:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a0/95/a095168ae2294c8b7ff3a1128643d10a/0114443428.jpeg "Im Einzelhandel herrscht in Sachen Datensicherheit noch Verbesserungsbedarf, wie eine aktuelle Arcserve-Studie zeigt. (Bild: Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0a/1d/0a1d5160bd84f148343b99829afb77cf/0115212172.jpeg "Die Verwaltung von TLS-Maschinenidentitäten ist keine leichte Aufgabe. Wenn die Zertifikate nicht ersetzt werden, bevor sie ablaufen, verursachen sie einen Ausfall der Website oder Anwendung, die sie schützen. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/46/8446ae030778a3654d2b3e6dab91209b/0115650702.jpeg "Das neue eBook dreht sich um intelligente Cyberschutzmaßnahmen als Antwort auf aktuelle Herausforderungen. (Bild: stock.adobe.com / Blue Planet Studio / VIT)")
:quality(80)/p7i.vogel.de/wcms/c8/d1/c8d1f3442178098f90def365545bda6f/0115034228.jpeg "Sicherheit heißt Kontrolle über den Zugriff auf Edge-Geräte und Elemente sowie alle lokalen Schnittstellen, Terminals und Portale. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e4/12/e412ce4886ae7a9735f2e41ed5044be8/0115212283.jpeg "Alle Unternehmen, die für ihre Anwendungen einen Cloud-nativen Ansatz verfolgen, sollten die Sicherheit von Anfang an einbeziehen. (Bild: Flo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/dd/0edd1f78dc564fcb3a474cd7670fc655/0114777783.jpeg "CyberArk hat neue Funktionen für seinen Secure Cloud Access vorgestellt. (Bild: frei lizenziert Lee Jie Jie - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/85/dc/85dc8937392c9ee9c8050e17cbd61e9f/0115596163.jpeg "Um das gesamte Sicherheitsmaßnahmenspektrum abzudecken, braucht es nicht nur die entsprechenden Produkte, sondern auch qualifizierte Managed Security Service Provider. (Bild: janews094 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c3/99/c3993faccfec24f2fb4380ec8129cdd9/0115631702.jpeg ""Wie die Cloud E-Mails schützen kann", ein Interview von Oliver Schonschek, Insider Research, mit Günter Esch von SEPPmail. (Bild: Vogel IT-Medien / SEPPmail / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/f9/18/f9184a82eabf262e6ab3ceadb1890309/0112150345.jpeg "Unsere Reise durch Metavers startet bei isolierten 3D-Welten und führt uns über interoperable Plattformen bis zu spezialisierten, industriellen Anwendungen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/79/9b/799bd1b922182554e787754eef6ddc12/0115212110.jpeg "Der Kampf um sichere Logins ist in vollem Gange. Dieser Beitrag erklärt, warum Passkeys schneller, einfacher und sicherer sind als Passwörter. (Bild: bloomicon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/43/12/43126efe9769dd09bcc69ddf76be9165/0115212299.jpeg "Die Umsetzung des Datenschutzes wird nie abgeschlossen sein. Unternehmen müssen fortlaufend an ihrem Datenschutzkonzept arbeiten, um die darin definierten Maßnahmen wirksam zu halten. (Bild: fotohansel - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d1/d7/d1d77deeabe6acbcda7494c86f59d6f0/0115212147.jpeg "Die ISO/IEC 27001 stellt sicher, dass alle Aspekte der Informationssicherheit angemessen berücksichtigt werden – und dies systematisch und nach einem einheitlichen, weltweit gültigen Schema. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Ereigniskorrelation Kosten einer SIEM-Lösung
Alarme und Events von Sicherheitskomponenten zu ignorieren kann sehr kostspielig werden. Abhilfe und Übersicht schafft eine professionelle SIEM-Lösung. Soll diese effektiv eingesetzt werden, so bindet sie aber interne Ressourcen und verursacht Kosten, derer sich Unternehmen bewusst sein müssen.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/117800/117805/65.png "VIT_Logo_RGB_Full.png ()")
:fill(fff,0)/p7i.vogel.de/companies/62/ea/62ea2cb8944b9/arctic-wolf-logo.png "arctic-wolf-logo (Arctic Wolf)"){kind=logo}
Viele Unternehmen setzen auf präventive Sicherheitsmaßnahmen wie Firewall, IPS und Anti-Virus. Jedoch werden diese Sicherheitsschichten durch Phishing Angriffe, „Watering Hole“-Attacken und Schadcode, der unbemerkt ins Unternehmen gelangt, einfach umgangen.
