Inhaltsverzeichnis
- Übersicht der Security-Anbindungen
- ISMS – Information Security Management System
- SIEM – Security Information & Event Management
- SOC – Security Operations Center Integration
- EDR/XDR – Endpoint Detection & Response
- DLP – Data Loss Prevention
- Vulnerability Management
- BCMS – Business Continuity Management
- Threat Intelligence
- Security-Tool-Landschaft
1. Übersicht der Security-Anbindungen
Das Self-Help Portal muss als zentrale Steuerungseinheit nahtlos an alle bestehenden und geplanten Security-Systeme angeschlossen werden.
Security Integration Map
┌──────────────────┐
│ SELF-HELP │
│ SERVICE PORTAL │
└────────┬─────────┘
│
┌────────────────────┼────────────────────┐
│ │ │
┌────▼─────┐ ┌────────▼───────┐ ┌──────▼───────┐
│ ISMS │ │ SIEM/SOC │ │ IAM/PAM │
│ ISO27001 │ │ SIEM Add-on │ │ Active Dir.+ │
│ BSI IT- │ │ (Elastic- │ │ CyberArk + │
│ Grundsch.│ │ search, │ │ Vault │
│ │ │ On-Premises) │ │ │
└────┬─────┘ └────────┬───────┘ └──────┬───────┘
│ │ │
┌────▼─────┐ ┌────────▼───────┐ ┌──────▼───────┐
│ GRC │ │ EDR/XDR │ │ DLP │
│ Risk & │ │ Microsoft │ │ Information │
│ Compli- │ │ Defender for │ │ Protection │
│ ance │ │ Endpoint │ │ (Purview) │
└────┬─────┘ └────────┬───────┘ └──────┬───────┘
│ │ │
┌────▼─────┐ ┌────────▼───────┐ ┌──────▼───────┐
│ BCMS │ │ Vulnerability │ │ NDR/NTA │
│ Business │ │ Management │ │ Network │
│ Continu- │ │ Qualys/Nessus │ │ Detection & │
│ ity │ │ + Trivy │ │ Response │
└──────────┘ └───────────────┘ └──────────────┘
2. ISMS – Information Security Management System
Das Portal wird zum operativen Werkzeug des ISMS. Es bildet die prozessualen Anforderungen nach ISO 27001 und BSI IT-Grundschutz technisch ab.
2.1 ISO 27001 Control-Mapping auf Portal-Module
| ISO 27001 Annex A | Control-Bereich | Portal-Modul | Umsetzung |
|---|---|---|---|
| A.5 | Informationssicherheitsrichtlinien | M4 Governance | Policy Management, Versionierung, Acknowledgement |
| A.6 | Organisation der Informationssicherheit | M4 Governance | Rollen, Verantwortlichkeiten, Kontaktmanagement |
| A.7 | Personalsicherheit | M1 Tickets + M3 Security | Onboarding-Security-Checkliste, Offboarding-Workflow |
| A.8 | Asset Management | M9 Asset Mgmt | CMDB, Klassifizierung, Lifecycle |
| A.9 | Zugangssteuerung | M3 Security (IAM/PAM) | Access Requests, Reviews, RBAC, JIT |
| A.10 | Kryptographie | M11 Admin | Vault Secret Management, Certificate Tracking |
| A.11 | Physische Sicherheit | M1 Tickets | Zutrittskontroll-Anfragen als Service Request |
| A.12 | Betriebssicherheit | M7 Automation + M1 Tickets | Change Management, Patch Management, Backup Monitoring |
| A.13 | Kommunikationssicherheit | M3 Security | Firewall-Regel-Anfragen, Netzwerk-Segmentierung |
