Suchen

Security Information and Event Management als Eckpfeiler der Security-Strategie Mit SIEM-Lösungen gegen die NSA

Autor / Redakteur: Dr. Andreas Bergler / Peter Schmitz

Security Information and Event Management (SIEM) gewinnt für Unternehmen immer mehr an Bedeutung. Das Werkzeug-Set bietet sich, außer zur Absicherung einer korrekt, also hochverfügbar arbeitenden IT, zur Abwehr von in- und externen Angriffen an.

SIEM geht möglichen Angriffen von Innen und Außen auf den Grund – und bringt Transparenz in die IT-Architektur.
SIEM geht möglichen Angriffen von Innen und Außen auf den Grund – und bringt Transparenz in die IT-Architektur.
(Bild: drx - Fotolia.com)

Alle Welt redet von Big Data, dabei macht SIEM vieles davon schon lange ohne dieses Etikett. Das Zusammenführen, Aggregieren, und automatisierte Auswerten verschiedenster Systemlogs hilft ebenso gut externe Angriffe zu erkennen, wie auch bösartige Insider, trotzdem nutzen nur ein kleiner Teil der deutschen Unternehmen diese Technik zur Angriffserkennung.

Im Gespräch mit Thomas Neumann, Senior IT Compliance Expert bei Twinsoft und Tom Biermann, Business Developer Compliance bei Twinsoft, versucht unser Kollege Dr. Andreas Bergler, leitender Redakteur IT-BUSINESS dahinter zu kommen, warum das so ist.

Bergler: Herr Neumann, was zeichnet leistungsfähige SIEM-Lösungen aus?

Neumann: Sie halten einerseits die Werkzeuge vor, um die System-Logs und -Events installierter Systeme permanent zu überwachen. Andererseits bieten sie Tools, um diese hinsichtlich möglicher Risiken für die Geschäftsprozesse und somit die laufenden Geschäfte zu analysieren. Weil auch die meisten Angriffe von innen und außen – Stichwort: Ausspähung – zu abnormen System-Logs oder -Events führen, empfiehlt sich SIEM zudem zur Erkennung und Abwehr dieser Gefahren.

Bergler: Also sprechen viele Gründe für den Einsatz von SIEM. Wie kommt das bisher in den Unternehmen an?

Neumann: Sie wird nach heutigem Stand von den Unternehmen nicht hinreichend eingeplant und eingesetzt. Die meisten Unternehmen fühlen sich immer noch verhältnismäßig sicher, was ihre Geschäftsabläufe und Geschäftsdaten betrifft. Insbesondere durch die rigorosen Ausspähungen von Geheimdiensten mit dem möglichen Ziel Industriespionage schwindet aber allmählich das trügerische Gefühl in den Unternehmen, verhältnismäßig sicher zu sein. Diese Veränderung wird den Einsatz von SIEM-Lösungen in den Unternehmen pushen. Eine weitere wichtige Triebfeder für die Einführung und Verwendung von SIEM-Tools werden auch zukünftig regulatorische Vorgaben – Neudeutsch: Compliance – sein. Schließlich gewährleisten solche Tools nicht nur die Überwachung und Alarmierung, sondern leisten auch äußerst hilfreiche Dienste beim Reporting und der durch Compliance-Auflagen erforderlichen Dokumentation.

Bildergalerie

Bergler: Was waren bisher die Gründe, dass Unternehmen dem SIEM-Angebot eher zurückhaltend begegneten?

Neumann: Die Zurückhaltung ging vor allem vom Unternehmensmanagement aus. Solange in den Augen der Top-Manager die IT nicht oder nur geringfügig betroffen ist, sah man hier keinen Anlass, in SIEM zu investieren. Das Problem: Die wenigsten Attacken wurden und werden vom IT-Bereich registriert. Die wenigen Angriffe, die aufgefallen sind, wurden allzu oft von der IT-Abteilung nicht dem Management mitgeteilt. Die Folge: Schon in der jüngsten Vergangenheit war die Gefahr, beispielsweise Opfer von Ausspähungen geworden zu sein, ungleich größer als die Top-Manager annahmen. Ihre Investitionszurückhaltung in der Vergangenheit hat die Angreifer von innen und außen zusätzlich darin bestärkt zuzuschlagen. Nun werden die Manager in Kenntnis der rigorosen Ausspähungen durch die NSA mit offensichtlichem Ziel ‚Industriespionage‘ eines Besseren belehrt. Zu einer unzureichenden Investitionsbereitschaft hatte in der jüngsten Vergangenheit auch beigetragen, dass in den Unternehmen die Funktionalität von SIEM-Werkzeugen drastisch unterschätzt wurde.

Mehr über die Leistungsfähigkeit von SIEM-Systemen erfahren Sie auf der nächsten Seite.

Bergler: Können Sie näher auf die Leistungsfähigkeit solcher Tool-Sets eingehen?

Neumann: SIEM hat mittlerweile enorm an Reife und Funktionalität zugelegt. Aktuelle, leistungsfähige SIEM-Lösungen wie Arcsight von HP halten nicht nur umfassende Funktionen zur Überwachung und Protokollierung von System Logs und Events mit einer schnellen Alarmierung im Bedarfsfall vor. Sie steuern zudem viele Funktionen zur Analyse und Bewertung von System-Logs und -Events bei. SIEM ist somit zu einem unverzichtbaren Tool-Set für das unternehmensinterne Risikomanagement geworden. Es bringt mehr Transparenz in die unternehmenseigene IT-Architektur und geht parallel möglichen Angriffen von Innen und Außen auf den Grund. So können mittels festgelegter Regeln unter anderem unerwünschte Kommunikationsprozesse und abweichende Nutzungsverhaltensweisen ebenso aufgedeckt werden wie ein unerlaubtes Abzapfen von Geschäftsdaten und andere unübliche Verkehrsmuster. Gerade mit Blick auf potenzielle Ausspähungen ist es extrem wichtig, Anomalien bereits bei ihrer Entstehung auf die Spur zu kommen, um sofort zu alarmieren und schnellstens geeignete Gegenmaßnahmen einzuleiten. Alle Unregelmäßigkeiten werden an der SIEM-Konsole sofort gemeldet beziehungsweise als Alarm dargestellt, parallel für Recherchen oder Prüfungen automatisch protokolliert.

