:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2f/f9/2ff9f5fe75125e324259e4c4cb0470b7/0115708231.jpeg "Cyberangriffe sind nicht immer technischer Natur. Wir geben eine Übersicht der gängigsten nicht-technischen Angriffe sowie passende Schutzmaßnahmen für Unternehmen. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/03/f5/03f599e672c719f18dc14be45afbd440/0115706811.jpeg "Digitale Identitäten mit höheren Berechtigungen stehen im Mittelpunkt aktueller Angriffswellen durch Hacker. (Bild: robsonphoto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/87/28/8728890c1d5094d564bd8a91bb11a1a0/0115706486.jpeg "Eine besonders effektive Methode zur Erzeugung von DNS-Query-Flood-DDoS-Angriffen sind DNS-Water-Torture-Angriffe. (Bild: kmiragaya - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/41/2a/412a1b77c5fcca8d70bdfb5066d48488/0114968713.jpeg "CNP+ nutzt die Stärke von Wi-Fi-6-/7-Access-Points zur Durchführung von Sicherheitsprüfungen, die traditionell von Security-Gateways übernommen werden. (Bild: Zyxel)")
:quality(80)/p7i.vogel.de/wcms/0a/1d/0a1d5160bd84f148343b99829afb77cf/0115212172.jpeg "Die Verwaltung von TLS-Maschinenidentitäten ist keine leichte Aufgabe. Wenn die Zertifikate nicht ersetzt werden, bevor sie ablaufen, verursachen sie einen Ausfall der Website oder Anwendung, die sie schützen. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/46/8446ae030778a3654d2b3e6dab91209b/0115650702.jpeg "Das neue eBook dreht sich um intelligente Cyberschutzmaßnahmen als Antwort auf aktuelle Herausforderungen. (Bild: stock.adobe.com / Blue Planet Studio / VIT)")
:quality(80)/p7i.vogel.de/wcms/e4/12/e412ce4886ae7a9735f2e41ed5044be8/0115212283.jpeg "Alle Unternehmen, die für ihre Anwendungen einen Cloud-nativen Ansatz verfolgen, sollten die Sicherheit von Anfang an einbeziehen. (Bild: Flo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/dd/0edd1f78dc564fcb3a474cd7670fc655/0114777783.jpeg "CyberArk hat neue Funktionen für seinen Secure Cloud Access vorgestellt. (Bild: frei lizenziert Lee Jie Jie - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/85/dc/85dc8937392c9ee9c8050e17cbd61e9f/0115596163.jpeg "Um das gesamte Sicherheitsmaßnahmenspektrum abzudecken, braucht es nicht nur die entsprechenden Produkte, sondern auch qualifizierte Managed Security Service Provider. (Bild: janews094 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c3/99/c3993faccfec24f2fb4380ec8129cdd9/0115631702.jpeg ""Wie die Cloud E-Mails schützen kann", ein Interview von Oliver Schonschek, Insider Research, mit Günter Esch von SEPPmail. (Bild: Vogel IT-Medien / SEPPmail / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/f9/18/f9184a82eabf262e6ab3ceadb1890309/0112150345.jpeg "Unsere Reise durch Metavers startet bei isolierten 3D-Welten und führt uns über interoperable Plattformen bis zu spezialisierten, industriellen Anwendungen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/79/9b/799bd1b922182554e787754eef6ddc12/0115212110.jpeg "Der Kampf um sichere Logins ist in vollem Gange. Dieser Beitrag erklärt, warum Passkeys schneller, einfacher und sicherer sind als Passwörter. (Bild: bloomicon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/43/12/43126efe9769dd09bcc69ddf76be9165/0115212299.jpeg "Die Umsetzung des Datenschutzes wird nie abgeschlossen sein. Unternehmen müssen fortlaufend an ihrem Datenschutzkonzept arbeiten, um die darin definierten Maßnahmen wirksam zu halten. (Bild: fotohansel - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Schnellere Erkennung von Cyberangriffen Logging- und SIEM-as-a-Service für effektive IT-Sicherheit
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/5f/f3/5ff3193fe92ca/mimecast.png "mimecast.png (mimecast)")
Zentrale Log-Server und Lösungen für Security Information & Event Management (SIEM) sind wichtige Bausteine einer modernen IT-Sicherheitsarchitektur. Der Aufwand für Implementierung und Betrieb dieser Dienste überfordert jedoch viele IT-Abteilungen. Mit Logging- und SIEM-as-a-Service können Unternehmen diese Aufgaben an einen externen Dienstleister auslagern und profitieren so von höherer Sicherheit bei klar kalkulierbaren Kosten.
