Erstgespräch
Erstgespräch buchen
Leistungen
Übersicht Audit Begleitung as a Service GAP-Analyse Implementierung Awareness & Schulungen
ISMS
Übersicht Externer ISB CISIS12 BSI IT-Grundschutz ISO 27001 Regulatorik Cyber Resilience Act DORA NIS-2 NIS-2 Betroffenheit NIS-2 Registrierung B3S KRITIS TISAX®
AIMS
Übersicht Externer KI-Beauftragter EU AI Act ISO 42001 ISO 42005
BCMS
Übersicht Externer BCM-Beauftragter BSI 200-4 ISO 22301 ITSCM Notfallmanagement
RMS
Übersicht Externer Risikomanager BSI 200-3 ISO 27005 MaRisk
Solutions
Übersicht Partner Patchmanagement Schwachstellenmanagement SIEM SOC
Wissen
Übersicht Insights KI-Security Briefing
Über uns
Übersicht Presse
+49 40-298 4553-0 [email protected]
Startseite Glossar Anomalie
Glossar — ISMS / ISO 27001 A.8.16 Monitoring / SOC

Anomalie

Englisch: Anomaly

Zuletzt aktualisiert: Mai 2026
Lesedauer: ca. 9 Minuten

Anomalie ist im Kontext der Informationssicherheit eine messbare Abweichung von einem definierten Normalzustand in Netzwerken, Systemen oder Anwendungen, die auf einen potenziellen Sicherheitsvorfall hinweisen kann. ISO/IEC 27002:2022 Clause 8.16 legt fest, dass Netzwerke, Systeme und Anwendungen auf anomales Verhalten überwacht werden müssen und geeignete Maßnahmen zur Bewertung potenzieller Sicherheitsvorfälle zu ergreifen sind.

Normative Grundlage: ISO/IEC 27002:2022 Clause 8.16 + NIST SP 800-94 + ENISA

Hintergrund und normative Einordnung

Der Begriff Anomalie erhielt seinen normativen Stellenwert in der ISO/IEC 27001:2022 durch die Aufnahme des neuen Controls Annex A 8.16 (Monitoring Activities), das in der Vorgängerversion ISO 27001:2013 noch nicht existierte. ISO/IEC 27002:2022 konkretisiert in Clause 8.16 den Umsetzungsrahmen: Organisationen sollen ein fundiertes Verständnis normalen Nutzer- und Netzwerkverhaltens entwickeln und dieses als Baseline nutzen, um anomales Verhalten im Netzwerk zu identifizieren. Die Norm nennt explizit Beispiele für anomales Verhalten: abruptes Beenden von Prozessen und Anwendungen, Netzwerkverkehr zu oder von problematischen IP-Adressen, bekannte Einbruchsmethoden wie Distributed-Denial-of-Service-Angriffe, bösartiges Systemverhalten wie Keylogging, Netzwerkengpässe und ungewöhnlich hohe Latenzzeiten sowie unautorisierter oder unerklärlicher Zugriff auf Daten, Domänen oder Anwendungen. NIST SP 800-94 (Guide to Intrusion Detection and Prevention Systems, 2007) systematisiert die technischen Erkennungsmethoden in drei Hauptklassen: signaturbasierte Erkennung (Signature-based Detection), anomaliebasierte Erkennung (Anomaly-based Detection) und statusbehaftete Protokollanalyse (Stateful Protocol Analysis). Anomaliebasierte Erkennung arbeitet dabei durch den Aufbau von Normalprofilen, gegenüber denen statistisch signifikante Abweichungen als potenzielle Bedrohung markiert werden. Sie ermöglicht im Unterschied zur signaturbasierten Erkennung die Identifikation bisher unbekannter Angriffsmuster, weist jedoch strukturell höhere False-Positive-Raten auf.

