Skip to main content

16.04.2015

"SIEM": Sicherheit mit System

Mehrwert durch Überblick

Für die Unternehmensleitung ist es selbstverständlich, auf Fragen “Wie läuft der Verkauf?“, „Wie entwickeln sich unsere Märkte?“ oder „Läuft die Produktion rund?“ Antworten und Kennzahlen jederzeit verfügbar zu haben. Wie aber sieht es aus mit dem Überblick in Bezug auf die Sicherheit der Informationen und Daten?

Hier ist typischerweise die IT-Abteilung in der Pflicht, solche Kennzahlen zu liefern. Dieser Beitrag zeigt einen Lösungsweg auf, wie diese Herausforderung elegant und mit einem Gewinn an Sicherheit und Zuverlässigkeit gelöst werden kann. Hauptziel ist es dabei, Gefährdungen und Angriffe auf die Informationstechnik zu entdecken und abzuwehren, bevor ein Schaden entsteht, der das Geschäft des Unternehmens beeinträchtigt oder zum Erliegen bringt.

Übersicht durch SIEM

Ein Security Information and Event Management System, kurz SIEM, ist eine Lösung, die Aktivitäten in der IT-Landschaft sichtbar macht und nach Angriffskriterien auswertet. SIEM sammelt von den Netzkomponenten, wie Router und Firewalls, den IT-Systemen und Anwendungen die Protokolldaten, sogenannte Logs, ein, wertet diese aus und schlägt Alarm, sobald eine verdächtige Kombination von Ereignissen erkannt wurde.

Hier stellt sich nun die Frage, warum so eine hervorragende Lösung wie SIEM nicht längst überall im Einsatz ist. Die Herausforderung liegt in den zunächst vagen Vorstellungen und Anforderungen an die systematische Auswertung von protokollierten Daten der IT-Landschaft eines Unternehmens. Der erste Schritt, um eine SIEM Lösung erfolgreich einzuführen, liegt darin, zu wissen, welche Daten schützenswert und welche IT-Funktionen kritisch für das Geschäft sind. Der zweite Schritt ist dann, diese Werte durch eine gute und effiziente IT-Sicherheitsarchitektur zu schützen. Hier kommen alle präventiven Maßnahmen, wie Anti-Viren-Systeme, Firewalls, Intrusion Prevention Systeme, Zugriffsschutz, Rollenkonzepte etc. zum Einsatz. In der Regel ist dieser Schutz jedoch nicht lückenlos, zumal die Angreifer beständig neue Methoden entwickeln, Schwachstellen in den IT-Systemen ausnutzen oder die Mitarbeiter als Einfallstor in das Unternehmen nutzen, z. B. durch gut gemachte Phishing E-Mails. Hier setzt im dritten Schritt SIEM an: All die IT-Geräte werden so konfiguriert, dass die Ereignisse, die Hinweise auf Angriffe geben, aufgezeichnet und dem SIEM zur Auswertung weitergeleitet werden.

Verbesserung der Sicherheitslage

Hier ein einfaches Beispiel, dass zeigt, wie SIEM schützt, wenn die Prävention versagt: Schadsoftware gelangt z. B. per Phishing E-Mail auf den Rechner eines Anwenders und übernimmt unbemerkt die Kontrolle. Die Anti-Viren-Software findet nichts, da für diesen Schädling noch keine Signatur vorlag. Damit die Schadsoftware weiß, was sie auf dem Rechner tun soll, kommuniziert sie mit einem Server im Internet, dem sogenannten Command & Control (C&C) Server. Diese Kommunikation zeichnet die Firewall auf, sendet das Ereignis ans SIEM, wo dieses dann anhand einer Liste bekannter C&C Server feststellt, dass der Ziel- Server „böse“ ist und Alarm schlägt. Um Schaden abzuwehren, setzt dies natürlich voraus, dass dieser Alarm auch zeitnah bemerkt und Maßnahmen –hier Bereinigung des infizierten Rechners- eingeleitet werden. Dies ist ein weiterer Grund, warum SIEM Lösungen noch selten anzutreffen sind. Viele Unternehmen scheuen sich, das hierzu notwendige Personal bereit zu stellen. Dieses Problem kann leicht durch einen professionell gemanagten Service behoben werden. Hier zahlt das Unternehmen nur die gebuchten Dienste, benötigt aber kein eigenes Personal. Das Unternehmen muss nur sicherstellen, dass bei einem erkannten Vorfall die vorhandenen Spezialisten die Ursache in der IT-Landschaft beheben.

Nachweis der Compliance

Viele regulatorische Vorgaben verlangen, dass z. B. Dateiinhalte und –attribute, sowie Konfigurationsänderungen kritischer Systeme protokolliert werden. Als Beispiel fordert der Kreditkartenstandard PCI-DSS mit den Anforderungen 10.5.5 und 11.5 die Aufzeichnung der Änderungsparameter. Dank der eingebauten Reporting-Fähigkeiten eines SIEM-Systems ist quasi auf Knopfdruck der aktuelle Status generierbar und geeigneter Input für jedwede Revision verfügbar.

SIEM ist somit der integrale Ansatz beider Bereiche in einer Management-Lösung, mit dem Ziel regelbasiert kontinuierlich die Standards für Sicherheit, Compliance und Qualität des IT-Betriebs zu verbessern. Dieses Regelwerk basiert auf klaren und umfassenden Definitionen, welche Ereignisse relevant sind, wie und mit welcher Priorität auf diese zu reagieren ist.