale Rechenzentren und Cloud-Umgebungen in der Regel gut überwacht werden, entstehen an dezentralen Standorten häufig blinde Flecken für zentralisierte SIEM- und SOC-Teams. 

Ein verdächtiges Szenario in einer Zweigstelle muss auf den ersten Blick nicht unbedingt dramatisch erscheinen. Es kann sich um ein lokales Gerät handeln, das mit einem unbekannten internen System kommuniziert. Es kann eine neue ausgehende Verbindung über einen lokalen Netzwerkausgang sein. Es kann eine Veränderung der Kommunikationshäufigkeit, des Volumens oder des Zeitpunkts sein. Oder es kann ein IoT-Gerät sein, wie beispielsweise eine Überwachungskamera oder ein Gebäudesystem, das plötzlich außerhalb seines erwarteten Musters kommuniziert. 

Für sich genommen mögen diese Ereignisse harmlos erscheinen. Im Gesamtzusammenhang können sie jedoch frühe Anzeichen für eine Kompromittierung, eine Fehlkonfiguration, einen unbefugten Zugriff oder ein Betriebsrisiko sein. 

Exeon.NDR unterstützt Sicherheitsteams bei der Untersuchung solcher Szenarien, indem es aufzeigt, wie verteilte Ressourcen im Zeitverlauf miteinander kommunizieren. Anstatt sich ausschließlich auf statische Regeln oder isolierte Protokolle zu verlassen, können Analysten Verhaltensmuster vergleichen, Beziehungen zwischen gleichrangigen Knoten untersuchen und Abweichungen von den erwarteten Kommunikationsmustern über Niederlassungen, lokale Netzwerke, Cloud-Dienste und die zentrale Infrastruktur hinweg identifizieren. 

Dies ist von Vorteil, da sich eine verteilte Infrastruktur nur schwer durchgängig überwachen lässt. Die Installation zusätzlicher Sensoren in jeder Niederlassung oder Regionalniederlassung kann kostspielig und betrieblich aufwendig sein. Der metadatengesteuerte Ansatz von Exeon.NDR ermöglicht es Teams, mithilfe vorhandener Netzwerktelemetrie Transparenz zu gewinnen, und hilft zentralen SOC-Teams dabei, blinde Flecken zu schließen, ohne unnötige Infrastruktur hinzufügen zu müssen. 

Untersuchen Sie ungewöhnliche Kommunikationsvorgänge aus verteilten Filial-, IoT- oder lokalen Netzwerkumgebungen. 

Erfahren Sie, wie Exeon.NDR unerwartetes Kommunikationsverhalten in einem Szenario mit verteilten Standorten aufzeigt. 

Praktisches Beispiel aus dem BFSI-Bereich

Eine Niederlassung nutzt für den täglichen Betrieb ein lokales Netzwerk und eine Internetanbindung. Exeon.NDR identifiziert ein Gerät, das eine Kommunikation mit einem unbekannten externen Ziel aufnimmt und sich anders verhält als vergleichbare Geräte in der Niederlassung. Das SOC überprüft den Kommunikationspfad, den Zeitpunkt und die Peer-Beziehungen, um festzustellen, ob die Aktivität erwartet, auf eine Fehlkonfiguration zurückzuführen oder verdächtig ist. 

Für Sicherheitsteams im BFSI-Sektor macht dies die Überwachung verteilter Standorte praktikabler. Die zentrale Frage ist nicht, ob ein bestimmter Gerätetyp ein Risiko darstellt, sondern ob sich die Geräte in den Filialen und lokalen Netzwerken wie erwartet verhalten – und ob die zentralen SOC-Teams Abweichungen erkennen können, bevor sie zu Vorfällen werden.

Bereitstellung von Nachweisen für DORA, FINMA, Wirtschaftsprüfung und Risiken durch Dritte 

Sicherheitsteams im BFSI-Sektor müssen zunehmend nicht nur nachweisen, dass Kontrollmaßnahmen vorhanden sind, sondern auch, dass diese funktionieren. DORA, die an die FINMA-Vorgaben angepassten Anforderungen an die IKT-Governance, interne Prüfungsanforderungen sowie Risikoprogramme für Dritte zwingen Unternehmen dazu, fundiertere Nachweise zu erbringen, eine klarere Berichterstattung zu gewährleisten und ihre operative Widerstandsfähigkeit zu verbessern. 