In der deutschen und europäischen Compliance-Landschaft ist das Monitoring auf Anomalien spätestens seit NIS-2 (Richtlinie EU 2022/2555) zu einer regulatorischen Pflicht geworden. Artikel 21 Absatz 2 Buchstabe b der Richtlinie fordert von wesentlichen und wichtigen Einrichtungen ein Konzept für die Bewältigung von Sicherheitsvorfällen, das definierte Rollen, Verantwortlichkeiten und Verfahren zur zeitnahen Erkennung, Analyse, Eindämmung oder Reaktion sowie Wiederherstellung und Dokumentation umfasst. Anomalieerkennung ist die technische Voraussetzung für die geforderte zeitnahe Erkennung. Im Rahmen einer strukturierten ISO 27001-Zertifizierung wird Annex A Control 8.16 als integraler Baustein behandelt: Baseline-Definition, Monitoring-Systeme und Detection-Konfiguration müssen für den Audit nachweisbar implementiert sein. BSI IT-Grundschutz Baustein DER.1 (Detektion von sicherheitsrelevanten Ereignissen, Edition 2023) konkretisiert die Anforderungen für den deutschen Rechtsraum in fünf Basisanforderungen und acht Standardanforderungen: von der Erstellung einer spezifischen Detektionsrichtlinie (DER.1.A1) über den Einsatz von Systemfunktionen zur Detektion (DER.1.A5) bis zur kontinuierlichen Überwachung von Protokollierungsdaten (DER.1.A6) und dem Einsatz zusätzlicher Detektionssysteme wie IDS/IPS (DER.1.A9). NIST SP 800-137 (Information Security Continuous Monitoring, 2011) definiert kontinuierliches Monitoring als Strategie zur Aufrechterhaltung laufender Kenntnis des Sicherheitsstatus, der Schwachstellen und der Bedrohungen, um organisatorische Risikoentscheidungen zu unterstützen, wobei die Erkennung von Anomalien durch definierte Metriken und Monitoring-Frequenzen operationalisiert wird. Die ENISA Threat Landscape 2024 belegt, dass Angriffe auf die Verfügbarkeit (DDoS) und Ransomware die zwei häufigsten Bedrohungskategorien darstellen, die beide spezifische Anomaliemuster im Netzwerk- und Systemverhalten hinterlassen und damit detektierbar sind.

Normative Bezüge:

ISO/IEC 27001:2022 Annex A Control 8.16 NIST SP 800-94 Chapter 2 BSI DER.1 Edition 2023

Vorgehen in der Praxis

Der Aufbau einer wirksamen Anomalieerkennung folgt einem vierstufigen Prozess, der von der normativen Grundlage in ISO/IEC 27002:2022 Clause 8.16 und NIST SP 800-137 abgeleitet ist: Baseline-Definition als Referenzrahmen, Auswahl und Konfiguration der Detection-Logik (signaturbasiert und anomaliebasiert), Triage und Klassifikation erkannter Ereignisse sowie strukturierte Reaktion und Lessons-Learned-Integration. Erst das Zusammenspiel aller vier Schritte ermöglicht eine Anomalieerkennung, die die regulatorischen Anforderungen von NIS-2 und ISO 27001:2022 Annex A 8.16 erfüllt.

