Ohne Monitoring geht es nicht!

Das SIEM als Feuermelder der IT

| Autor / Redakteur: Eike Trapp / Peter Schmitz

Ein SIEM alleine kann Cyberangriffe nicht verhindern. Es übernimmt vielmehr die Rolle eines Feuermelders, indem es Alarm schlägt, wenn gesammelte Anzeichen auf einen Angriff hindeuten.
Ein SIEM alleine kann Cyberangriffe nicht verhindern. Es übernimmt vielmehr die Rolle eines Feuermelders, indem es Alarm schlägt, wenn gesammelte Anzeichen auf einen Angriff hindeuten. (Bild: Pixabay / CC0)

Ein Security Information and Event Management (SIEM) ist wie ein Feuermelder in der IT: Es schlägt bei verdächtigen Vorfällen Alarm. So können Sicherheitsverantwortliche Maßnahmen ergreifen, bevor großer Schaden entsteht.

Ohne IT geht in modernen Unternehmen nichts mehr. Sie bildet das Rückgrat für nahezu alle Geschäftsprozesse und ist daher auch für Cyberkriminelle ein äußerst attraktives Angriffsziel. Hacker denken sich immer ausgefeiltere Methoden aus, um Daten zu stehlen, Systeme zu sabotieren und Geld zu erpressen. Umso wichtiger ist es, die Unternehmens-IT richtig abzusichern. Diese komplexe Aufgabe lässt sich nur durch das Zusammenspiel von organisatorischen und technischen Maßnahmen umsetzen. Eine Schlüsselfunktion übernimmt dabei das Security Information and Event Management, kurz SIEM.

Ein SIEM sammelt Log-Dateien von verschiedenen Systemen innerhalb eines Netzwerks in einer zentralen Datenbank. Das können neben Security-Lösungen wie Firewalls oder Intrusion-Prevention-and-Detection-Systemen auch Server, Switches und Router sein. Jede dieser Einheiten liefert umfangreiche Informationen zu ihrem Status und zu aufgetretenen Ereignissen. Kommt es einmal zu einer Störung oder einem Sicherheitsvorfall, müssen Administratoren diese Daten auswerten. Dabei können sie umso mehr Erkenntnisse gewinnen, wenn sie die einzelnen Systeme nicht isoliert sondern insgesamt betrachten und so Zusammenhänge aufdecken. Genau dies ermöglicht ein SIEM. Sicherheitsverantwortliche haben damit alle wichtigen Informationen jederzeit auf einen Blick abrufbereit.

Vorfälle rückblickend und vorausschauend analysieren

Ein SIEM versetzt Administratoren in die Lage, Vorfälle zu analysieren und Ursachen auf den Grund zu gehen. Das ist zum einen wichtig, um Sicherheitsverletzungen genau zu protokollieren, und zum anderen, um Schwachstellen zu schließen. Wenn zum Beispiel plötzlich ein neuer Administrator Account erstellt wurde, können die Security-Verantwortlichen mithilfe des SIEM feststellen, wie es dazu kam. Wenn ein System kompromittiert wurde, können sie sehen, was zuvor im Netzwerk passiert ist.

Gleichzeitig hilft das SIEM dabei, aktuelle Sicherheitsvorfälle aufzudecken und die Risiken für künftige zu minimieren. Indem es Daten der verschiedenen Systeme korreliert, kann es auffällige Verhaltensmuster erkennen und entscheiden, ob diese gefährlich sein könnten. Wenn zum Beispiel ein Client vergeblich versucht, sich an zig Systemen anzumelden und dann plötzlich erfolgreich ist, deuten die vielen Fehlversuche darauf hin, dass hier etwas nicht stimmt. Das gleiche gilt, wenn sich ein Nutzer über VPN innerhalb von kurzer Zeit von verschiedenen Standorten aus einwählt. Das SIEM kann auf solche Auffälligkeiten je nach Konfiguration mit verschiedenen Aktionen reagieren, zum Beispiel eine Warnmeldung ausgeben oder eine Firewall-Regel ändern.

Wie beim Autofahren kann man mit einem SIEM also sowohl in den Rückspiegel schauen und betrachten, was bereits hinter einem liegt, als auch nach vorne blicken und so potenzielle Gefahren rechtzeitig erkennen und ihnen ausweichen.

Fehlkonfigurationen aufdecken

Nicht nur in der Security leistet ein SIEM wertvolle Dienste. Es kann auch dabei helfen, Fehlkonfigurationen in Systemen aufzudecken. So hat sich ein Produktionsunternehmen zum Beispiel gefragt, warum der WLAN-Accesspoint in der Werkshalle immer so langsam war. Dafür gab es keinen ersichtlichen Grund. Das SIEM hat schließlich anhand der Logfile-Analyse Auffälligkeiten im Datenverkehr entdeckt. Der Accesspoint hat zu große Datenpakete verschickt. Daraufhin hat ihm der Router kontinuierlich geantwortet, er solle kleinere Pakete senden. Das WLAN wurde dadurch langsamer. Mithilfe des SIEM konnten die Administratoren das Problem identifizieren und die Fehlkonfiguration korrigieren.