In der Praxis bedeutet dies, dass Sicherheitsteams Fragen schnell beantworten müssen: 

  • Welche Vermögenswerte waren betroffen?  
  • Welche Kommunikation fand statt?  
  • Wann hat das verdächtige Verhalten angefangen?  
  • Wie hat sich das entwickelt?  
  • Welche Systeme oder Dritte waren daran beteiligt?  
  • Welche Maßnahmen wurden ergriffen?  
  • Kann dies den Abteilungen für Risikomanagement, Compliance, Revision oder der Geschäftsleitung vorgelegt werden?  

Die Herausforderung besteht darin, dass die Beweise oft verstreut sind. SIEM-Daten, Firewall-Protokolle, Endpunkt-Warnmeldungen, Tickets und Netzwerkaufzeichnungen können jeweils nur einen Teil des Gesamtbildes liefern. Die Rekonstruktion des vollständigen Bildes kann zeitaufwendig sein und muss manuell erfolgen. 

Exeon.NDR unterstützt diesen Prozess, indem es Beweismaterial auf Netzwerkebene in einem für Ermittlungen geeigneten Format bereitstellt. Analysten können Kommunikationswege, betroffene Ressourcen, Zeitabläufe, Risikobewertungen und den Verhaltenskontext überprüfen. Dieses Beweismaterial kann SIEM-, SOAR- und GRC-Workflows ergänzen und Sicherheitsteams dabei helfen, Vorfallanalysen, Antworten auf Audit-Anfragen oder Beiträge für die aufsichtsrechtliche Berichterstattung vorzubereiten. 

Für Versicherer kann dies die DORA- und EIOPA-bezogene IKT-Governance sowie die Überwachung durch Dritte unterstützen. Für Banken und Finanzdienstleistungsunternehmen unterstützt es die Meldung von Vorfällen im Rahmen der DORA, Resilienztests, die Validierung der Segmentierung sowie die interne Revision. 

Verwandeln Sie Netzwerkdaten in untersuchungsreife Beweismittel für Audit-, DORA- und EIOPA-Workflows. 

Vom verdächtigen Verhalten bis zum Beweis: Vermögenswerte, Geldflüsse, zeitlicher Ablauf und Risikokontext. 

Praktisches Beispiel aus dem BFSI-Bereich

Ein Finanzunternehmen untersucht verdächtige Aktivitäten, die ein sensibles System betreffen. Exeon.NDR liefert den Kontext auf Netzwerkebene: Welche Ressourcen haben miteinander kommuniziert, wann hat das Verhalten begonnen, wie hat es sich entwickelt und welche Pfade waren daran beteiligt? Diese Erkenntnisse können bei der Nachverfolgung von Vorfällen, der Vorbereitung von Audits oder bei DORA-konformen Berichtsabläufen genutzt werden. 

Der Mehrwert liegt nicht darin, dass NDR das Thema „Compliance“ an sich „löst“. Der Mehrwert besteht vielmehr darin, dass Exeon.NDR den Teams bei Untersuchungen einen klareren, schnelleren und besser begründbaren Überblick über das Netzwerkverhalten verschafft. 

Überprüfung von Kommunikation durch Dritte und segmentierter Kommunikation 

Unternehmen im BFSI-Sektor sind auf ein umfangreiches Ökosystem von Drittanbietern angewiesen: Zahlungsabwickler, Clearingsysteme, Cloud-Anbieter und -Dienste, ausgelagerte IT-Dienstleister, Makler, Schadenbearbeiter, Fintech-Partner, Datenanbieter und Managed-Service-Provider. In der Umgebung können auch nicht autorisierte oder nicht verwaltete Cloud-Dienste auftreten, was zu Schatten-IT und Risiken durch Datenoffenlegung führt, wenn Geschäftsbereiche oder Systeme mit Diensten kommunizieren, die nicht Teil der genehmigten Architektur sind. 