1
Schritt 1: Baseline-Definition (Normalzustand etablieren) Bevor Anomalien erkannt werden können, muss der Normalzustand des zu überwachenden Systems, Netzwerks oder Nutzerverhaltens definiert und dokumentiert werden. ISO/IEC 27002:2022 Clause 8.16 fordert explizit, dass Organisationen ein fundiertes Verständnis regulären Nutzer- und Netzwerkverhaltens entwickeln, indem Netzwerknutzung und Zugriffsmuster während normaler Geschäftszeiten erfasst werden. NIST SP 800-137 operationalisiert dies über die Definition von Security-Metriken und Monitoring-Frequenzen: Welche Parameter werden gemessen (Netzwerk-Traffic-Volumen, Verbindungsanzahl, Login-Frequenzen, Zugriffszeiten, CPU/Memory-Last)? In welchem Rhythmus werden sie erfasst? Praxis-Empfehlung: Für verhaltensbasierte Anomalieerkennung (UEBA) sind 60 bis 90 Tage Datenerfassung über vollständige Geschäftszyklen erforderlich, um saisonale Muster, Rollenänderungen und Schichtbetrieb abzudecken. BSI DER.1.A5 und DER.1.A6 verlangen, dass Protokollierungsdaten möglichst vollständig und zeitnah überwacht sowie relevante Ereignisse zentral erfasst werden.
2
Schritt 2: Detection-Logik konfigurieren (Signatur + Anomalie) ISO/IEC 27002:2022 Clause 8.16 und NIST SP 800-94 empfehlen eine kombinierte Detection-Strategie: Signaturbasierte Erkennung (Signature-based Detection) gleicht beobachtetes Verhalten gegen eine Datenbank bekannter Angriffsmuster ab. Sie ist präzise und produziert wenige False Positives, erkennt jedoch keine unbekannten Angriffe. Anomaliebasierte Erkennung (Anomaly-based Detection) identifiziert Abweichungen von der definierten Baseline. Sie kann auch unbekannte Angriffsmuster (Zero-Day-Exploits) erkennen, weist aber strukturell höhere False-Positive-Raten auf, die durch Tuning reduziert werden müssen. Statusbehaftete Protokollanalyse (Stateful Protocol Analysis) prüft Protokolle auf Abweichungen von akzeptierten Verhaltensstandards und ermöglicht die Erkennung protokollspezifischer Anomalien. BSI DER.1.A9 fordert den Einsatz zusätzlicher Detektionssysteme (IDS/IPS) als Standardanforderung. MITRE ATT&CK v16 liefert Detection Analytics für Taktiken und Techniken, die als Referenz für die Konfiguration von Detection-Regeln dienen: Jede Technik des Frameworks beschreibt beobachtbare Verhaltensmuster (Observables), die in SIEM-Regeln überführt werden können.
3
Schritt 3: Triage und Klassifikation (Anomalie bewerten) Nicht jede erkannte Anomalie ist ein Sicherheitsvorfall. Nach ISO/IEC 27002:2022 Clause 8.16 sind geeignete Maßnahmen zur Bewertung potenzieller Sicherheitsvorfälle zu ergreifen. Der Triage-Prozess klassifiziert jede Anomalie in drei Kategorien: True Positive (TP) als echte, sicherheitsrelevante Abweichung, die als Sicherheitsereignis oder -vorfall eingestuft wird; False Positive (FP) als erkannte, aber legitime Aktivität (z.B. Massenmailing durch Marketing-Kampagne, nächtlicher Backup-Prozess); False Negative (FN) als echter Angriff, der nicht als Anomalie erkannt wurde (Detektionslücke). NIST SP 800-94 beschreibt False Positives als strukturelle Schwäche anomaliebasierter Systeme: Sie entstehen, wenn legitimes, aber ungewöhnliches Verhalten die Baseline-Schwellenwerte überschreitet. Das Triage-Verfahren muss dokumentiert, wiederholbar und an klare Eskalationswege geknüpft sein. BSI DER.1.A3 fordert definierte Meldewege für sicherheitsrelevante Ereignisse als Basisanforderung. NIS-2 Artikel 21 Absatz 2 Buchstabe b verlangt, dass Rollen und Verantwortlichkeiten für die Analyse von Sicherheitsvorfällen klar definiert sind.
4
Schritt 4: Reaktion und Lessons Learned (Detection verbessern) Nach der Triage folgt die strukturierte Reaktion: Bei True Positives wird der Incident-Response-Prozess ausgelöst (ISO/IEC 27001:2022 Annex A 5.26, BSI DER.2.1). Bei False Positives wird die Detection-Logik angepasst, um zukünftige Fehlalarme zu reduzieren (Tuning). Bei identifizierten False Negatives werden Detektionslücken geschlossen und neue Regeln entwickelt. NIST SP 800-137 betont den kontinuierlichen Charakter von ISCM (Information Security Continuous Monitoring): Monitoring-Ergebnisse fließen in regelmäßige Risikobewertungen zurück und aktualisieren den Security-Status der Organisation. ISO/IEC 27001:2022 Clause 10.2 (Continual Improvement) verpflichtet zur laufenden Verbesserung des ISMS, wozu die regelmäßige Überprüfung und Anpassung von Detection-Regeln anhand neuer Bedrohungsinformationen aus MITRE ATT&CK-Updates, ENISA Threat Landscape und BSI CERT-Bund-Warnmeldungen gehört. BSI DER.1.A12 (Auswertung externer Informationsquellen) fordert als Standardanforderung die Integration externer Threat-Intelligence-Quellen in den Detektionsprozess.

