Suchen

GRC und SIEM wachsen zusammen Security Information Event Management kann GRC zu Erfolg verhelfen

Autor / Redakteur: Sachar Paulus / Stephan Augsten

GRC-Software, also die integrierte Management-Framework-Software für Governance, Risiko- und Compliance-Management, fristet bisher ein ziemliches Schattendasein. Doch in Kombination

Durch die Zusammenarbeit von SIEM- und GRC-Lösungen lässt sich das Risikomanagement optimieren.
Durch die Zusammenarbeit von SIEM- und GRC-Lösungen lässt sich das Risikomanagement optimieren.
( Archiv: Vogel Business Media )

GRC-Software, also die integrierte Management-Framework-Software für Governance, Risiko- und Compliance-Management, fristet bisher ein ziemliches Schattendasein. Doch in Kombination mit SIEM-Lösungen ergibt sich ein weitreichendes Potenzial, das wir in diesem Artikel beleuchten.

Security-Experten wie Analysten, Berater und IT-Architekten sind zunehmend der Meinung, dass es ohne ein integriertes GRC-Framework zu viele System-Schwachstellen in Unternehmen geben kann. Dennoch halten sich die meisten Anwendungsunternehmen mit der Einführung merklich zurück.

Die Geschichte scheint sich zu wiederholen: Unternehmen investieren erst dann in eine ganzheitliche Lösung, wenn sich dies als allgemeiner Trend abzeichnet, und nur wenige agieren aus einem Verständnis für die damit verbundenen Vorteile heraus. Stattdessen setzen die meisten Unternehmen auf Punktlösungen, die spezifische Anforderungen (meist aus Compliance-Sicht heraus) mit relativ wenig Aufwand umsetzen.

Eine Übersicht über die verfügbaren GRC-Produkte ist sehr schwierig, da nicht nur verschiedene Datenmodelle verwendet werden, sondern auch die Begrifflichkeiten selbst. Doch es ist wie mit Enterprise Resource Planning (ERP): nur ein integriertes Rahmenwerk – also eine einheitliche Sprache, standardisierte Prozesse und zentrale Datenhaltungen – adressiert das systemische Problem der mangelnden Governance im Unternehmen.

Der Schwerpunkt der aktuell verfügbaren integrierten GRC-Lösungen liegt – interessanterweise analog zu den Anfängen von ERP – auf der Planung. Hierzu gehören die Policy-Definition, das Abbilden derselben auf Kontrollen, das Abrufen der Compliance der Unternehmensabteilungen und -Prozesse mit diesen Kontrollen und das Verfolgen der Projektarbeit zur Verbesserung der Situation. Und natürlich stellt sich die Frage, ob (und wann) sich eine teure Planungsumgebung im Vergleich zu einfachen Tabellen und händischen Prozessen auszahlt.

SIEM-Lösungen, also Analyse-Tools zur Aggregation von Log-Informationen für Security Information and Event Management, sind in der IT zurzeit sehr trendy. Noch vor einigen Jahren war nicht vorstellbar, dass man sozusagen „in Echtzeit“ sicherheitsrelevante Log-Informationen über Anwendungsgrenzen hinweg aggregieren und auswerten und daraus Warnungen zur aktuellen Bedrohungssituation geben kann.

Aber genau das ist mittlerweile notwendig, da die meisten präventiven Maßnahmen in der Anwendungssicherheit prinzipbedingt nicht wirklich greifen. Durch Security Information and Event Management lässt sich aus den Log-Daten der Firewall und eines Webservers ermitteln, ob der Server erfolgreich angegriffen wurde und welche Anwendungen betroffen sind.

Inhalt

  • Seite 1: GRC- und SIEM-Lösungen
  • Seite 2: SIEM-Lösungen machen betriebsblind
  • Seite 3: SIEM muss sich unterordnen

SIEM-Lösungen machen betriebsblind

Auch wenn SIEM zurzeit überwiegend im IT-Infrastruktur-Umfeld und manchmal auch bei selbstgeschriebenen Anwendungen eingesetzt wird, so ist die Idee komplementär zu der des GRC-Frameworks: Gerichte und Staatsanwaltschaften sorgen die Einhaltung der Gesetze, was mit GRC vergleichbar ist. Derweil hat SIEM die Aufgabe, bei drohender Gefahr schnell reagieren zu können und eventuell bei entstandenem Schaden möglichst schnell zur Klärung beizutragen, was in etwa der Rolle der Polizei entspricht.

Doch die heute meist sehr IT-lastige Ausprägung von SIEM führt oft zu einer Art von Betriebsblindheit: die Events werden nur im Kontext der IT-Assets, nicht aber im Kontext der Business-Assets verstanden. Angriffe hingegen haben inzwischen überwiegend wirtschaftliche Motivationen.

Dementsprechend wollen Angreifer im Unternehmen materiellen Schaden anrichten, der sich überwiegend auf die Business-Assets und selten auf die IT-Assets auswirkt. Die weit überwiegende Zahl der Angriffe im Netz versucht, die Geschäftsprozesse in ihrem Sinn zu manipulieren (etwa: Phishing) – und nicht mehr, „nur“ die IT-Infrastruktur verbotener Weise zu nutzen (wie das z.B. Botnets zum Versenden von Spam-E-Mails).