Sicherheitsteams können zwar festlegen, welche Dritten Zugriff auf welche Systeme erhalten sollen, doch die Überprüfung der tatsächlichen Kommunikation ist oft schwieriger. Die Richtlinien sagen vielleicht das eine, während das tatsächliche Netzwerkverhalten etwas anderes offenbart. 

Eine Anbindung an einen Anbieter kann zunächst einen begrenzten Zweck haben und sich im Laufe der Zeit ausweiten. Eine Cloud-Integration kann beginnen, mit weiteren internen Systemen zu kommunizieren. Ein Broker- oder Partnerportal kann ungewöhnliche Zugriffsmuster erzeugen. Eine segmentierte Umgebung kann mehr Ost-West-Datenverkehr zulassen als beabsichtigt. 

Exeon.NDR unterstützt Teams dabei, tatsächliche Kommunikationswege zu überprüfen. Durch die Visualisierung, wer mit wem, wie oft und in welchem Muster kommuniziert, lassen sich unerwartete Kommunikationen mit Dritten oder Abweichungen von der Segmentierung leichter erkennen. 

Dies ist insbesondere für Risiko- und Compliance-Teams von Nutzen, da das Risiko durch Dritte nicht nur eine Frage der Beantwortung von Fragebögen ist. Es stellt auch eine Herausforderung für die Überwachung dar. Unternehmen müssen wissen, ob sich Lieferanten, Partner und Cloud-Dienste innerhalb des Netzwerks wie erwartet verhalten. 

Überprüfen Sie, , ob Drittanbieter- und segmentierte Umgebungen wie vorgesehen miteinander kommunizieren. 

Sehen Sie sich die tatsächlichen Kommunikationswege zwischen internen Systemen, externen Partnern und segmentierten Umgebungen an. 

Praktisches Beispiel aus dem BFSI-Bereich

Von einer Verbindung eines Drittanbieters wird erwartet, dass sie mit einer bestimmten Anwendung kommuniziert, doch Exeon.NDR deckt zusätzliche Kommunikationswege zu internen Systemen auf. Das Sicherheitsteam prüft diese Abweichung, stellt fest, ob sie legitim ist, und nutzt die Erkenntnisse als Grundlage für Diskussionen über Segmentierung und Lieferantenrisiken. 

Mit Exeon.NDR können Sicherheitsteams Segmentierungen und Annahmen von Drittanbietern in nachweisbare Fakten umwandeln. Dies unterstützt Zero-Trust-Initiativen, die Überwachung von Lieferanten, Audit-Prüfungen und die Untersuchung von Vorfällen.

Arten von Use Cases der Praxis

In BFSI-Umgebungen lassen sich use cases NDR use cases in vier praktische Kategorien einteilen.

Use Cases Sichtbarkeit

use cases Transparenz use cases Teams use cases , zu verstehen, was tatsächlich im gesamten Netzwerk vor sich geht. Sie sind oft der Ausgangspunkt für NDR-Bewertungen, da sie unbekannte Ressourcen, unerwartete Verbindungen und blinde Flecken aufdecken. 

Typische Beispiele hierfür sind: 

  • Ermittlung von Ressourcen und Kommunikationswegen 
  • Transparenz bei Filialen und Geldautomaten 
  • Darstellung der Cloud- und SaaS-Kommunikation 
  • Transparenz bei verschlüsseltem Datenverkehr durch Metadaten 
  • Erkennung von Schatten-IT und nicht verwalteten Ressourcen 

Diese use cases bei der Beantwortung der Frage: Wissen wir, welche Kommunikation in unserer Umgebung stattfindet? 

Use Cases die Erkennung

use cases Erkennung use cases Teams dabei, verdächtiges Verhalten zu identifizieren, das allein anhand statischer Regeln möglicherweise nicht erkennbar ist. 

Typische Beispiele hierfür sind: 

  • APT-Verhalten 
  • Seitliche Bewegung 
  • Kommando- und Kontrollkommunikation 
  • DGA- oder DNS-Anomalien 
  • Verdächtige API- oder Drittanbieter-Aktivitäten 
  • Indikatoren für Datenvorbereitung oder Datenexfiltration 

Diese use cases bei der Beantwortung der Frage: Können wir verdächtiges Verhalten erkennen, bevor es sich auf das Geschäft auswirkt?