Cyberattacken auf Unternehmen laufen heute automatisiert, optimiert und hochprofessionell ab. Die Angreifer versuchen, so lange wie möglich unentdeckt zu bleiben, um nach und nach immer mehr Systeme unter ihre Kontrolle bringen zu können. Aber auch die raffiniertesten Attacken hinterlassen subtile Spuren im Netzwerk. Unternehmen, die diese Spuren frühzeitig erkennen, können Angriffe stoppen, bevor ein großer wirtschaftlicher Schaden entsteht.
Um das zu erreichen, müssen Unternehmen die Log-Einträge ihrer IT-Systeme kontinuierlich überwachen. Denn genau hier finden sich die Spuren, die ein Angreifer bei seinen Aktivitäten in einer IT-Umgebung hinterlässt. Vielen Unternehmen fehlen jedoch die dafür notwendigen Werkzeuge. Jedes System speichert seine Log-Einträge individuell – und das in unterschiedlichen Formaten und mit unterschiedlichen Aufbewahrungsfristen. So können die Daten von der IT-Abteilung nicht effizient ausgewertet werden.
Warum zentrales Logging so wichtig ist
Ein wichtiger Schritt zur Stärkung der IT-Sicherheitsarchitektur ist daher die Einführung eines zentralen Log-Servers. Hier laufen die Log-Einträge von allen Systemen einer IT-Umgebung zusammen und werden standardisiert, aggregiert und sicher gespeichert. Der zentrale Log-Server bildet damit die Basis für weitergehende Analysen und unterstützt als Datendrehscheibe unterschiedliche Anwendungen.
Das zentrale Logging ist zum einen die Voraussetzung für den Einsatz eines SIEM-Systems und liefert diesem die Daten, um Anomalien im Verhalten von Anwendungen in Echtzeit zu erkennen. Auch für die forensische Untersuchung von Sicherheitsvorfällen werden die vollständigen Log-Daten einer IT-Umgebung benötigt.
Zum anderen erleichtert ein zentraler Log-Server die Einhaltung von Compliance-Standards. Vorschriften wie die Datenschutz-Grundverordnung (DSGVO) oder der Payment Card Industry Data Security Standard (PCI-DSS) schreiben eine lückenlose Aufzeichnung und Überwachung von Log-Daten vor. So lässt sich jederzeit nachvollziehen, wer welche Änderungen in der IT-Umgebung vorgenommen hat.
Schließlich können zentrale Log-Daten auch beim Troubleshooting einer IT-Umgebung helfen. Der zentrale Zugriff auf alle Systemereignisse erleichtert es IT-Abteilungen, Fehlerzustände zu analysieren, falsch konfigurierte Systeme zu identifizieren und die Ursache von Performance-Problemen zu finden.
Herausforderungen beim zentralen Logging
Beim Einsatz eines zentralen Log-Servers sind allerdings auch einige Dinge zu beachten. Grundsätzlich sollte der Log-Server als dediziertes physisches System mit eigenem Storage implementiert werden. So können die Log-Daten im Falle eines Cyberangriffs einfach extrahiert und an die ermittelnden Behörden übergeben werden. Entscheidend ist es auch, den Log-Server umfassend vor unbefugten Zugriffen zu schützen. Denn Cyberkriminelle versuchen bei Angriffen grundsätzlich, möglichst viele Protokolldaten zu löschen, um ihre Spuren zu verwischen.
