:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d5/2b/d52bab1274ffd2ebf852bc5151087ce2/0114319310.jpeg "Schweden erlebte im Zusammenhang mit seiner NATO-Bewerbung im Mai einen DDoS-Angriff, der in 500 Gbit/s gipfelte. (Bild: metamorworks - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/7f/237f6b9aba3791359922c4a8177d9695/0114245336.jpeg "Auch 2023 steht am Anfang der meisten komplexen Cyberattacken noch immer eine einfache Phishing-E-Mail. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/98/02/9802905292c1188fc7967a35f617be9d/0114319926.jpeg "Eine Übersicht der drei häufigsten Firewall-Schwachstellen und wie Unternehmen sich schützen können. (Bild: jahidsuniverse - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bd/e0/bde04197ed5519a1743d39b5794da453/0114113339.jpeg ""Warum IT-Sicherheitsplattformen die Antwort auf komplexe Bedrohungen sind", ein Interview von Oliver Schonschek, Insider Research, mit Sven von Kreyfeld von Forescout. (Bild: Vogel IT-Medien / Forescout / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/12/58/12582dfe400f011eb34437a6a7510c94/0114247209.jpeg "Cyberkriminelle nutzen immer häufiger verschlüsselten Datenverkehr um Unternehmen anzugreifen. Gigamons Precryption-Technologie deckt bisher verborgene Bedrohungen auf, einschließlich Lateral Movement, Malware-Verteilung und Datenexfiltration in virtuellen, Cloud- und Container-Anwendungen. (Bild: freshidea - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c8/2a/c82a7e10b02b1679f7eacdc8fa1dafec/0113847105.jpeg "Rubrik setzt bei „AI-Powered Cyber Recovery“ unter anderem auf generative KI. (Bild: Rubrik)")
:quality(80)/p7i.vogel.de/wcms/82/91/8291aade8ce1ba7b0c9ca477cc338fba/0114233278.jpeg "Unternehmen sollten die im Artikel vorgestellten vier Prinzipien umsetzen, offener mit dem Thema Sicherheit umgehen und Informationen und Best Practices zu teilen, um die Sicherheit der gesamten Branche zu verbessern. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/77/6777619429ac7c92cadc7368950ef7ac/0114229692.jpeg "Die neuen Tokentypen Tagespasswort und applikationsspezifisches Passwort in privacyIDEA 3.9 ermöglichen dem Administrator auch in heterogenen Umgebungen, die Authentifizierung an alten Applikationen zentral zu verwalten. (Bild: privacyIDEA)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a5/85/a585575bd16dcca383fb99f047ac6b97/0114320278.jpeg "Organisationen aller Art müssen sicherstellen, dass sie auf Security-Bedrohungen angemessen vorbereitet sind. (Bild: chinnarach - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/40/e0/40e0210cf7edf333e58492904af25b94/0112115131.jpeg "Business Continuity Management (BCM) ist ein ganzheitlicher Ansatz zur Fortführung der Geschäftsprozesse im Krisenfall. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b0/1e/b01e79eb55bde7b9a2d1ec3f6bb609f1/0114319823.jpeg "Im Kampf gegen aktuelle Bedrohungen sind Intelligence-Tools eine gute Hilfe, da sich mit ihnen ein mehrschichtiger Sicherheitswall aufbauen lässt. (Bild: denisismagilov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Anforderungen ans Security Information and Event Management, Teil 2 Sicherheitsüberwachung auch auf Applikationsebene
Bedrohungen adressieren längst nicht mehr nur die Betriebssystemebene mit Diensten wie FTP, Telnet und E-Mail. Weil immer mehr Attacken auf der Anwendungsebene ablaufen, fordern Firmen vermehrt eine Applikationsüberwachung durchs Security Information and Event Management (SIEM).
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/117800/117805/65.png "VIT_Logo_RGB_Full.png ()")
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
Während das Security Information and Event Management (SIEM) beim Netzwerk-Monitoring gute Arbeit leistet, bleiben Anwendungen häufig noch unkontrolliert. Dies gilt vor allem für Webportale, Warenwirtschaftsprogramme, Personendatenverarbeitungs- oder Transaktionssysteme, die aus dem Internet zu erreichen sind.