Bildergalerie

Bergler: Herr Biermann, was sind die wesentlichen Impulse für diese leistungssteigernde SIEM-Evolution?

Biermann: Gründe für die Evolution vom einfachen Sichtbarmachen von Ereignissen hin zu einer tiefgehenden Bewertung der erhobenen Daten für ein professionelles Risikomanagement gibt es viele. Da ist einmal die Tatsache, dass die Hersteller von SIEM-Lösungen neue Releases in immer kürzeren Zeitintervallen einspielen. Auf diese Weise wird die SIEM-Software vor allem um immer mehr Funktionen zur Analyse und Bewertung von System-Logs und -Events erweitert. Die notwendige Intelligenz dafür verschaffen sich die Hersteller, indem sie Angriffe in der ganzen Welt beobachten, mögliche Schwachstellen analysieren und die SIEM-Software im Rahmen von Kunden-Abos durch neue, intelligente Funktionen und Regeln für ein professionelles Risikomanagement anreichern. Die Kunden profitieren durch diese wertvollen Zusatzservices der SIEM-Hersteller. Im Unternehmen kann via SIEM-Konsole durchgespielt werden, inwieweit die Abwehr verbessert werden kann, indem bestimmte Regeln beispielsweise innerhalb der Firewall implementiert und anschließend die Logs und Events überwacht, analysiert und bewertet werden.

Bergler: Wie findet das Unternehmen zu seinem individuellen SIEM-Lösungszuschnitt?

Biermann: Das Unternehmen, allen voran die Top-Manager, müssen sich darüber im Klaren sein, welche Geschäftsprozesse und Geschäftsdaten besonders schützenswert sind. An diesen Stellen innerhalb der IT-Architektur ist das Unternehmen für technische Probleme sowie für Angriffe von innen und außen besonders empfänglich. Solche Probleme und Angriffe führen zwangsläufig für das Unternehmen zu Reputations- oder betriebswirtschaftlichen Schäden. Diese Teile der IT-Architektur gilt es mittels des SIEM-Werkzeug-Sets besonders abzuschirmen, indem die Logs und Events dieser Systeme – Komponenten, Dienste, Applikationen, Datenbestände, Verbindungen – permanent überwacht, analysiert und bewertet werden, um bei Bedarf sofort an der Konsole zu alarmieren.

Warum Fachabteilungen in SIEM-Projekte einbezogen werden sollten, lesen Sie auf der nächsten Seite.

Bergler: Wie wichtig ist der Einbezug der Fachabteilungen in dieses Projekt?

Biermann: Sie sollten unbedingt von Anfang an beim Zuschnitt der SIEM-Lösung mitwirken. Die Gründe dafür liegen auf der Hand: Die Fachabteilungen kennen innerhalb ihres Verantwortungsbereichs die Risiken und deren potenzielle Schadensfolgen am besten, sowohl was technische Probleme als auch Angriffsszenarien betrifft. Unter Mitwirkung aller Fachabteilungen ist es zudem möglich, im Projektverlauf ein ganzheitliches Risiko-Gesamtbild zu entwickeln. Es gibt die tatsächliche Bedrohungslage des Unternehmens wider und ermöglicht, das Risikomanagement mittels SIEM im Bewusstsein der geschäftlichen Zusammenhänge ganzheitlich zu konzipieren, etablieren und auszurichten. Nur wenn das Unternehmen beides – die Fokussierung der schützenswerten Teile der IT-Architektur und den Einbezug der Fachabteilungen – von Anfang an beherzigt, ist eine Absicherung und Abschirmung genau nach Anforderungsprofil erreichbar.

Bildergalerie

Bergler: Dennoch dürften in puncto ‚Ausspähung‘ trotz einer professionellen Absicherung mit einem maßgeschneiderten SIEM Lücken bleiben. Was müsste nach Ihrer Einschätzung passieren, damit sich Unternehmen noch besser speziell vor Ausspähungen durch die NSA schützen können?

Biermann: Wenn die großen US-Hersteller den Quellcode ihrer Software offenlegen würden, wäre viel gewonnen. Dann könnten auch diese Quelldaten beispielsweise auf Hintertüren untersucht werden. In diese Richtung ist bisher leider keinerlei Bewegung zu erkennen. Die Hersteller argumentieren, dass sie der Konkurrenz durch die Offenlegung des Quellcodes wesentliche Wettbewerbsvorteile preisgeben würden. Dabei könnten die Hersteller und die USA durch mehr Offenheit weltweit Vertrauen schaffen, das durch die Ausspähungen der NSA und die Zusammenarbeit großer IT-Hersteller mit der NSA weitgehend verlorengegangen ist. Stattdessen als Unternehmen auf SIEM-Systeme aus der Open Source-Ecke zu setzen, um so vor Hintertüren innerhalb des Source Code gefeit zu sein, ist leider keine Alternative zu SIEM-Lösungen aus den USA. Denn Open-Source-SIEM-Systeme sind sowohl was ihre Funktionalität als auch ihre Marktdurchdringung betrifft bisher einfach viel zu schwach aufgestellt.

(ID:42657093)