:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/72/6372be7ef046411435e68c6203994823/0114113443.jpeg "Threat Intelligence Feeds sind ein wichtiges Tool für Unternehmen, zum Schutz vor DDoS-Angriffen. (Bild: Framestock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fc/97/fc9738083cd07dfe9c89c949eb0c40aa/0114113294.jpeg "Microsoft Teams wird in vielen Unternehmen als Kommunikationsplattform genutzt. Immer öfter greifen Hacker gezielt Teams an. Unternehmen müssen reagieren und sich besser schützen! (Bild: Kiattisak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9a/c7/9ac7c7e8a3b32a83049dfc945e67b476/0113571100.jpeg "Der Angriff auf Wale mit einer solchen eisernen Harpune ist brutal und sehr blutig; ein Phishing-Angriff mithilfe von Ki ist hinterhältig und gnadenlos - nur nicht so blutig. (Bild: frei lizenziert: FotoArt-Treu)")
:quality(80)/p7i.vogel.de/wcms/c6/b5/c6b5e92a108fab05277f55f2433e9923/0114199472.jpeg "Cisco will Splunk übernehmen, um Unternehmen in einer KI-gestützten Welt sicherer und widerstandsfähiger zu machen und dabei den eigenen Umsatz und die Marge zu steigern. (Bild: Cisco)")
:quality(80)/p7i.vogel.de/wcms/71/d2/71d2d4f27a8b93346b4930908e422fd6/0114151621.jpeg "Der Schutz von OT-Umgebungen gegenüber Cyber-Gefahren darf durch Unternehmen nicht vernachlässigt werden. Mit Befolgung der sieben Tipps in diesem Artikel sind Security-Verantwortliche auf der sicheren Seite. (Bild: panuwat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/c9/a4c90540231b9fb039bfb567b5f69824/0114002157.jpeg ""Was KI für die Cybersicherheit wirklich bedeutet", ein Interview von Oliver Schonschek, Insider Research, mit Michael Veit von Sophos. (Bild: Vogel IT-Medien / Sophos / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/39/58/395865fa1933cbf2a9d67fc9457b7b79/0114165948.jpeg "Ist ein Cloud-basierter Netzwerkschutz aus dem Rennsport auch für andere Bereiche nutzbar? (Bild: Porsche Motorsport)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/13/09/13099874e6859350b3819761430047fb/0114005981.jpeg "Jubel, Trubel und Gedränge – neben Taschendieben machen auch immer mehr Cyberkriminelle auf großen Veranstaltungen wie dem Münchner Oktoberfest ihr „Geschäft“. (Bild: frei lizenziert Pexels - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ea/09/ea098195a5d78217dbe8e7be250c803f/0113981663.jpeg "Wie die Geschäftsentwicklung von Cequence unterstreicht, wird Anwendungssicherheit für Unternehmen ein zunehmend wichtiger Faktor. (Bild: The Walker Group)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/29/21/2921b37e9174454514f87109f30498da/0113796994.jpeg "Sicherheitsverantwortliche müssen in hybriden IT-Landschaften oft verschiedene Multi-Faktor-Authentifizierungen in einem System vereinen. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/16/5f/165f68c6fa324facb4015349f0aabf97/0114113075.jpeg "Um mit KI-basierten Bedrohungen mithalten zu können, kommen Unternehmen nicht umhin, KI-basierte Abwehrmaßnahmen zu nutzen. (Bild: soupstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/e4/67e44f84835d9f919003ad8dbf03d436/0114086650.jpeg "Mitarbeitende und Unternehmen in Deutschland nehmen ihre Verantwortung bei der IT-Sicherheit nicht im geforderten Ausmaß ernst. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/8f/678f3451fbd3cc9e468de0e35f73ee4d/0112115118.jpeg "Unter Desktop-as-a-Service versteht man virtuelle Desktops als Service eines Cloud-Anbieters. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/65/23/6523a9c3297be435577880eaf0ee43e4/0112115110.jpeg "Der Digital Operational Resilience Act (DORA) ist eine am 16.01.2023 in Kraft getretene EU-Verordnung über die digitale operative Resilienz im Finanzsektor. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Security Information and Event Management Systeme Mit SIEM Bedrohungen rechtzeitig erkennen
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/117800/117805/65.png "VIT_Logo_RGB_Full.png ()")
:fill(fff,0)/p7i.vogel.de/companies/5f/f3/5ff3193fe92ca/mimecast.png "mimecast.png (mimecast)")
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
Security Information and Event Management, kurz SIEM, hat eine lange Tradition in der IT-Sicherheit. Trotzdem ist es hochaktuell und kann als Basis der „Next Generation Security“ verstanden werden.
Auf aktuellen Messen und Veranstaltungen hört man viel über Security Analytics oder Security Intelligence. Beide Begriffe verbindet man mit der Erkennung fortschrittlicher Attacken. Beim Akronym SIEM hingegen denkt man an das klassische Security Information and Event Management. Da teilweise bei neuen Lösungen von SIEM 2.0 oder Next Generation SIEM gesprochen wird, scheint das ursprüngliche SIEM bereits veraltet.