Stehen keine weiteren Mittel zur Verfügung, um intelligente Korrelationen, Angriffsmuster und Anomalien zu erkennen, können sich die Angreifer unbemerkt in der eigenen Infrastruktur bewegen und Daten exfiltrieren. Im Durchschnitt werden Eindringlinge erst nach 170 bis 229 Tagen entdeckt.
Wenn Unternehmen „nichts tun“ und Opfer von Datenmissbrauch werden, können enorme finanzielle Schäden entstehen. Laut Ponemon Institut betragen die durchschnittlichen Kosten für einen gestohlenen Datensatz in Deutschland rund 140 Euro. Ferner können weitere Kosten für die Bereinigung des Schadenfalls hinzukommen, Rufschädigung und einer Kundenabwanderung noch nicht mit eingerechnet.
Es müssen aber nicht unbedingt Daten gestohlen werden. Häufig werden Unternehmen einfach nur ausgespäht oder sie fungieren unwissend als Teil eines Botnetzes oder DDoS-Angriffs. Aber auch Angriffe durch Insider stellen ein immer größeres Risiko dar. Für mehr Intelligenz, Transparenz und Visibilität in der Angriffserkennung kann das Security-Information- und -Event-Management (SIEM) sorgen.
Funktionen eines SIEM
Ein SIEM-System wird dazu verwendet, die Logs von unterschiedlichen Sicherheitskomponenten (z.B. Firewalls, IDS/IPS, Anti-Virus, Active-Directory, Web-Server, etc.) zentral zusammenzuführen und zu korrelieren. Es hilft, fast in Echtzeit sicherheitsrelevante Ereignisse darzustellen, diese zu priorisieren und entsprechend darauf zu reagieren.
Weiterhin gibt es Anbieter, die einen Echtzeit Bedrohungschutz („Threat Intelligence“) zur Verfügung stellen, um die Qualität der Erkennungsrate zu erhöhen sowie aufkommende oder gezielte Angriffe zu erkennen. Desweiteren bietet es Analyse, Alerting und Reporting Tools für potenzielle Sicherheitsereignisse.
Eine SIEM-Lösung will aber auch implementiert und gewartet werden. Somit ist die Beschaffung des SIEM-Produktes nur der Anfang. Das Unternehmen muss auch Fachkräfte einstellen, sie trainieren und reibungslose Prozesse definieren. Darüber hinaus muss das Security Information and Event Management ständig optimiert und an aktuelle Bedrohungen angepasst werden.
Ein SIEM ist häufig das zentrale Tool für ein Security Operation Center (SOC) und sollte adäquat geschützt werden, da es viele wichtige Informationen an einer zentralen Stelle enthält und zur Angriffserkennung genutzt wird. Es ist naheliegend, dass es für Angreifer ein attraktives Ziel darstellt.
Erfolgskriterien für das SIEM
Obwohl es SIEM-Produkte schon seit mindestens einer Dekade gibt, scheuten sich bisher viele Sicherheitsverantwortliche eine solche Lösung einzuführen. Aufgrund eines höheren Risikos für Unternehmen durch Cyber-Attacken und strengere Compliance-Vorschriften sind sie mittlerweile aber dazu gezwungen, mehr in die Angriffserkennung und Verteidigung zu investieren.