Wie SIEM und GRC einander ergänzen

Um eine wirklich sinnvolle Auswertung der Logdaten zu ermöglichen, ist also eine Interpretation der Daten im Sinne der Business-Logik, oder besser unter Beachtung der Geschäftsrisiken erforderlich. Und genau da kommt GRC ins Spiel: diese Interpretation kann GRC bieten, da ein GRC Framework ja die Assets und die darauf wirkenden Gefahren und Risiken beschreiben muss, um eine ganzheltliche Risikoadressierung gewährleisten zu können.

Mit anderen Worten: der wahre Wert von SIEM kommt erst zu Tage, wenn die Daten in einem GRC Framework interpretiert werden. Entsprechend profitieren SIEM-Lösungen sehr stark davon, wenn sie ihre Daten und Aggregationstechniken den GRC-Lösungen bereitstellen. SIEM hat also einen „natürlichen“ Drang, sich an GRC-Frameworks anzudocken.

Auf der anderen Seite bieten SIEM-Lösungen für GRC-Frameworks eine reaktive, operationale Komponente, die GRC selbst bisher nicht hat: nämlich aus Echtzeit-Daten tatsächliche – und nicht nur erwartete – Angriffe und Schäden aufzunehmen. Damit wird aus der reinen Planung-Suite ein wirkliches Framework, das auch und gerade im operativen Betrieb Nutzen entwickelt

Eine Kombination aus SIEM und GRC erlaubt es, zeitnah die aktuelle Risiko- und Bedrohungssituation zu erfassen, zu bewerten und natürlich angemessen reagieren zu können. Damit ist die Grundlage für ein automatisiertes Notfallmanagement-System gelegt, dass sich an die Auswertungen der Log-Informationen anschließen kann.

Auch hier lässt sich ein Vergleich zur ERP-Historie ziehen: erst mit der Aufnahme von operativen, über die Organisation verteilten Buchhaltungsprozessen (von Lagerbewegungen über Reisekosten bis zum Gehaltsmanagement) wird die ERP-Suite tatsächlich nutzbringend und – im Vergleich zu anderen Anwendern – zum Benchmark für „Operational Excellence“.

Genau dies ist die Messlatte dafür, ob ein GRC-Framework, oder besser eine integrierte GRC-Applikationslandschaft, zielgerichtet und benefitär eingesetzt wird. Am Ende sollte das Unternehmen im operativen Umgang mit Risiken und Angriffen durch den Einsatz von GRC-Suites besser dastehen als die Konkurrenz – oder es zumindest versuchen.

Inhalt

  • Seite 1: GRC- und SIEM-Lösungen
  • Seite 2: SIEM-Lösungen machen betriebsblind
  • Seite 3: SIEM muss sich unterordnen

SIEM muss sich unterordnen

SIEM wird auch in Zukunft eine wichtige Rolle spielen, da die Versorgung der Interpretationsmaschinen mit den Echtzeit-Daten elementar sein wird, um den Wert der GRC-Plattformen realisieren zu können. Wenn aber diese Komponente so wichtig ist, könnte sie nicht die führende Plattform sein? Es gibt starke Gründe, dies zu bezweifeln: einfach aus dem Grund, dass SIEM-Lösungen in der operativen IT Anwendung findet, dort beschafft und betrieben werden kann – und damit immer „nur“ den IT-Fokus haben.

Es stellt sich aber die Frage, wie die Nicht-IT-Themenbereiche tatsächliche „Angriffe“ und Schäden entdecken und an ein GRC-System melden. Es gibt ja eine Reihe von Lösungen – die sich interessanterweise selbst zu GRC-Lösungen zählen –, die Prozess-Auffälligkeiten in IT-unterstützten Geschäftsprozessen identifizieren können.

Allerdings geben sie ihre Information nicht weiter, weil sie eben annehmen, dass sie die Daten selbst auswerten können. An dieser Stelle wird es interessant sein, ob und gegebenenfalls wie sich eine Standardisierung von Audit-, Event- und weiteren für GRC-Auswertungen interessante Daten gestalten werden wird.

Fakt ist – und das belegen die Interviews, die ich in den letzten Wochen mit GRC-Herstellern hatte –, dass Standardisierung noch überhaupt nicht gesehen wird, weder die Möglichkeit noch der Bedarf. So lange wird SIEM sicherlich eine Speerspitze der Operationalisierung von GRC sein, auch „wenn“ es IT-lastig ist.

SAP und CA bilden mit ihrer Kooperation eine sehr innovative Allianz, und ich bin sicher, dass dies der Anfang einer möglichen Standardisierung für Real-Time-GRC-Datenzulieferung sein könnte. Es bleibt aber abzuwarten, wie die anderen großen Hersteller sich hierzu verhalten.

Sowohl IBM als auch Oracle haben für beide Bereiche Lösungen im Angebot, eine Real-Time-GRC-Variante ist aber bisher nicht abzusehen. Bis dahin werden wohl die meisten Unternehmen sicherlich ihre SIEM-Landschaft vergrößern und verbessern, aber in Bezug auf GRC eher konservativ handeln.

Inhalt

  • Seite 1: GRC- und SIEM-Lösungen
  • Seite 2: SIEM-Lösungen machen betriebsblind
  • Seite 3: SIEM muss sich unterordnen

(ID:2047274)