| A.14 | Systemerwerb/-entwicklung | M10 Change Mgmt | Change Requests, Security Reviews |
| A.15 | Lieferantenbeziehungen | M4 Governance | Vendor Risk Management, Third-Party Access |
| A.16 | Umgang mit Sicherheitsvorfällen | M3 Security | Incident Response Workflow, SIEM-Integration |
| A.17 | Business Continuity | M4 Governance | DR-Testing, BIA-Dokumentation |
| A.18 | Compliance | M4 Governance | Audit Management, Compliance Dashboard |
2.2 ISMS-Dashboard im Portal
ISMS Management Dashboard
Zertifizierung: ISO 27001:2022 Letztes Audit: 2026-01-15 Nächstes Surveillance Audit: 2026-07-15 ISMS-Scope: IT-Services HAFS Control Implementation Status ───────────────────────────── Implemented: 89/114 (78%) ████████████░░░ Partially: 18/114 (16%) ████░░░░░░░░░░░ Not Applicable: 5/114 (4%) █░░░░░░░░░░░░░░ Not Implemented: 2/114 (2%) ░░░░░░░░░░░░░░░ Quick Access: [Statement of Applicability (SoA)] [Risk Treatment Plan] [Internal Audit Schedule] [Management Review Minutes] [Corrective Actions (CAPAs)] [KPI Report]
2.3 ISMS-Prozesse im Portal
| ISMS-Prozess | Portal-Abbildung |
|---|---|
| Risk Assessment | Risk Register (M4) mit AI-gestützter Bewertung |
| Risk Treatment | Maßnahmen als Tickets mit Tracking & Deadline |
| Internal Audit | Audit-Modul: Planung, Durchführung, Findings, CAPAs |
| Management Review | Automatisierter Report-Generator, KPI-Dashboard |
| Incident Management | Security Incident Workflow (M3) mit SIEM-Anbindung |
| Continual Improvement | CAPA-Tracking, Lessons Learned, Trend-Analyse |
| Document Control | Policy Management (M4) mit Versionierung & Review-Cycle |
| Awareness & Training | Security Awareness Modul, Training-Tracking |
| Supplier Management | Vendor Risk Assessment, Third-Party Access Reviews |
| Asset Management | CMDB mit Klassifizierung und Verantwortlichkeiten |
2.4 BSI IT-Grundschutz Ergänzung
| BSI-Baustein | Portal-Umsetzung |
|---|---|
| ORP: Organisation & Personal | Rollen-Management, Schulungstracking |
| CON: Konzeption & Vorgehensweise | Policy-Templates, Schutzbedarfsfeststellung |
| OPS: Betrieb | Ticket-System, Change Management, Patch Management |
| DER: Detektion & Reaktion | SIEM-Integration, Incident Response, Forensik-Support |
| APP: Anwendungen | Software-Katalog, Schwachstellen-Tracking |
| SYS: IT-Systeme | Asset Management, Konfigurationsdokumentation |
| IND: Industrielle IT | N/A (nicht relevant für HAFS) |
| NET: Netze | Netzwerk-Dokumentation, Firewall-Rule-Management |
| INF: Infrastruktur | RZ-Zugangsmanagement, Zutritts-Tickets |
3. SIEM – Security Information & Event Management
Das SIEM wird vollständig On-Premises über das SIEM Add-on (siehe Dokument 12) betrieben. Die Basis bildet ein Elasticsearch-Cluster mit Kibana-Dashboards und einer eigenentwickelten Alert Engine.