Doch was kostet eine solche Lösung und wird sie auch effektiv sein? Es liegt auf der Hand, dass eine höhere Effektivität auch höhere Kosten und Aufwände bedeuten. Eine effektive SIEM Lösung benötigt gut ausgebildete Analysten. Eine 24x7-Überwachung und -Reaktion auf Sicherheitsvorfälle sollte gewährleistet sein, da Angriffe häufig am Wochenende und außerhalb der Geschäftszeiten stattfinden.
Das SIEM-System muss kontinuierlich „getuned“ und optimiert werden, um sich an die Dynamik der Bedrohungslage sowie internen Gegebenheiten anzupassen. Der Erfolg dieser Lösung hängt stark davon ab, ob die Optimierung und Anpassung der Korrelationsregeln konsequent „gelebt“ wird. Außerdem sollten sich Unternehmen im Klaren sein, dass Einführung, Feinjustierung und operative Inbetriebnahme einer SIEM Lösung je nach Firmengröße sechs bis 18 Monate dauern kann.
Aufwände und Kostenschätzung
Um eine realistische Kostenschätzung durchführen zu können, gehen wir im folgenden Fallbeispiel von einem mittleren Unternehmen aus, das über 20 Standorte verteilt ist und rund 10.000 Mitarbeiter beschäftigt. Es hat zwei Internet-Ausgänge und zehn Partner, die per Virtual Private Network angeschlossen sind.
Innerhalb der Umgebung sollen 20 Firewalls, fünf Intrusion-Detection- und –Prevention-Systeme, vier Web Proxys, zwei Web-Application-Firewalls, 25 Server und 50 Switche sowie Router überwacht werden. Insgesamt werden 2.000 MPS (Messages per Second) produziert. Neben dem eigentlichen SIEM-Produkt und den jährlichen Kosten werden bei einer 24x7-Überwachung im Drei-Schichten-Betrieb mindestens sieben Security-Analysten in Vollzeit benötigt.
Die Analysten müssen regelmäßig weitergebildet werden, um mit dem SIEM-System umgehen, Anpassungen vornehmen und mit neuen Angriffsszenarien Schritt halten zu können. Darüber hinaus gilt es, Prozesse und Rollen zu definieren, um auf die auftretenden Incidents entsprechend zu reagieren. Hinzu kommen Kosten für die Planung und Implementierung der SIEM-Lösung. Idealerweise wird ein „Incident Response Plan“ angelegt und geübt, um bei speziellen Bedrohungen schnell und richtig zu reagieren.
Als Berechnungsgrundlage dient ein Jahresgehalt eines Security Analysten von ca. 70.000 Euro. Die Gesamtkosten für eine 24x7-Überwachung und einer Laufzeit von drei Jahren betragen etwa 1,75 Millionen Euro. Die Kosten für die einmalige Anschaffung eines SIEM-Systems, die initiale Implementierung, sowie laufende Wartungskosten, halten sich in Grenzen. Die Hauptkosten beinhalten das Fachpersonal.
Beweist man Mut zur Lücke und setzt auf eine 12x5-Überwachung, dann benötigt man mindestens drei Vollzeit-Security-Analysten. Die Gesamtkosten für drei Jahre betragen demnach ca. die Hälfte der rund um die Uhr Überwachung. Dies birgt allerdings ein hohes Risiko, Angriffe außerhalb der Geschäftszeiten gar nicht oder erst am nächsten Tag zu entdecken.
* Raimar Melchior arbeitet als Cyber Security Architect beiDell SecureWorks.
(ID:43192359)
:quality(80)/p7i.vogel.de/wcms/a2/dd/a2dd8dcc032fab563c4905c1e7a285a9/0108861112.jpeg "Kubernetes als zentrale Grundlage für Sicherheitslösungen zu nutzen, bietet viele Vorteile. Damit solch ein Cluster produktiv betrieben werden kann, muss aber Know-How im Bereich Kubernetes zusätzlich zu IT-Security vorhanden sein. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/0d/840d9209f7e086fd4753befe2594de1f/0115093778.jpeg "Ein Managed SOC kann für alle Unternehmen – egal wie groß oder aus welcher Branche – eine gute Lösung sein. (Bild: Gorodenkoff - stock.adobe.com)")