Vor allem Banken weisen eindringlich darauf hin, dass sie eine Applikationsüberwachung im SIEM benötigen. So berichtete die FAZ bereits Mitte September 2009 über einen Bankangestellten namens Kweku Adoboli, der in London von der Polizei festgenommen worden war. Der 31-Jährige hatte seinerzeit Risikogeschäfte getätigt und die Verluste über fiktive Buchungen verschleiert.
„Von den Risikokontrollen der Investmentbank UBS unentdeckt war der junge Händler Spekulationsgeschäfte in Milliardenhöhe eingegangen“, schrieb die FAZ seinerzeit. „Die Londoner Finanzaufsicht, die Financial Services Authority (FSA), und die schweizerische Aufsicht untersuchen, warum der Händler den Verlust anhäufen konnte und die Risikosysteme der Bank nicht früher Alarm schlugen.“
Applikationskontrolle – leichter gesagt als getan
Offensichtlich können Investmentbänker unkontrolliert kriminelle Geschäfte machen, Unternehmen mit Milliarden Verlusten ruinieren, Arbeitsplätze gefährden und sogar Länder wie die Schweiz in enorme Schwierigkeiten bringen. Solche Sicherheitsrisiken müssen unbedingt auf Applikationsebene erkannt und verhindert werden.
Vermutlich hat die UBS deshalb SIEM- Spezialisten gesucht. Doch den Missbrauch von Anwendungsprogrammen oder Datenbanken zu erkennen, ist eine extrem komplexe Aufgabe. Jedes System funktioniert in seiner Logik grundsätzlich verschieden.
Das Benutzerverhalten wird – wenn überhaupt – programmabhängig in ganz verschiedenen Formaten aufgezeichnet, wie das fiktive Beispiel auf der folgenden Seite erläutert.
Probleme bei der Überwachung von Anwendungen
Gehen wir von folgendem Fall aus: Mithilfe eines Transaktionssystems nimmt ein Investmenthändler Buchungen an der Böse vor. Im weiteren Verlauf wird hier von einem Anwendungsprogramm und einer Datenbank gesprochen. Er hat Gleitzeit und kann sich deshalb jederzeit an dem Programm anmelden und abmelden.
Samstags, Sonntags und Feiertags wird in der Regel nicht gearbeitet. Vom Personal gesteuerte Transaktionen während den arbeitsfreien Zeiträumen wären verdächtig und könnten entsprechend alarmiert werden. Automatisch gesteuerte Transaktionen laufen aber meistens während den arbeitsfreien Zeiten.
Vor diesem Hintergrund müssten das Anwendungsprogramm und auch die Datenbank die automatischen und benutzergesteuerten Transaktionen in ihren Logdaten für das Monitoring unterschiedlich kennzeichnen. Das ist besonders in der Datenbank nicht immer der Fall. Der Zusammenhang zwischen den Aufzeichnungsdaten des Programms und denen der Datenbank muss außerdem nachvollziehbar sein.
Das Anwendungsprogramm und die Datenbank protokolliert im Idealfall die An- und Abmeldevorgänge (aber auch erfolglose Versuche) der Benutzer mit der genauen Uhrzeit und dem Benutzernahmen. Zusätzlich müssen alle Ausführungen und Transaktionen auch durch die Datenbank erfasst werden.
Die hierdurch erzeugte Datenmenge der Aufzeichnungen kann sehr groß werden, so dass diese die IT-Systeme mit ihrer Hardware an ihre Leistungsgrenzen bringen. Es ist dabei zu bedenken, dass sich nicht nur die Benutzer, sondern dass sich auch automatisch ausgeführte Programme unter Umständen mit jedem einzelnen SQL-Aufruf an der Datenbank anmelden.
Technische Herausforderungen
Das Speichervermögen der Festplatten, sowie die Prozessoren müssen bezüglich der Leistungsfähigkeit für das Monitoring besonders angepasst werden. Sonst wird das Anwendungsprogramm unbrauchbar langsam.
Die Protokolle müssen vom SIEM lesbar und auswertbar sein. Das SIEM wird jede einzelne Zeile in einzelne Begriffe zerlegen müssen. Wenn das Anwendungsprogramm für ein einzelnes Ereignis mehrere Zeilen schreibt, weiß der Parser des SIEM nicht, in welcher Zeile die Ereignisbeschreibung beginnt und mit welcher es endet.