SIEM Architecture (On-Premises)
┌─── Log-Quellen ──────────────────────────────────────────┐
│ │
│ On-Premises Infrastruktur Cloud-Dienste │
│ ───────────────────────── ────────────── │
│ • Active Directory Logs • Office 365 Audit │
│ • Windows Event Logs Logs (Graph API) │
│ • Kubernetes Audit Logs • Defender for │
│ • PostgreSQL Audit Logs Endpoint Alerts │
│ • Vault Audit Logs │
│ • Application Logs (Portal) │
│ • Firewall Logs │
│ • Proxy Logs │
│ • DNS Logs │
│ • DHCP Logs │
│ • CyberArk PAM Logs │
│ • Endpoint Logs │
│ • Mail Gateway Logs │
└───────────────────────┬───────────────────────────────────┘
▼
┌── SIEM ADD-ON (Elasticsearch-basiert, On-Premises) ──────┐
│ Details siehe Dokument 12 │
│ │
│ ┌──────────┐ ┌──────────┐ ┌────────────────────────┐ │
│ │ Log │ │ Detect- │ │ Alert Engine + │ │
│ │ Ingest │ │ ion │ │ Playbooks │ │
│ │ Pipe- │ │ Rules │ │ │ │
│ │ lines │ │ │ │ • Auto-Ticket im Portal│ │
│ │ │ │ • 200+ │ │ • Auto-Block User │ │
│ │ • Beats │ │ Custom │ │ • Auto-Isolate Device │ │
│ │ • Logst. │ │ • ML- │ │ • Auto-Enrich Incident │ │
│ │ • Syslog │ │ basiert│ │ • Auto-Notify Team │ │
│ └──────────┘ └──────────┘ └────────────────────────┘ │
│ │
│ ┌──────────┐ ┌──────────┐ ┌────────────────────────┐ │
│ │ Incident │ │ Kibana │ │ Threat Intelligence │ │
│ │ Manage- │ │ Dash- │ │ │ │
│ │ ment │ │ boards │ │ • CERT-Bund Feeds │ │
│ │ │ │ │ │ • MISP Integration │ │
│ │ → Portal │ │ │ │ • Custom IoCs │ │
│ │ Sync │ │ │ │ • Industry Feeds │ │
│ └──────────┘ └──────────┘ └────────────────────────┘ │
└───────────────────────┬───────────────────────────────────┘
▼
┌── Langzeit-Archivierung (On-Premises) ───────────────────┐
│ • Cold/Frozen Tier in Elasticsearch │
│ • Index Lifecycle Management (ILM) │
│ • Retention: Hot 30 Tage, Warm 90 Tage, Cold 1 Jahr │
│ • Compliance-Archiv: Bis zu 10 Jahre (regulatorisch) │
└───────────────────────────────────────────────────────────┘
3.1 SIEM Add-on → Portal Integration
| Event im SIEM Add-on | Automatische Portal-Aktion |
|---|---|
| High Severity Alert | Security-Ticket (P1) erstellen, On-Call benachrichtigen |
| Anomale Login-Aktivität | Security-Ticket (P2), Account-Review triggern |
| Malware Detection | Security-Ticket (P1), Isolierung empfehlen |
| Policy Violation | Governance-Ticket, Compliance-Officer informieren |
| Brute Force Attempt | Auto-Block + Security-Ticket (P2) |
| Data Exfiltration Alert | Security-Ticket (P1), DLP-Team + CISO benachrichtigen |
| Privileged Account Anomaly | PAM-Review triggern, Security-Ticket (P2) |
| Phishing Campaign Detected | Mass-Notification, KB-Artikel aktualisieren |
3.2 Portal → SIEM Add-on Integration
| Portal-Event | SIEM-Log |
|---|---|
| User Login | Authentication Event (Success/Failure) |
| Permission Change | IAM Event (Grant/Revoke) |
| PAM Session | Privileged Access Event |
| Security Ticket | Security Incident Event |
| Admin Action | Administrative Event |
| Policy Change | Configuration Change Event |
| AI Decision | AI Audit Event |
| Data Export | Data Access Event |
3.3 Detection Rules (Beispiele)
SIEM Add-on Detection Rules
Rule: "Impossible Travel - Portal Access"
─────────────────────────────────────────
Trigger: Login von 2 verschiedenen Geo-Locations
innerhalb unmöglicher Reisezeit