Tatsächlich aber ist und bleibt SIEM der zentrale Ansatz, um sicherheitsrelevante Informationen und Daten über Sicherheitsereignisse zu sammeln, auszuwerten, in Compliance-Berichten verfügbar zu machen und mit Warnhinweisen die Basis für zeitnahe Reaktionen auf Sicherheitsvorfälle zu liefern. Zudem bietet ein SIEM auch eine Verwaltung der sicherheitsrelevanten Daten und Analysen und ermöglicht so die Suche nach Ereignissen in der Vergangenheit, um IT-forensische Untersuchungen zu unterstützen.
Der Grund, warum neben SIEM auch von Security Analytics oder Security Intelligence gesprochen wird, sollte aber nicht im Marketing der jeweiligen Anbieter gesehen werden. Es geht vielmehr darum, dass die Vielzahl der Datenquellen und Datenformate sowie die große Menge an sicherheitsrelevanten Daten schon in kleinen Unternehmen hohe Anforderungen an die Analytics-Funktionen von SIEM stellen.
Darum betont man bei SIEM-Lösungen, die eine hohe Analyse-Performance haben, den Analytics-Anteil der Funktionen und spricht von (Big Data) Security Analytics. Security Intelligence hingegen unterstreicht, welche Bedeutung die Analysen von SIEM für sicherheitsrelevante Entscheidungen hat.
Bedeutung und Empfehlung für Unternehmen
Die Frage, ob ein Unternehmen SIEM benötigt, stellt sich nicht: SIEM gehört zum Pflichtprogramm in der Security. Das ergibt sich alleine schon daraus, dass es Unternehmen nicht schaffen, ohne entsprechende SIEM-Lösungen die Vielzahl und Vielfalt an Protokollen auszuwerten, die die genutzten IT-Systeme liefern.
Die Bandbreite der Protokolle reicht von den Log-Files einzelner Anwendungen über Betriebssysteme von (mobilen) Endpunkten und Servern, Hardware-Firmware, IT-Sicherheitslösungen, Netzwerken bis hin zu den Clouds. Werden die sicherheitsrelevanten Informationen aus den verschiedenen Datenquellen nicht oder nicht zeitnah genug ausgewertet, werden mögliche Angriffe und Vorfälle nicht oder zu spät erkannt.
Ohne eine zentrale Stelle, die die Protokolle sammelt, auswertet und für Berichte verdichtet ist es zudem kaum möglich, die notwendigen Compliance-Nachweise zur IT-Sicherheit zu liefern. Auch die IT-Forensik braucht eine Unterstützung auf SIEM-Basis, um die Spuren von Angreifern sowie mögliche Schwachstellen, die missbraucht wurden, besser aufzudecken.
Die Entscheidung, welches SIEM-System das richtige ist, muss man sich dagegen unbedingt stellen. Der Markt ist reich an Lösungen, die sich durchaus nicht nur in Details unterscheiden. Unternehmen sollten insbesondere darauf achten, ob ihre individuellen Anforderungen erfüllt werden, also
- die zu unterstützenden IT-Systeme, deren Protokolldaten ausgelesen werden können müssen,
- die verfügbaren Schnittstellen und Datenformate, aber auch
- die verfügbaren Berichte, die zu den Compliance-Anforderungen passen müssen, die sich dem Unternehmen stellen.
Eine wichtige Rolle spielt dabei die Cloud. Zum einen sollte die Lösung der Wahl auch die genutzten Cloud-Lösungen berücksichtigen können, also ein Cloud-Logging unterstützen. Zudem sollten sicherheitsrelevante Informationen, die über die Cloud verfügbar sind, eingebunden werden können.
So genannte „Threat Intelligence Feeds” von Security-Anbietern liefern über die Cloud wichtige Zusatzinformationen, die das SIEM eines Unternehmen auf Basis eigener Daten nicht haben kann. Die frühzeitige Erkennung von Angriffen hängt stark von der Informationsbasis des SIEM ab, so dass zusätzliche Daten über mögliche Bedrohungen und Angriffe aus Security Intelligence Diensten sehr wertvoll sind.
Nicht zuletzt kann ein Unternehmen auch ein SIEM aus der Cloud nutzen, ein SIEM as a Service. Hier gilt es, bei der Auswahl eines SIEM-Dienstes sehr genau zu prüfen, welcher Anbieter dahinter steht. Immerhin soll das SIEM sicherheitsrelevante Daten des Unternehmens sammeln und analysieren. SIEM as a Service ist eine interessante Option, die nicht nur für kleine Unternehmen in Betracht kommt, wenn der Anbieter entsprechend professionell und zuverlässig ist.
(ID:44095087)
:quality(80)/images.vogel.de/vogelonline/bdb/1945500/1945539/original.jpg "Der Fachkräftemangel, das immer komplexere Security-Management und die Masse an Security Alerts führen dazu, dass Incidents nicht schnell genug ausgewertet werden und Bedrohungen zu lange unbemerkt bleiben. (leowolfert - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1953500/1953596/original.jpg "Viele Unternehmen konzentrieren sich zu sehr auf die Erfüllung von Compliance-Anforderungen und nicht genug darauf, wirklich Sicherheit herzustellen. (BillionPhotos.com - stock.adobe.com)")