ISO/IEC 27002:2022 Clause 8.16 fordert, dass Monitoring-Tools große Datenvolumina verarbeiten, auf verdächtige Muster reagieren und Echtzeit-Alerts mit minimalen False Positives liefern können; ein Tuning-Prozess, der nach Einführung von Anomalieerkennung typischerweise drei bis sechs Monate kontinuierlicher Anpassung erfordert, bevor die Detection-Qualität für einen SOC-Betrieb produktiv tauglich ist.

Abgrenzung zu verwandten Begriffen

Begriff Fokus Verhältnis zu Anomalie
Indicator of Compromise (IoC) Konkretes, bekanntes Artefakt oder Muster, das auf eine bereits erfolgte Kompromittierung hindeutet (z.B. Hash-Wert einer Malware-Datei, bekannte C2-IP-Adresse, spezifisches Registry-Key-Muster). Eine Anomalie ist eine Abweichung vom Normalzustand, die möglicherweise auf ein Problem hindeutet; sie kann auch eine legitime Ursache haben. Ein IoC ist ein spezifisches, bekanntes Zeichen einer Kompromittierung mit wesentlich höherer Spezifität. ISO/IEC 27002:2022 Clause 8.16 nennt IoCs als eine Klasse von Monitoring-Zielobjekten neben anomalem Verhalten. In der SOC-Praxis: Anomalien werden durch anomaliebasierte Detection gefunden, IoCs durch signaturbasierte Detection. Eine erkannte Anomalie kann während der Triage auf IoCs geprüft werden, um die Klassifikation zu schärfen.
Sicherheitsvorfall (Security Incident) Ein eingetretenes Ereignis, das die Vertraulichkeit, Integrität oder Verfügbarkeit von Informationen oder Informationssystemen tatsächlich beeinträchtigt oder wahrscheinlich beeinträchtigen wird (ISO/IEC 27000:2018 Clause 3.31). Die Anomalie ist der Signalvorgänger des Sicherheitsvorfalls. Nicht jede Anomalie ist ein Sicherheitsvorfall; erst nach der Triage und Klassifikation als True Positive wird aus einer Anomalie ein Sicherheitsereignis, das möglicherweise zum Sicherheitsvorfall eskaliert. ISO/IEC 27002:2022 Clause 8.16 beschreibt diesen Übergang explizit: Nach Erkennung einer Anomalie sind geeignete Maßnahmen zur Bewertung potenzieller Informationssicherheitsvorfälle zu ergreifen. Die Anomalie ist Eingangsgröße des Incident-Management-Prozesses, nicht der Vorfall selbst.
False Positive Eine als Anomalie erkannte, aber nach Triage-Untersuchung als legitim eingestufte Aktivität, die keinen Sicherheitsvorfall darstellt. Der False Positive ist das primäre Qualitätsproblem anomaliebasierter Detection-Systeme. NIST SP 800-94 beschreibt ihn als strukturelle Schwäche: Anomaliebasierte Systeme produzieren mehr False Positives als signaturbasierte Systeme, weil legitimes, aber ungewöhnliches Verhalten Baseline-Schwellenwerte überschreiten kann. Ein hoher False-Positive-Anteil führt zu Alert-Fatigue im SOC und verringert die tatsächliche Sicherheitswirkung der Detection. Der False Positive ist damit ein Messkriterium für die Qualität der Baseline-Definition und der Detection-Konfiguration.

