IT-Strategien

SIEM-Lösungen gegen Sicherheitslücken

8.1.2014 von Business & IT

Mobile Geräte und soziale Netzwerke sind der Albtraum vieler IT-Administratoren. Viele Geräte sind in der Masse nicht administrierbar. Abhilfe schafft eine durchdachte SIEM-Lösung.

ca. 3:55 Min
Business-it
VG Wort Pixel
SIEM-Lösungen gegen Sicherheitslücken
SIEM-Lösungen gegen Sicherheitslücken
© Nmedia - Fotolia.com

Bei den recht vagen Unternehmensvorgaben und internationalen Standards ist es schwierig, konkrete Anforderungen abzuleiten. Mit einer entsprechenden Software ist es in der Regel möglich, die Reports auf Knopfdruck zu erzeugen, die Archivierung sicherzustellen und bei Vorfällen richtig zu handeln.

Die Knackpunkte bei IT-Compliance-Projekten sind die Auswahl der Softwarelösung und die Abbildung der Prozesse sowie die Integration in die Organisation.

Wenn eine Enterprise-Risk-Management-Software bereits im Hause ist, sollten die wichtigsten technischen Aspekte der IT in diese grafischen Risk & Governance Dashboards integrierbar sein.Jedes zweite deutsche Unternehmen hat keine weiteren Handlungsanweisungen und vordefinierten Prozesse für einen IT-Notfall. Es ist wenig tröstlich, dass für viele andere Organisationseinheiten wie Presse- oder Supportabteilungen im Falle eines medialen Supergaus dasselbe gilt.

Es lässt sich aber feststellen, dass gängige SIEM- und Log-Managementlösungen die Anforderungen der Auditoren übererfüllen und Prozesse durch die Software erforderlich sind und definiert werden müssen. Den Mehrwert für die IT-Organisation liefern gute Security-Management-Lösungen nur dann, wenn sie über rechtliche Anforderungen weit hinausgehen und sich in der technischen Praxis, also im Alltag und im Notfall, bewähren.

Konkrete Überschneidungen ergeben sich aber auch, wenn User-Verhalten, Zugriffe und Datenverwendung (Kopieren, Löschen, Ändern) auf den Datenschutz oder Arbeitnehmerrechte treffen. Das Thema Datenintegrität ist latent vorhanden und wird immer wichtiger.Viele Compliance-Vorgaben verlangen, dass File-Daten und -Attribute sowie Konfigurationsänderungen kritischer Systeme protokolliert werden. Als Beispiel verlangt der Kreditkartenstandard PCI-DSS mit den Anforderungen 10.5.5 und 11.5 die Aufzeichnung der Änderungsparameter.

Damit wird es möglich, eine Beziehung zwischen einem eingeloggten User und einer missbräuchlichen Datenverwendung herzustellen und nachzuverfolgen. Zahlreiche Anbieter, vom Freeware-Projekt bis zum darauf spezialisierten Softwarehersteller, tummeln sich am Markt. Es lohnt sich dabei auch ein Blick auf gängige SIEM-/Log-Managementhersteller, die wichtige Features des File Integrity Monitoring out-of-the-Box mit anbieten.


Voraussetzungen für ein SIEM-Projekt

Die Erstellung eines Notfallhandbuchs oder eines Betriebsführungsleitfadens ist hier an erster Stelle zu nennen. Dieses auch softwaretechnisch abzubilden und auf Stand zu halten, wäre der Idealfall (Stichwort Versionierung).

Während bei "Schönwetter" viele teure Studien und theoretische Arbeiten verfasst werden, zeichnet sich ab, dass bei Vorfällen, die medialen und behördlichen Druck erzeugen, die IT-Mitarbeiter oft alleine im Regen stehen.Effiziente Softwaretools und eine verlässliche Partnerschaft mit IT-Dienstleistern wären hier mit Sicherheit die bessere Investition gewesen und hätten einen raschen Return on Investment ermöglicht, anstatt der "Stranded Costs" von mittlerweile veraltetem und schubladisiertem Wissen.

Nach jedem IT-Vorfall ist die Analyse der erste Schritt zur Verbesserung. Die Erfahrung zeigt, dass die Mitarbeiter die technischen Ereignisse im Griff haben, jedoch bei spontanen Ereignissen konkrete Direktiven und Verantwortlichkeiten verlangen.Im Prinzip sollten IT-Abteilungen für Notfälle gerüstet sein wie Feuerwehren für Großeinsätze - beginnend bei der Gefahreneinschätzung auffälliger Szenarien bis hin zur operativen Alarmierung der Mannschaft via Smartphone.