Die zentral gesammelten Log-Daten müssen dann in ein standardisiertes Datenformat wie zum Beispiel JSON gebracht werden. Das macht es einfacher, die Daten mit anderen Systemen auszutauschen und weiterzuverarbeiten. Auch die Definition einer einheitlichen Zeitzone ist wichtig. Denn wenn die Log-Daten mit unterschiedlichen Zeitstempeln gespeichert werden, lassen sich kausale Zusammenhänge kaum noch erkennen.
Eine weitere Herausforderung beim zentralen Logging ist die „Geschwätzigkeit“ mancher Systeme. Gerade durch Virtualisierung, Containerisierung und die Integration von Cloud-Diensten steigt die Menge an Log-Daten exponentiell an. Der zentrale Log-Server sollte daher in der Lage sein, die gesammelten Daten sinnvoll zu filtern und nur die wichtigsten Meldungen an nachgelagerte Dienste wie das SIEM-System weiterzuleiten. Das reduziert die Datenmenge, die diese Systeme verarbeiten müssen. Weniger „Grundrauschen“ minimiert auch die Kosten der Überwachung. Denn die Lizenzgebühren für SIEM-Systeme sind in der Regel an die Menge der ausgewerteten Daten gekoppelt.
Es gibt also gute Gründe für Unternehmen, sich intensiver mit dem Thema Logging zu beschäftigen. Dennoch betreiben viele Unternehmen noch keinen zentralen Log-Server. Oft fehlt das Know-how im eigenen Haus oder auch schlicht die Zeit, um eine geeignete Lösung zu implementieren. Als Alternative bietet sich daher die Nutzung von Logging-as-a-Service an. Bei diesem Modell kümmert sich ein Dienstleister um die Einrichtung und den Betrieb eines zentralen Log-Servers. Die externen Security-Experten übernehmen dabei auch den kompletten Service und unterstützen bei Themen wie der forensischen Analyse von Sicherheitsvorfällen.
Von Logging-as-a-Service zu SIEM-as-a-Service
Gerade in wachsenden IT-Umgebungen ist es sinnvoll, noch einen Schritt weiterzugehen und nicht nur zentrales Logging, sondern auch SIEM-Funktionalität von einem externen Service Provider zu beziehen. Ein SIEM-System korreliert die unterschiedlichen Log-Daten aus verschiedenen Quellen, um Angriffe aufzudecken. Dabei greift es auf die Daten zurück, die der Log-Server zentral vorhält, und analysiert diese mit Hilfe von künstlicher Intelligenz und Machine Learning-Technologie. In kleinen Umgebungen ist eine manuelle und bedarfsgetriebene Suche nach Angriffsmustern vielleicht noch ausreichend – wenn die Auswertung jedoch automatisiert ablaufen soll, wird ein SIEM-System benötigt, das diese Funktion abbildet.
Die Einrichtung eines SIEM-Systems ist für Unternehmen mit enormem Aufwand verbunden. Häufig dauert es mehr als ein halbes Jahr, bis das System erste verwertbare Ergebnisse liefert. Durch die Zusammenarbeit mit einem kompetenten Dienstleister kann dieser Zeitraum in den meisten Umgebungen auf wenige Wochen verkürzt werden.
SIEM-Systeme sind sehr mächtige Werkzeuge, die eine Vielzahl von Messpunkten auf mögliche Anomalien überwachen können. Unternehmen wissen jedoch zu Beginn noch gar nicht, welche dieser Tests für sie wirklich relevant sind. So kann es passieren, dass das IT-Team wichtige Informationen übersieht, weil es mit der Auswertung überfordert ist – oder Funktionen aktiviert, die keinen wirklichen Nutzen bieten.
Durch nicht bedarfsgerecht konfigurierte SIEM-Lösungen laufen auch die Kosten sehr schnell aus dem Ruder. Unternehmen, die den vollen Umfang einer SIEM-Lösung für ihre gesamte IT-Infrastruktur nutzen, geben dafür schnell einen mittleren sechsstelligen Bereich pro Jahr aus.