Typische Fehler und wie ihr sie vermeidet

  • Baseline nicht aktuell gehalten: Eine Baseline wird bei der initialen Einführung des Monitoring-Systems einmalig erfasst und danach nicht aktualisiert. Mit der Zeit veraltet die Baseline: neue Systeme, geänderte Geschäftsprozesse, veränderte Arbeitszeiten und neue Anwendungen führen dazu, dass legitimes Verhalten als Anomalie erkannt wird (False Positives) und echte Angriffe im Rauschen der veralteten Baseline unsichtbar werden. ISO/IEC 27002:2022 Clause 8.16 verlangt, dass Monitoring-Systeme die Überwachung basierend auf Risikoniveauveränderungen anpassen können. NIST SP 800-137 betont den kontinuierlichen Charakter von ISCM: Baselines sind keine statischen Referenzwerte, sondern müssen regelmäßig gegen aktuelle Betriebsdaten kalibriert werden.
  • Jede Anomalie als Sicherheitsvorfall behandeln: Ohne definierten Triage-Prozess wird jeder erkannte Alert als Sicherheitsvorfall eskaliert. Das Ergebnis ist strukturelle Überlastung des SOC-Teams durch Alert-Fatigue. Untersuchungen aus dem SOC-Umfeld zeigen, dass in manchen Umgebungen bis zu 83 Prozent aller Alerts False Positives sind. ISO/IEC 27002:2022 Clause 8.16 fordert explizit geeignete Maßnahmen zur Bewertung potenzieller Informationssicherheitsvorfälle nach Erkennung einer Anomalie. BSI DER.1.A3 verlangt als Basisanforderung definierte Meldewege, die implizit eine Klassifikationsstufe zwischen Detection und Eskalation voraussetzen. Ohne Triage-Prozess verfehlt die Anomalieerkennung ihren Zweck.
  • Anomalieerkennung ohne ausreichendes SOC-Personal betreiben: Anomaliebasierte Detection-Systeme generieren Alerts, die menschliche Interpretation erfordern. Eine technische Lösung ohne qualifiziertes Personal, das Alerts bewertet, priorisiert und reagiert, ist wirkungslos. BSI DER.1.A7 (Standard-Anforderung: Schulung zuständiger Mitarbeitender) und DER.1.A9 (Einsatz zusätzlicher Detektionssysteme) setzen qualifiziertes Personal als Voraussetzung voraus. NIS-2 Artikel 21 Absatz 2 Buchstabe b fordert definierte Rollen und Verantwortlichkeiten für die Erkennung und Analyse von Sicherheitsvorfällen. Eine Anomalieerkennung ohne klare Personalverantwortung entspricht weder den BSI-Anforderungen noch dem NIS-2-Rahmen.
  • ML-basierte Anomalieerkennung ohne Erklärbarkeit einsetzen: Machine-Learning-basierte Anomalieerkennung (insbesondere unüberwachtes Lernen und Deep-Learning-Modelle) kann statistisch präzise sein, liefert jedoch häufig keine menschlich nachvollziehbare Erklärung, warum ein Ereignis als Anomalie klassifiziert wurde. Das führt dazu, dass SOC-Analysten Alerts nicht bewerten oder priorisieren können und entweder alles eskalieren oder alles ignorieren. NIST SP 800-94 betont, dass Anomalie-Detection-Systeme ihren Wert erst dann entfalten, wenn Analysten die Ausgabe interpretieren und handeln können. Im regulatorischen Kontext von ISO 27001:2022 und NIS-2 müssen Entscheidungen im Incident-Response-Prozess dokumentiert und nachvollziehbar sein, was nicht erklärbare ML-Outputs strukturell erschwert.