Es ist durchaus möglich, dass der Fokus bisher zu sehr in die rechtliche Theorie abgeglitten ist, während die Möglichkeit eines Elementarereignisses mit der Folge eines länger währenden Stromausfalls zu wenig bedacht wurde. Aber auch die alltäglichen Gefahren aus dem Internet sind Herausforderung genug.

Gefühlter und tatsächlicher Schutz

In den letzten Monaten zeichnete sich ab, dass sich die Einfallstore für Malware, Botsysteme und Trojaner immer weiter öffnen und die großen Antiviren- und Security-Hersteller teilweise kläglich versagten. Bei den letzten Vergleichstests bezüglich der Android-Plattform zeigte sich, dass die Erkennungsraten teilweise im einstelligen Prozentbereich liegen.

Geht man weiter davon aus, dass die Facebook-Welt keinen botfreien Raum (Stichwort "Koobface") darstellt, ist jedem IT-Verantwortlichen schnell eines bewusst: Zusätzliche Security-Layer sind notwendig und der Fokus muss auf der aktiven Erkennung von vorhandenen Gefahren im eigenen Unternehmen liegen.

Man darf nicht bei der Basis-Abwehr mithilfe von AV- und Firewall-Standardprodukten verharren, denn diese können keine ihnen unbekannte Malware im eigenen Unternehmen aufstöbern. Auf der einen Seite kann eine echte Web-Application-Firewall das individuelle Netzwerkverhalten analysieren und so selbstlernend Anomalien erkennen. Auf der anderen Seite können Honeypot-Systeme alles anlocken, was durch die bisherigen Kontrollen schlüpfte. Idealerweise positioniert man diese Agenten an exponierten Systemen und an den wichtigsten Schnittstellen oder Datenhighways.

Geht man nun von komplexer Malware aus, entwickelt von Hackern, sogenannten Hacktivisten oder staatlichen Einrichtungen, kann man hier sicher sein, dass es Monate oder Jahre dauert und es fast eines Zufalls bedarf, um diese überhaupt zu entdecken.

Fazit

Heutzutage ergibt es durchaus Sinn - vor allem für den klassischen Mittelstand -, hochspezialisierte IT-Security- Aufgaben an einen vertrauenswürdigen Dienstleister zu übergeben. Darunter können einerseits Mail/Gateway-Security-Aufgaben fallen, als auch das Firewall-Management inklusive 24x7-Services und klassische Log-Management-Tasks inklusive Reporting. Bei diesem Thema kann es sinnvoll sein, herkömmliche Cloud-Anbieter zu meiden, damit man bei Vorfällen auch möglichst schnell reagieren kann.

Nächste passende Artikel

Router auf einem Schreibtisch. Im Hintergrund nutzt ein Mann Smartpohone und Laptop

IT-Sicherheitskennzeichen

BSI kennzeichnet ab sofort sichere Router
Handwerkerin mit einem Tablet in einer Werkstatt

Praxisreport "Mittelstand @…

Cyberangriffe: Kein ausreichender Schutz im…
Logo der Computex mit Datum: 24. bis 27. Mai 2022

Größte IT-Messe Asiens

Computex 2022: IT-Messe findet als Hybrid-Event…
shutterstock Whiteboard

Business & IT

5 Digitale Whiteboards im Test
Kundenbarometer IT-Händler 2021: Wie zufrieden sind die Kunden?

Kundenservice,…

Kundenbarometer IT-Händler 2021: Wie zufrieden…
cebit 2018 webseite

Neuer Termin, neues Konzept

Cebit 2018: Wie sich die IT-Messe im Juni neu…
IT Trends 2018

Prognose

Bitcoin, KI und Co: Das sind die IT-Trends 2018
it-sa 2017 in Nürnberg

Vorschau

it-sa 2017: IT-Security im Überblick
Überrasch’ mich!
mehrweniger

Mehr zum Thema

Qualitätsprüfung mit der richtigen Software

Ratgeber: "Outsourcing"

Qualitätsprüfung mit der richtigen Software

Thin Clients ersetzen PCs

IT-Praxis

Thin Clients ersetzen PCs

Social Collaboration

IT-Praxis

Social Collaboration im Unternehmen

Sicherheit und Freiheit ausbalancieren

IT-Sicherheit

Sicherheit und Freiheit ausbalancieren

IT-Sicherheit,Tablets,Smartphone,Software

IT-Sicherheit

Bring Your Own Device und die Netzwerksicherheit

Weiter zur Startseite