Action: Security-Ticket (P2), MFA erzwingen
Rule: "Mass Permission Request"
─────────────────────────────────
Trigger: > 10 Berechtigungsanfragen von einem User in 1h
Action: Security-Ticket (P2), Alle Requests pausieren
Rule: "Off-Hours Admin Activity"
───────────────────────────────
Trigger: Admin-Aktion außerhalb Geschäftszeiten
Action: Security-Ticket (P3), Manager benachrichtigen
Rule: "Portal AI Abuse Detection"
─────────────────────────────────
Trigger: Ungewöhnliche Chatbot-Nutzung (Prompt Injection)
Action: Security-Ticket (P2), AI-Gateway Alert
Rule: "Bulk Data Export"
────────────────────────
Trigger: Export von > 1000 Datensätzen
Action: Security-Ticket (P3), DLP-Check
Rule: "Kubernetes Anomaly Detection"
─────────────────────────────────────
Trigger: Ungewöhnliche Pod-Erstellung, Privilege Escalation
Action: Security-Ticket (P1), Container-Isolation prüfen
4. SOC – Security Operations Center Integration
SOC Workflow über Portal
SIEM Add-on Alert
│
▼
┌────────────────┐
│ Alert Engine │
│ + Playbook │
│ (SIEM Add-on) │
└───────┬────────┘
│
├──► Auto-Enrichment (IP, User, Device, Geo)
├──► Auto-Ticket im Portal (Security Incident)
├──► Auto-Containment (bei High Severity)
└──► SOC-Analyst Benachrichtigung
│
▼
┌─── PORTAL: SECURITY INCIDENT WORKSPACE ──────────────┐
│ │
│ ┌─── Incident Details ────────────────────────┐ │
│ │ ID: SEC-2026-0042 │ │
│ │ Type: Anomalous Login Activity │ │
│ │ Severity: High │ │
│ │ Status: Investigating │ │
│ │ Assigned: SOC Analyst Team │ │
│ └─────────────────────────────────────────────┘ │
│ │
│ ┌─── AI Enrichment ──────────────────────────┐ │
│ │ • User: max.mueller@hafs.de │ │
│ │ • Unusual Location: Bukarest, RO │ │
│ │ • Normal Location: Frankfurt, DE │ │
│ │ • Risk Score: 87/100 │ │
│ │ • Similar Incidents: 2 (in letzten 30 Tagen│ │
│ │ von anderen Usern) │ │
│ │ • AI Recommendation: Account sperren, │ │
│ │ MFA Token zurücksetzen │ │
│ └─────────────────────────────────────────────┘ │
│ │
│ ┌─── Actions ────────────────────────────────┐ │
│ │ [Account sperren] [MFA Reset] │ │
│ │ [Session terminieren] [Forensik starten] │ │
│ │ [Eskalieren] [Containment aufheben] │ │
│ └─────────────────────────────────────────────┘ │
│ │
│ ┌─── Timeline ───────────────────────────────┐ │
│ │ 14:30 - Alert generated (SIEM Add-on) │ │
│ │ 14:30 - Auto-Ticket created (Portal) │ │
│ │ 14:31 - Auto-Enrichment completed │ │
│ │ 14:32 - SOC Analyst assigned │ │
│ │ 14:35 - Investigation started │ │
│ │ 14:40 - Account temporarily suspended │ │
│ │ ... │ │
│ └─────────────────────────────────────────────┘ │
└───────────────────────────────────────────────────────┘
4.1 SOC-KPIs im Portal
| KPI | Beschreibung | Ziel |
|---|---|---|
| MTTD | Mean Time to Detect | < 15 min |
| MTTR | Mean Time to Respond | < 30 min |
| MTTC | Mean Time to Contain | < 2h |
| False Positive Rate | % der falschen Alarme | < 20% |
| Incidents auto-resolved | % der automatisch gelösten Incidents | > 30% |
| Incidents via Portal gemeldet | % der Meldungen über Portal | > 80% |
5. EDR/XDR – Endpoint Detection & Response
Microsoft Defender for Endpoint bleibt als Endpoint-Agent auf allen Clients und Servern bestehen (Teil der M365 E5-Lizenz). Die Alerts werden über die API an das SIEM Add-on und das Portal weitergeleitet.