Relevanz im regulatorischen Kontext

ISO/IEC 27001:2022 hat mit Annex A Control 8.16 (Monitoring Activities) erstmalig eine explizite Anforderung zur Überwachung auf anomales Verhalten in den normativen Rahmen aufgenommen. Das Control existiert in der Vorgängerversion ISO 27001:2013 nicht und reflektiert die gestiegene Bedeutung proaktiven Monitorings für ein wirksames ISMS. ISO/IEC 27002:2022 Clause 8.16 liefert die Implementierungsanleitung: Organisationen müssen den Monitoring-Umfang in Übereinstimmung mit Geschäftsanforderungen und Informationssicherheitsanforderungen sowie unter Berücksichtigung relevanter Gesetze und Vorschriften bestimmen. Das schließt eingehenden und ausgehenden Netzwerkverkehr, Zugriffe auf kritische Systeme, Konfigurationsdateien und Protokolle von Sicherheits-Tools (Antivirenprogramme, IDS, IPS, Web-Filter, Firewalls) ein. Für ISO-27001-Audits muss nachgewiesen werden, dass Baselines definiert, Monitoring-Systeme im Betrieb sind und Anomalien in einen definierten Bewertungsprozess überführt werden.

NIS-2 (Richtlinie EU 2022/2555) schärft die Monitoring-Anforderungen für wesentliche und wichtige Einrichtungen erheblich. Artikel 21 Absatz 2 Buchstabe b fordert ein umfassendes Konzept für die Bewältigung von Sicherheitsvorfällen mit definierten Rollen, Verantwortlichkeiten und Verfahren zur zeitnahen Erkennung. Anomalieerkennung ist die technische Grundvoraussetzung für die geforderte Erkennungsgeschwindigkeit. Die NIS-2-Durchführungsverordnung (Implementing Regulation gemäß Artikel 21 Absatz 5) konkretisiert technische und methodische Anforderungen an die in Artikel 21 Absatz 2 genannten Maßnahmen weiter. Für den deutschen Rechtsraum setzt das NIS2UmsuCG (BSI-Gesetz-Novelle) die Richtlinie um. BSI IT-Grundschutz Baustein DER.1 Edition 2023 bildet die methodische Referenz für die Umsetzung: Fünf Basisanforderungen (DER.1.A1 bis DER.1.A5) sind für alle IT-Grundschutz-Anwender verbindlich, acht Standardanforderungen (DER.1.A6 bis DER.1.A13) gelten als normaler Schutzbedarf. Organisationen, die NIS-2 unterliegen, müssen mindestens den Standardanforderungen des DER.1 entsprechen.

