Sicherheitsinformationen Security Intelligence gegen raffinierte Attacken

Autor / Redakteur: Dipl.-Phys. Oliver Schonschek / Stephan Augsten

Viele Angriffe auf IT-Systeme werden erst sehr spät festgestellt. Ziel muss es sein, die Zeitspanne zwischen Angriff und Entdeckung deutlich zu verringern. Moderne Lösungen aus dem Bereich Security Information and Event Management (SIEM) helfen dabei.

Unternehmen brauchen eine flexible IT-Sicherheitsstrategie, die sich den aktuellen Bedrohungen anpasst.
Unternehmen brauchen eine flexible IT-Sicherheitsstrategie, die sich den aktuellen Bedrohungen anpasst.
(Bild: GKSD - Fotolia.com)

Cyber-Angriffe werden zunehmend professioneller und zielgerichteter ausgeführt, wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) in den Berichten zur Lage der IT-Sicherheit in Deutschland immer wieder betont. Gleichzeitig ergeben sich aus der rasanten technischen Entwicklung in Bereichen wie Cloud und Mobile Computing fortwährend neue Herausforderungen für die IT- und Cyber-Sicherheit in Deutschland.

Die Gefährdungslage ist dynamisch und erfordert eine flexible IT-Sicherheitsstrategie bei den Unternehmen, die sich den aktuellen Bedrohungen entsprechend anpasst. Doch während angemessene Sicherheitsmaßnahmen von vielen Anwendern nicht konsequent genug umgesetzt werden, beweisen die Angreifer eine hohe Schlagkraft.

Bildergalerie

Wie das Bundeskriminalamt (BKA) im Rahmen der Veröffentlichung des Bundeslagebildes Cybercrime feststellt, reagieren die Cyberkriminellen professionell und flexibel auf neue Sicherheitsstandards und passen ihre Methoden schnell den geänderten Rahmenbedingungen an.

Viele Attacken bleiben unerkannt

Die Zahl der Angriffe auf IT-Systeme nimmt ebenso zu wie die Erfolgsrate der Internet-Kriminellen. Die von BSI und BKA jeweils veröffentlichten Berichte weisen nicht nur auf die wachsenden IT-Bedrohungen hin, sondern auf hohe Dunkelziffern in ihren Statistiken. Die tatsächliche Zahl der erfolgreichen IT-Angriffe ist zweifellos höher als die den Ermittlungsbehörden bekannte.

In dem Dunkelfeld der Internet- und IT-Kriminalität stecken aber noch mehr Gefahren als in den bekannt gewordenen Fällen von IT-Kriminalität. Angreifer, die erst sehr spät oder gar nicht entdeckt werden, können ungestört IT-Systeme und Informationen manipulieren, Daten stehlen oder zerstören. Gegenmaßnahmen zur Verringerung des Schadens werden nicht ergriffen oder können kaum noch etwas ändern.

Reaktionszeiten müssen deutlich verkürzt werden

Wie eine Umfrage von Evalueserve ergab, lässt die Zeitspanne, bis Unternehmen einen Angriff feststellen, den Datendieben viel Gelegenheit, um Schaden anzurichten:

  • sechs Prozent der befragten Firmen haben Schwierigkeiten, einen Angriff überhaupt zu erkennen,
  • sieben Prozent brauchen Monate zur Erkennung eines Angriffs,
  • 14 Prozent erkennen einen Angriff nach mehreren Wochen,
  • 20 Prozent können einen Angriff nach einigen Tagen erkennen,
  • 29 Prozent registrieren auf einen Angriff innerhalb von Stunden und
  • bei 24 Prozent reichen einige Minuten, um eine Attacke festzustellen.

An Sicherheitsinformationen mangelt es nicht

Man könnte vermuten, dass die Unternehmen, die Angriffe auf ihre IT-Systeme erst sehr spät oder überhaupt nicht feststellen, keine Informationen über die Attacken hätten. Tatsächlich aber liegen in den meisten Unternehmen sehr viele sicherheitsrelevante Informationen vor.

Beispiele für Ereignisse und Informationen, die für die Sicherheit relevant sein können, gibt es viele, unter anderem:

  • misslungene Anmeldeversuche im Netzwerk,
  • unübliche Änderungen an Anwendungen oder Netzwerkdiensten,
  • verdächtige Datenströme im Netzwerk,
  • Übertragung größerer Dateien an neue Empfängeradressen,
  • oder geänderte Privilegien für bestimmte Nutzer oder Gruppen.

Woran es wirklich mangelt, ist die umgehende und intelligente Analyse der vielfältigen Sicherheitsinformationen. Die zahlreichen digitalen Spuren, die die Angreifer hinterlassen, müssen gelesen und richtig interpretiert werden. Dazu reicht das einfache Sammeln und Speichern von Protokolldaten oder Log-Dateien nicht aus. Das klassische Log-Management muss um ein Security Information and Event Management (SIEM) erweitert werden.

Mit SIEM zu mehr Security Intelligence

SIEM-Lösungen sind an sich nichts Neues im Bereich der IT-Security. Doch so manches Unternehmen steht immer noch an der Stelle, wo Protokolldaten gesammelt, aber wegen des großen Aufwands nicht ausgewertet und wegen Platzmangels nach kurzer Zeit auch wieder gelöscht werden. Ohne Analyse und ohne ausreichende Speicherdauer werden die Spuren der Angreifer übersehen und später ungewollt beseitigt.

Auf dem deutschen Markt gibt es eine ganze Reihe an SIEM-Lösungen, die für mehr Intelligenz in der Erkennung und Abwehr von Angriffen sorgen könnten. Dieses eBook stellt eine Übersicht zu SIEM-Lösungen dar, um Anwenderunternehmen bei der Lösungssuche zu unterstützen. Dabei werden auch die Möglichkeiten erläutert, eine SIEM-Lösung nicht selbst betreiben zu müssen, sondern als Service aus der Cloud zu beziehen.

Die Cloud bietet zudem eine deutliche Erweiterung der lokalen Security Intelligence in einem Unternehmen, indem zusätzlich Ergebnisse der Analysen eines Security-Providers in das lokal betriebene SIEM des Unternehmens eingespeist wird. So lassen sich sogar Bedrohungen erkennen, bevor diese das eigene Unternehmen erreicht haben.

Dieser Beitrag stammt ursprünglich aus unserem eBook „SIEM im Überblick“. Die Links wurden dabei auf den neuesten Stand gebracht und/oder auf Übersichtsseiten ausgerichtet.

Artikelfiles und Artikellinks

(ID:43784027)

Über den Autor

Dipl.-Phys. Oliver Schonschek

Dipl.-Phys. Oliver Schonschek

IT-Fachjournalist, News Analyst und Commentator bei Insider Research