Mit solchen Protokolldaten kann es Probleme geben: Anwendungsprogramme und Datenbanksysteme und SIEM sind oft nicht aufeinander abgestimmt. Individuelle Anpassungen sind u.U. machbar aber dann auch sehr teuer. Zusätzlich muss das Benutzerverhalten in der Event-Datenbank gespeichert werden. Analysten sollten dazu in der Lage sein, im SIEM durch selbst geschriebene Regeln falsches von normalen Verhalten unterscheiden.
Diese Regeln werden von den Hersteller nicht mit dem Produkt, also „out of the box“ mitgeliefert, sondern müssen individuell von Analysten eng in Zusammenarbeit mit Bankfachleuten erarbeitet werden. Geeignete Lösungen können grundsätzlich nur in einem längeren und gemeinsamen Lernprozess entwickelt werden.
Sind erst einmal geeignete Regeln implementiert, ist aber nicht garantiert, dass sich interne Mitarbeiter, getrieben durch kriminelle Energie, absichtlich durch ihr Verhalten dieser Kontrollfunktion entziehen. Die Regeln sind eben nur so gut, wie die Fantasie der Analysten und der Bankfachleute, die sie geschrieben haben. Das hat zur Folge, dass die Regeln im SIEM immer wieder überarbeitet und verbessert werden müssen.
Rechtliche Schwierigkeiten der IT-Forensik
Selbst wenn eine technische Lösung in Sicht ist, so kann alles noch vor dem Gericht scheitern. Die gesammelten Daten müssen „echt“ sein und als Beweismittel vor Gericht standhalten. Es darf kein Verdacht aufkommen, dass diese Ereignisdaten nachträglich manipuliert worden sind.
Um eine wirksame Kontrolle zu erreichen, müssen wie bereits erwähnt auch die personenbezogenen Daten protokolliert werden. Hier spielt das Betriebsverfassungs- und das Datenschutzgesetz eine wesentliche Rolle. Das Verfahren muss mit dem Betriebsrat abgestimmt sein. Das Aufbewahrungsverfahren muss gemäß den Datenschutzrichtlinien erfolgen.
Nachdem alle technischen und rechtlichen Herausforderungen gelöst sind, müssen geeignete Prozesse, die das Incident Handling beschreiben, entwickelt werden. Verdächtige Personen dürfen von der Ermittlung keine Kenntnisse erhalten. Das Personal muss fachlich und organisatorisch in der Lage sein, den Fall sicher aufzuklären.
Hier sind noch einmal die Hauptprobleme und Lösungsansätze zusammengefasst:
- Anwendungsprogramme und Datenbanken müssen geeignete Ereignisdaten liefern können. Benutzernamen müssen den Transaktionen zugeordnet werden können.
- Die Hardware müsste unter Umständen neu angepasst werden, weil das Transaktionslogging aktiviert wird. Es wird empfohlen, vor der Aktivierung im Livebetrieb ein Lasttest durchzuführen.
- Das Datenschutzgesetz und Betriebsverfassungsgesetz ist absolut wichtig aber bei einer Applikationsüberwachung ein Problem. Es wird empfohlen den Datenschutzbeauftragten und den Betriebsrat zu beteiligen.
- Wie in klassischen Security-Incident-Prozessen ist das Risiko sehr groß, dass Verursacher während des Ermittlungsverfahrens Kenntnisse erhalten und den Fall vertuschen. Deshalb wird in der Entwicklung des Prozesses und in der Auswahl des Sicherheitspersonals sehr viel Sorgfalt geboten.
- Vor Gericht werden nur die Beweismittel zugelassen, die im Originalzustand sind und nicht manipuliert werden können. Deshalb ist besondere Sorgfalt bei der Speicherung der Aufzeichnungsdaten geboten.
Über den Autor:Udo Sprotte ist (ISC)²-zertifizierter CISSP und Senior Security Consultant.
(ID:38047810)
:quality(80)/p7i.vogel.de/wcms/da/e3/dae352cf5f041b05485f23af1a6c572c/0105300196.jpeg "Ein SIEM beschleunigt die Erkennung von Angriffen deutlich und entlastet die Cyberabwehr von repetitiven Routine-Aufgaben. (Bild: Sergey Nivens - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/dc/ea/dcea3e5e3fee5dbe8dc47f881d0973b4/0105030569.jpeg "Unternehmen und ihre IT-Abteilungen werden auf absehbare Zeit nicht auf den Einsatz von Passwörtern verzichten können. (Bild: Vitalii Vodolazskyi - stock.adobe.com)")