Digital Business Cloud

CY­BER­AT­TA­CKEN ER­KEN­NEN, BE­VOR ES ZU SPÄT IST

- VON STEF­FEN KNEIP DER AU­TOR STEF­FEN KNEIP ist Ma­nage­ment Con­sul­tant und Siem-ex­per­te bei der Syn­cwork AG. Tech · Germany · Tool · United States of America · Kraftwerk

SIEM, das Se­cu­ri­ty In­for­ma­ti­on and Event Ma­nage­ment, ist in Deutsch­land noch weit­ge­hend un­be­kannt. Da­bei bie­tet das Tool neue Chan­cen für die It-se­cu­ri­ty: Ein SIEM über­wacht Si­cher­heits­vor­fäl­le in Echt­zeit und schlägt Alarm, be­vor Ha­cker ins Netz­werk ge­lan­gen. Vor­aus­ge­setzt, es ist pass­ge­nau in die be­ste­hen­de It-land­schaft in­te­griert.

Mit Ha­cker­an­grif­fen ver­hält es sich ähn­lich wie mit Ein­brü­chen. Ha­ben die Tä­ter sämt­li­che Bar­rie­ren über­wun­den, geht es ganz schnell: Es wird zer­stört und ge­stoh­len. Be­trof­fe­ne be­mer­ken den Scha­den oft zu spät. Ihr Glau­be an die ver­meint­lich funk­tio­nie­ren­den Schutz­maß­nah­men ist er­schüt­tert. Nach ei­nem Cy­ber­an­griff zwei­feln auch Or­ga­ni­sa­tio­nen an ih­ren Fi­re­walls, Mehr-fak­tor-au­then­ti­sie­run­gen oder an­de­ren Über­wa­chungs­vor­rich­tun­gen an den Zu­gangs­punk­ten. Wie ist es mög­lich, dass Ha­cker ins Netz­werk ge­lan­gen, sich un­er­kannt aus­brei­ten und schlimms­ten­falls Da­ten ab­zie­hen oder Schad­soft­ware hin­ter­las­sen?

IT-SI­CHER­HEIT EF­FEK­TIV AUS­BAU­EN

Mit ei­nem gu­ten Mo­ni­to­ring ge­lingt es, netz­werk­in­ter­ne Ab­läu­fe trans­pa­ren­ter zu ma­chen. Das Se­cu­ri­ty In­for­ma­ti­on and Event Ma­nage­ment, kurz SIEM, ist ein sol­ches Sys­tem, das Si­cher­heits­vor­fäl­le in An­wen­dun­gen und Netz­werk­kom­po­nen­ten in Echt­zeit ana­ly­siert und ver­ar­bei­tet. In den USA be­reits weit ver­brei­tet, steckt es bei uns noch in den Kin­der­schu­hen. Da­bei lässt sich mit ei­nem SIEM die IT-SI­cher­heit ef­fek­tiv aus­bau­en. Ver­ein­facht dar­ge­stellt, wer­den mit die­ser Me­tho­dik vie­le „Events“– egal ob tech­ni­scher als fach­li­cher Na­tur – auf Ebe­ne der In­fra­struk­tur so­wie der Sys­te­me ge­log­ged und durch ein SIEM-TOOL an­hand von fest­ge­leg­ten Re­geln kor­re­liert. Greift so ei­ne Re­gel, löst das Tool ei­nen Alarm aus, der dann als In­ci­dent er­kannt und be­ar­bei­tet wird. So stellt das SIEM-TOOL bei­spiels­wei­se fest, dass es an ei­nem der Sys­te­me ei­nen ge­schei­ter­ten An­mel­de­ver­such von ei­ner be­stimm­ten Ip-adres­se gab. So­weit ganz nor­mal. Bin­nen kur­zer Zeit fol­gen aber wei­te­re ge­schei­ter­te An­mel­de­ver­su­che von der glei­chen IP. Und zwar 100 Stück pro Mi­nu­te. Das SIEM-TOOL schlägt Alarm, da es wahr­schein­lich kein mensch­li­ches Un­ver­mö­gen, son­dern ein com­pu­ter­ge­stütz­ter An­griff ist. Ge­nau­so er­kennt das Tool, wenn sich grö­ße­re Da­ten in­ner­halb ei­nes Netz­werks be­we­gen oder kri­ti­sche Da­ten­sät­ze un­er­laubt ge­än­dert wer­den.