Ein SIEM-as-a-Service-Modell muss daher immer individuell auf die Anforderungen des Kunden zugeschnitten sein. Dazu ist es wichtig, die Wertschöpfungskette des Unternehmens zu analysieren und die Angriffspunkte mit dem größten Risiko zu identifizieren. Was sind die kritischsten Geschäftsprozesse? In welchen Daten steckt der größte Wert? Und welche Systeme sind am anfälligsten für Angriffe? Diese Fragen müssen Kunden und Dienstleister im Vorfeld gemeinsam beantworten. Anschließend werden die SIEM-Anwendungsfälle ausgewählt, die für den Kunden am wichtigsten sind.
Mit dieser Vorgehensweise erreichen Unternehmen sehr schnell ein hohes Maß an Sicherheit – und das meist zu einem Bruchteil der Kosten eines selbst betriebenen SIEM-Systems. Der Funktionsumfang des SIEM kann dann bei Bedarf schrittweise erweitert werden, um weitere Metriken auf Anomalien zu überwachen. Bildlich gesprochen schließt man zuerst die Scheunentore der IT-Umgebung und fängt erst dann an, die Ritzen an den Fensterrahmen abzudichten.
Enge Zusammenarbeit und klare Aufgabenverteilung
Entscheidend für den Erfolg eines Logging- oder SIEM-as-a-Service-Modells ist die Kommunikation zwischen Kunde und Dienstleister. Denn die Zusammenarbeit darf sich nicht auf die Einrichtung des Systems beschränken. Es müssen Prozesse etabliert werden, um die gesammelten Daten zu bewerten – auch in enger Abstimmung mit verschiedenen Fachabteilungen. Aus den Ergebnissen lassen sich dann die nächsten Schritte zur Erhöhung der IT-Sicherheit ableiten.
Der Dienstleister bringt dabei seine Kompetenz und Erfahrung ein, unterstützt bei der Interpretation von Auffälligkeiten und empfiehlt entsprechende Maßnahmen. Die letzte Verantwortung liegt jedoch beim Kunden. Nur er kann beispielsweise entscheiden, ob bei einem Sicherheitsvorfall kritische IT-Systeme sofort heruntergefahren werden sollen. Managed Security Services wie Logging- und SIEM-as-a-Service müssen daher immer in ein umfassendes Notfallkonzept eingebettet sein.
Über den Autor: Oliver Oldach ist Head of Cyber Security bei der Enthus GmbH. Seit rund 20 Jahren zählt der Bereich der IT-Security zu seinen Kernkompetenzen. Für internationale Mittelständler und Enterprise-Kunden hat er zahlreiche Projekte konzeptioniert und umgesetzt, etwa in den Bereichen KI, Big-Data-Analyse, IoT, Netzwerk oder der Absicherung von komplexen Web-Anwendungen. Ein Schwerpunkt seiner Tätigkeit für enthus ist mittlerweile die verhaltensbasierte Mustererkennung zur Klassifizierung und Erkennung von Bedrohungen und Angriffen.
(ID:49581108)
:quality(80)/p7i.vogel.de/wcms/a2/dd/a2dd8dcc032fab563c4905c1e7a285a9/0108861112.jpeg "Kubernetes als zentrale Grundlage für Sicherheitslösungen zu nutzen, bietet viele Vorteile. Damit solch ein Cluster produktiv betrieben werden kann, muss aber Know-How im Bereich Kubernetes zusätzlich zu IT-Security vorhanden sein. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fd/3f/fd3f20c2803754b2af518942f58aafad/0111357943.jpeg "Hinter den Bestrebungen nach mehr Resilienz steckt der Wunsch, den Geschäftsbetrieb auch in Zeiten aufrechtzuerhalten, die von Unwägbarkeiten geprägt sind. (Bild: alphaspirit - stock.adobe.com)")