Endpoint Detection & Response Integration
┌────────────────┐ ┌────────────────┐
│ Defender for │ │ Defender for │
│ Endpoint │ │ Identity │
│ │ │ │
│ • EDR │ │ • AD-Monitor │
│ • Threat & │ │ • Lateral │
│ Vuln Detect │ │ Movement │
│ • Attack │ │ • Credential │
│ Surface │ │ Theft │
│ Reduction │ │ Detection │
└───────┬────────┘ └───────┬────────┘
│ │
└────────┬───────────┘
▼
┌──────────────────┐
│ SIEM Add-on │ ◄── Alerts via API / Syslog
│ (Elasticsearch) │
└────────┬─────────┘
│
▼
┌──────────────────┐
│ HAFS Self-Help │
│ Portal │
│ │
│ • Alerts anzeigen│
│ • Incidents sync │
│ • Device Status │
│ • Vuln Dashboard │
└──────────────────┘
5.1 EDR → Portal Automatisierung
| EDR-Event | Portal-Aktion |
|---|---|
| Malware Detected | P1-Ticket, Device-Quarantäne empfehlen, User informieren |
| Suspicious Process | P2-Ticket, Investigation starten |
| Tamper Protection Alert | P1-Ticket, SOC sofort benachrichtigen |
| High Risk Device | Netzwerk-Zugang einschränken, Ticket erstellen |
| Vulnerability Found (Critical) | Auto-Ticket für Patch-Management |
6. DLP – Data Loss Prevention
Microsoft Purview bleibt als DLP-Lösung bestehen (Teil der M365 E5-Lizenz). DLP-Events werden über die API an das SIEM Add-on weitergeleitet.
DLP Integration (Microsoft Purview)
┌─── Microsoft Purview ───────────────────────────────┐
│ │
│ Sensitivity Labels: │
│ • Public → Keine Einschränkung │
│ • Internal → Nur HAFS-Mitarbeiter │
│ • Confidential → Verschlüsselt, eingeschränkt │
│ • Highly Conf. → Verschlüsselt, streng limitiert │
│ │
│ DLP Policies: │
│ • Kreditkartennummern │
│ • IBAN-Nummern │
│ • Personenbezogene Daten (DSGVO) │
│ • Interne Finanzdaten │
│ • Source Code / Credentials │
└───────────────────────┬───────────────────────────────┘
│
▼
SIEM Add-on: DLP-Events als Log-Quelle
Portal-Integration:
• DLP-Violations als Security-Tickets
• Dashboard: DLP-Events pro Abteilung
• AI-Analyse: Absichtlich oder versehentlich?
• Automatische User-Benachrichtigung + Schulungshinweis
• Trend-Reporting für Compliance
7. Vulnerability Management (erweitert)
Das Vulnerability Management nutzt Qualys/Nessus für Infrastruktur-Scans und Trivy für Container-Images in der Kubernetes-Umgebung.
Vulnerability Management Integration
Scanner-Quellen:
┌──────────────┐ ┌──────────────┐ ┌──────────────────┐
│ Qualys / │ │ Trivy │ │ Dependency │
│ Nessus │ │ │ │ Scanning │
│ │ │ Container- │ │ │
│ Infrastruktur│ │ Image-Scans │ │ • OWASP Dep. │
│ + Endpoints │ │ in CI/CD + │ │ Check │
│ │ │ Runtime │ │ • Snyk / Grype │
│ (On-Prem + │ │ │ │ │
│ Scheduled) │ │ │ │ │
└──────┬───────┘ └──────┬───────┘ └────────┬─────────┘
│ │ │
└──────────────────┼────────────────────┘
▼
┌── PORTAL VULNERABILITY MODULE ────────────────────────┐
│ │
│ AI-Priorisierung: │
│ • CVSS Score │
│ • Exploitability (EPSS Score) │
│ • Asset Criticality (aus CMDB) │
│ • Internet Exposure │
│ • Compensating Controls vorhanden? │
│ • Known Exploits in the Wild? │
│ │
│ Automatische Aktionen: │
│ • Critical: P1-Ticket, 48h Deadline │
│ • High: P2-Ticket, 7 Tage Deadline │
│ • Medium: P3-Ticket, 30 Tage Deadline │
│ • Low: Tracking, kein Auto-Ticket │
│ │
│ SLA-Tracking: │
│ • Patch-Compliance Dashboard │
│ • Trend-Analyse (Vulns über Zeit) │
│ • Compliance-Report für Audit │
└────────────────────────────────────────────────────────┘
8. BCMS – Business Continuity Management
| BCMS-Element | Portal-Umsetzung |
|---|---|
| Business Impact Analysis (BIA) | Dokumentation und Tracking in Governance-Modul |
| Recovery Plans | Versionierte Dokumente, Test-Tracking |
| DR Tests | Geplant als Recurring Task, Ergebnisse dokumentiert |
| Crisis Communication | Notification-Service für Massen-Kommunikation |
| Incident Command | War Room Feature für Major Incidents |
| Post-Incident Review | Strukturierte Templates, Lessons Learned → KB |
8.1 Major Incident Management
Major Incident / War Room
Trigger: P1-Ticket mit > 10 betroffenen Nutzern
ODER manuell durch IT-Manager
┌─── War Room Features ────────────────────────────────┐
│ │
│ • Automatischer Teams-Channel erstellt │
│ • Alle relevanten Stakeholder eingeladen │
│ • Live-Status-Dashboard │
│ • Timeline (alle Aktionen dokumentiert) │
│ • Communication Templates (intern + ggf. extern) │
│ • Automatische Status-Updates alle 30 min │
│ • Impact-Tracking (betroffene User, Services) │
│ • Eskalations-Tracker │
│ • Post-Incident Review Template │
│ │
└───────────────────────────────────────────────────────┘
9. Threat Intelligence
Threat Intelligence wird über das SIEM Add-on zentral verarbeitet und korreliert.