Der Feuermelder der IT

Ein SIEM für sich alleine genommen reicht nicht aus, um für umfassende IT-Sicherheit zu sorgen. Es kann Angriffe nicht verhindern. Vielmehr übernimmt das SIEM die Rolle eines Feuermelders, indem es Alarm schlägt, wenn gesammelte Anzeichen auf einen Vorfall hindeuten. Um den Brand zu löschen, oder eine Sicherheitslücke zu schließen, sind dann weitere Maßnahmen nötig. Ein SIEM ermöglicht es aber, gefährliche Situationen schnell zu erkennen, sodass man sie zeitnah beheben kann, bevor größerer Schaden entsteht.

Jedes SIEM ist immer nur so gut, wie die Log-Dateien, die es bekommt. Liefern Systeme unzureichende Daten, lassen sich daraus weniger Erkenntnisse gewinnen. Gleichzeitig kennen auch Cyberkriminelle die Arbeitsweise des SIEMs und entwickeln immer gewieftere Methoden, um es auszutricksen. Wenn sie Angriffe zum Beispiel sehr vorsichtig über einen langen Zeitraum hinweg durchführen, entstehen auch keine Auffälligkeiten. Das SIEM hat es dann schwer, solche Aktionen von normalem Traffic zu unterscheiden.

Die richtige SIEM-Lösung finden

Die Nachfrage nach SIEM-Lösungen steigt. Immer mehr Unternehmen erkennen die Notwendigkeit für ein Security Information and Event Management. Zum einen haben die zahlreichen Attacken durch Malware wie WannaCry in diesem Jahr viele Betriebe wachgerüttelt. Zum anderen stehen sie durch die neue EU-Datenschutzgrundverordnung unter großem Druck. Denn ab Mai 2018 können Sicherheitsvorfälle mit Datenschutzverletzungen noch härtere Konsequenzen nach sich ziehen. Viele Unternehmen haben eine Security Policy definiert und möchten diese nun umsetzen. Ein SIEM hilft dabei, die Anforderungen zu erfüllen.

Es gibt verschiedene SIEM-Angebote auf dem Markt. Empfehlenswert ist eine Lösung, die herstellerübergreifend mit möglichst vielen Systemen zusammenarbeitet. Manche Hersteller bieten SIEMs, die nur mit ihren eigenen Produkten kompatibel sind. Mit solchen Insellösungen können Unternehmen dann nur einen Bruchteil ihrer Infrastruktur abdecken. Auch von frei verfügbaren Angeboten ist abzuraten, da diese meist kompliziert zu administrieren sind und in Bastelei ausarten.

Kleinere Unternehmen lassen sich häufig davon abschrecken, dass ein SIEM nicht gerade preiswert ist. Man kann jedoch auch klein anfangen und zunächst einmal nur wenige aber wichtige Logquellen einbeziehen. Die Preise richten sich häufig nach der Anzahl der Loginformationen pro Sekunde. Wenn sich der Erfolg zeigt und Mehrwert entsteht, kann man die Lösung aufstocken.

Eine andere Möglichkeit ist, SIEM als Managed Service zu beziehen. Ein spezialisierter Dienstleister stellt das Security Information and Event Management dann zur Verfügung und rechnet im OPEX-Modell monatlich nach verbrauchten Ressourcen ab. Unternehmen gewinnen dadurch Flexibilität und können jeden Monat neu entscheiden, welche Log-Dateien sie auswerten wollen.

SIEM wird schlauer

Es gibt bereits erste SIEM-Lösungen auf dem Markt, die künstliche Intelligenz (KI) einsetzen. Beispiele sind IBM QRadar mit integrierter Watson-Funktionalität oder die TLM-Plattform von LogRhythm mit selbstlernenden Analysefunktionen aus der Cloud. KI steckt zwar noch in den Kinderschuhen, wird in den nächsten Jahren aber eine zunehmende Rolle in der IT Security spielen. Tools, die Log-Daten oder Angriffe mit Data Science analysieren oder Machine Learning integrieren, bringen einen deutlichen Mehrwert. Sie können Gefahren noch schneller erkennen und auch vorausschauend vor Risiken warnen. Ob mit oder ohne KI: Ein SIEM gehört heute zum Standard im Sicherheitsportfolio. Ein spezialisierter Berater kann bei der Planung und Einführung unterstützen oder die Log-Daten-Analyse komplett als Managed Service übernehmen.

Über den Autor: Eike Trapp ist staatlich geprüfter Techniker für Informations- und Kommunikationstechnik und beschäftigt sich seit mehr als einem Jahrzehnt insbesondere mit SIEM-Systemen. Seit 2014 ist er bei Axians IT Security als Senior Security Consultant tätig und verantwortet SIEM-Projekte unter anderem für die Energie- und Bankenwirtschaft, im Versandhandel und im öffentlichen Dienst.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45199033 / Monitoring und KI)