Use Cases SOC-Workflows

Die Anwendungsfälle für SOC-Workflows konzentrieren sich auf die Effizienz der Analysten und die Qualität der Reaktionen. 

Typische Beispiele hierfür sind: 

  • Risikobasierte Priorisierung von Warnmeldungen 
  • Schnellerer Ermittlungskontext 
  • Weniger Fehlalarme 
  • Unterlagenpakete für die Übergabe 
  • Erweiterung von SIEM und SOAR 

Diese use cases bei der Beantwortung der Frage: Können sich Analysten auf die wichtigsten Vorfälle konzentrieren? 

Use Cases Compliance und Beweisanwendung

use cases Compliance und Nachweisführunguse cases Teams dabei, darzustellen, was geschehen ist und wie damit umgegangen wurde. 

Typische Beispiele hierfür sind: 

  • Beweismaterial zum DORA-Vorfall 
  • Unterstützung bei der EIOPA-konformen IKT-Governance 
  • Überwachung durch Dritte 
  • Validierung der Segmentierung 
  • Prüfungsgerechte Zeitpläne und Berichterstattung 

Diese use cases bei der Beantwortung der Frage: Können wir nachweisen, dass wir effektiv überwachen, erkennen und reagieren? 

Fazit

Da die Umgebungen im Bank-, Finanzdienstleistungs- und Versicherungswesen zunehmend dezentralisiert, verschlüsselt und miteinander vernetzt sind, benötigen Sicherheitsteams mehr als nur zusätzliche Warnmeldungen. Sie brauchen Klarheit. 

Exeon.NDR sorgt für diese Klarheit, indem es Netzwerk-Metadaten in Kommunikationsübersichten, Verhaltenserkennungen, risikobewertete Warnmeldungen und untersuchungsreife Beweismittel umwandelt. Es hilft Sicherheitsteams dabei, zu verstehen, wie Systemkomponenten miteinander kommunizieren, wo verdächtiges Verhalten auftritt und welche Vorfälle sofortige Aufmerksamkeit erfordern. 

Die use cases diesem E-Book sind so konzipiert, dass sie im Rahmen einer technischen Demo oder einer Produktvorführung vorgestellt werden können. Zusammen verdeutlichen sie, wie Exeon.NDR bestehende SIEM-, SOAR-, EDR-, IDS- und GRC-Investitionen ergänzt, indem es die Netzwerktransparenz, die Erkennungsqualität, die Effizienz des SOC und die Compliance-Nachweise verbessert. 

Für Unternehmen aus dem BFSI-Sektor liegt der Weg in die Zukunft nicht in noch mehr Lärm, sondern in einem besseren Signal. 

Möchten Sie Ihren use case der Praxis erleben? 

Vereinbaren Sie eine Demo und erfahren Sie, wie Exeon.NDR Ihrem Team helfen kann: 

  • Entdecken Sie verborgene Kommunikationswege 
  • Verdächtiges Verhalten im verschlüsselten Datenverkehr erkennen 
  • Vorrang für Vorfälle mit hohem Risiko 
  • SOC-Rauschen reduzieren 
  • Stärkung von DORA, FINMA und Prüfungsnachweisen 
  • Filialen, Geldautomaten, Cloud-Workloads und Verbindungen zu Drittanbietern überwachen

Buchen Sie Ihre Exeon.NDR-Demo 

 

Holen Sie sich den Cyber Flash

Bleiben Sie auf dem Laufenden mit unserem monatlichen Newsletter, der Sie über fortschrittliche Netzwerksicherheit, Updates zur Einhaltung von Vorschriften und die neuesten Veranstaltungen und Webinare zum Thema Cybersicherheit informiert.

Zurück zum Hauptmenü
Unsere Produkte
Wettbewerb

Warum unsere NDR-Lösung auf dem Markt überlegen ist.

KI & Sicherheit
Unsere KI-Cybersecurity-Plattform, Swiss-made.