ES KOMMT NICHT AL­LEIN AUF DAS TOOL AN

Ob­wohl be­reits ei­ni­ge deut­sche Un­ter­neh­men über­le­gen Siem-soft­ware ein­zu­set­zen, kommt es nicht nur auf den An­bie­ter an. Die In­te­gra­ti­on in die It-in­fra­struk­tur ist kom­plex. Bei­spiels­wei­se muss si­cher­ge­stellt sein, dass be­ste­hen­de Richt­li­ni­en zur In­for­ma­ti­ons­si­cher­heit er­wei­tert wer­den. Sonst kann es pas­sie­ren, dass das SIEM zwar Alarm schlägt, aber nie­mand da ist, der die Vor­fäl­le be­ar­bei­tet. Bei Syn­cwork emp­feh­len wir un­se­ren Kun­den da­her, Fra­gen der It-go­ver­nan­ce – und der tech­ni­schen und per­so­nel­len Res­sour­cen – früh­zei­tig zu klä­ren.

Wel­ches SIEM-TOOL sich am bes­ten eig­net, zeigt ei­ne An­for­de­rungs­ana­ly­se. An­hand der zu über­wa­chen­den As­sets und der dar­aus ab­ge­lei­te­ten Events pro St­un­de, ge­lingt be­reits ei­ne ers­te Vor­aus­wahl. Zwei Fra­gen gilt es da­bei zu klä­ren: Lässt sich ein vor­han­de­nes In­ci­dent-ma­nage­ment-tool pro­blem­los an­bin­den? Und: Wo sind die Log-da­ten bes­ser auf­ge­ho­ben – in der Cloud oder on-pre­mi­se? Wer die An­for­de­run­gen und den Markt gründ­lich ana­ly­siert, ver­mei­det Fehl­käu­fe und spart Zeit.

KEI­NE SCHEU VOR UNSTRUKTUR­IERTEN LOG-DA­TEN

Der letz­te Schritt, die In­te­gra­ti­on in die In­fra­struk­tur, wird oft als kri­tisch ein­ge­schätzt. Da­bei bie­ten SIEM-TOOLS ei­ne brei­te Aus­wahl mög­li­cher Schnitt­stel­len. Bei der Ver­zah­nung mit der ei­ge­nen IT emp­feh­len wir, mög­lichst al­le ver­füg­ba­ren Log-da­ten aus al­len re­le­van­ten As­sets ein­le­sen. Not­falls auch un­struk­tu­riert. Denn die meis­ten SIEM-TOOLS wer­den be­reits mit vie­len Re­geln oder Kor­re­la­tio­nen aus­ge­lie­fert, so­dass sie vie­le Log-for­ma­te pro­blem­los ein­le­sen kön­nen.

Bis das SIEM ein fes­ter Be­stand­teil der Si­cher­heits­in­fra­struk­tur ist, müs­sen ei­ni­ge Hür­den ge­nom­men wer­den. So muss je­de Or­ga­ni­sa­ti­on für sich de­fi­nie­ren, wie es mit den (in der Re­gel vie­len) Fal­se Po­si­ti­ves um­geht. Auch wer­den längst nicht al­le not­wen­di­gen Logs vor­han­den sein, um im Mo­ni­to­ring ver­ar­bei­tet zu wer­den. Die Pra­xis lehrt auch hier: Wer kom­ple­xe It-pro­jek­te meis­tern will, braucht ei­ne Stra­te­gie, ge­nü­gend Res­sour­cen und muss die ei­ge­ne In­fra­struk­tur bes­tens ken­nen.

 ??  ??
 ??  ??

Newspapers in German

Newspapers from Germany