| Quelle | Typ | Portal-Nutzung |
|---|---|---|
| CERT-Bund | Governmental | Automatische Warnungen bei relevanten Advisories |
| MISP | Open Source TI Platform | Automatischer IoC-Import ins SIEM Add-on |
| MITRE ATT&CK | Framework | Incident-Klassifizierung nach ATT&CK Tactics |
| Industry ISACs | Branchenspezifisch | Finance-Sector Threat Feeds |
| Custom IoCs | Intern | Eigene Indicators aus Incidents, gepflegt im SIEM Add-on |
| Abuse.ch / OTX | Community | Malware- und Botnet-Feeds |
9.1 Automatische Advisory-Verarbeitung
CERT-Bund Advisory Processing
Neues CERT-Bund Advisory
│
▼
┌──────────────────┐
│ AI Assessment │
│ │
│ • Relevanz für │──► Score: 0.85 (relevant)
│ HAFS prüfen │
│ • Betroffene │──► PostgreSQL, Kubernetes, Windows Server
│ Assets finden │
│ • Handlungs- │──► Patch verfügbar: Ja
│ empfehlung │
└──────┬───────────┘
│ Relevant + Handlungsbedarf
▼
┌──────────────────┐
│ Auto-Actions │
│ │
│ • Security- │──► Advisory-Ticket erstellt
│ Ticket │ Betroffene Assets verknüpft
│ • Notification │──► Security-Team informiert
│ • KB-Update │──► Advisory in Knowledge Base
│ • SIEM Add-on │──► IoCs automatisch importiert
└──────────────────┘
10. Security-Tool-Landschaft
HAFS Security Tool Landscape (On-Premises)
┌──────────────────────────────────────────────────────────┐
│ SELF-HELP SERVICE PORTAL │
│ (Zentrale Steuerung & Oberfläche) │
└──────────────────────┬───────────────────────────────────┘
│
┌──────────┬───────────┼───────────┬────────────┬──────────┐
│ │ │ │ │ │
▼ ▼ ▼ ▼ ▼ ▼
ISMS SIEM IAM PAM EDR DLP
(ISO (SIEM (Active (CyberArk/ (Defender (Pur-
27001) Add-on, Dir.) Vault) for End- view)
│ Elastic) │ │ point) │
▼ ▼ ▼ ▼ ▼ ▼
GRC Alert MFA/ Session NDR/NTA Sensi-
(Risk & Engine + RADIUS Recording (Network) tivity
Compl.) Playbooks + LDAP Labels
│ │ │ │ │ │
▼ ▼ ▼ ▼ ▼ ▼
Audit Threat SSO/ Vault Vuln Classi-
(Compli- Intel SAML (Secrets) Scanner fica-
ance) (MISP/ (Qualys/ tion
CERT-Bund) Trivy)
┌──────────────────────────────────────────────────────────┐
│ Cloud-Dienste (M365 E5): │
│ • Defender for Endpoint (Agent) │
│ • Microsoft Purview (DLP) │
│ • Office 365 Audit Logs (via Graph API) │
└──────────────────────────────────────────────────────────┘