Häufige Fragen

Was unterscheidet anomaliebasierte von signaturbasierter Erkennung, und wann ist welcher Ansatz geeignet?
Signaturbasierte Erkennung (Signature-based Detection) gleicht beobachtetes Verhalten gegen eine Datenbank bekannter Angriffsmuster ab. Sie ist sehr präzise, produziert wenige False Positives und ist einfach zu interpretieren, kann aber ausschließlich bekannte Angriffe erkennen. Sie ist geeignet, wenn der Schutz vor bekannten Bedrohungen im Vordergrund steht und ein regelmäßig aktualisierter Signaturbestand verfügbar ist. Anomaliebasierte Erkennung (Anomaly-based Detection) nach NIST SP 800-94 vergleicht aktuelles Verhalten mit einer definierten Baseline und identifiziert statistisch signifikante Abweichungen. Sie kann auch bisher unbekannte Angriffe (Zero-Day-Exploits, neue Varianten) erkennen, produziert jedoch strukturell mehr False Positives und erfordert eine sorgfältig gepflegte Baseline sowie qualifiziertes SOC-Personal für die Triage. ISO/IEC 27002:2022 Clause 8.16 empfiehlt den kombinierten Einsatz beider Methoden in einem SIEM-System, das beide Erkennungsschichten integriert.
Welche Anforderungen stellt ISO 27001:2022 an den Nachweis einer wirksamen Anomalieerkennung im Audit?
Im ISO-27001:2022-Audit muss für Annex A Control 8.16 (Monitoring Activities) nachgewiesen werden, dass erstens eine definierte Baseline für das normale Verhalten von Netzwerken, Systemen und Anwendungen existiert und dokumentiert ist; zweitens Monitoring-Systeme im operativen Betrieb sind und Logs aus relevanten Quellen erfassen (Netzwerkverkehr, Systemzugriffe, Sicherheits-Tool-Protokolle); drittens ein definierter Prozess existiert, nach dem erkannte Anomalien bewertet und klassifiziert werden; viertens Anomalien in den Incident-Management-Prozess (Annex A 5.26) überführt werden können. Auditor-Nachweise sind typischerweise: SIEM-Dashboard-Auszüge, Alert-Logs mit Triage-Dokumentation, definierte Eskalationswege aus dem Incident-Response-Plan sowie Nachweise zur Baseline-Kalibrierung.
Wie ist Anomalieerkennung nach NIS-2 verpflichtend und welche Einrichtungen sind betroffen?
NIS-2 (Richtlinie EU 2022/2555) gilt für wesentliche Einrichtungen (Essential Entities) und wichtige Einrichtungen (Important Entities), die in den Anhängen I und II der Richtlinie nach Sektoren und Größenkriterien bestimmt werden. Artikel 21 Absatz 2 Buchstabe b verpflichtet diese Einrichtungen zu einem Konzept für die Bewältigung von Sicherheitsvorfällen, das explizit Verfahren zur zeitnahen Erkennung umfasst. Anomaliebasiertes Monitoring ist die praktische Umsetzung dieser Erkennungspflicht. Deutschland hat die Richtlinie durch das NIS2UmsuCG ins nationale Recht überführt, wobei das BSI als zuständige Aufsichtsbehörde fungiert. Für wesentliche Einrichtungen gelten strengere Aufsichtsregeln einschließlich proaktiver Überprüfungen, für wichtige Einrichtungen anlassbezogene Kontrollen. Bußgelder bei Nichterfüllung: bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes für wesentliche Einrichtungen.

Quellen & weiterführende Literatur

  1. ISO/IEC 27001:2022, Information security, cybersecurity and privacy protection: Information security management systems, Requirements. Annex A Control 8.16 Monitoring Activities.
  2. ISO/IEC 27002:2022, Information security, cybersecurity and privacy protection: Information security controls. Clause 8.16 Monitoring Activities (Baseline-Definition, Anomalous Behaviour, Monitoring Scope).
  3. NIST SP 800-94, Guide to Intrusion Detection and Prevention Systems (IDPS), Karen Scarfone und Peter Mell (Februar 2007). Chapter 2: drei Detection-Methoden (Signature-based, Anomaly-based, Stateful Protocol Analysis).
  4. NIST SP 800-137, Information Security Continuous Monitoring (ISCM) for Federal Information Systems and Organizations (September 2011). Definition ISCM, Metriken, Monitoring-Frequenzen.
  5. BSI IT-Grundschutz-Kompendium Edition 2023, Baustein DER.1 Detektion von sicherheitsrelevanten Ereignissen. Basisanforderungen DER.1.A1 bis DER.1.A5, Standardanforderungen DER.1.A6 bis DER.1.A13.
  6. Richtlinie (EU) 2022/2555 (NIS-2), Artikel 21 Absatz 2 Buchstabe b: Konzept für die Bewältigung von Sicherheitsvorfällen einschließlich zeitnaher Erkennung.
  7. MITRE ATT&CK Enterprise Matrix v16. Taktiken, Techniken und Detection Analytics als Referenz für verhaltensbasierte Anomalieerkennung im SOC.
  8. ENISA Threat Landscape 2024 (12. Ausgabe, Oktober 2024). Sieben Hauptbedrohungskategorien: Angriffe auf Verfügbarkeit, Ransomware, Angriffe auf Daten und ihre spezifischen Anomaliemuster.