Werbung

SIEM: Cyberattacken erkennen, bevor es zu spät ist

Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp
Share on email
Share on print

SIEM: Cyberattacken erkennen, bevor es zu spät ist

Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp
Share on email
Share on print
SIEM, also Security Information und Event Management, ist in Deutschland noch weitestgehend unbekannt. Ein solches System überwacht Sicherheitsvorfälle in Echtzeit und schlägt Alarm, bevor Hacker ins Netzwerk gelangen. Gastautor Steffen Kneip von Syncwork erklärt, wie SIEM optimal in die bestehende IT-Landschaft integriert wird.
SIEM Trustwave

Quelle: Rawpixel.com/shutterstock

Mit Hackerangriffen verhält es sich ähnlich wie mit Einbrüchen. Haben die Täter sämtliche Barrieren überwunden, geht es ganz schnell: Es wird zerstört und gestohlen. Betroffene bemerken den Schaden oft zu spät. Ihr Glaube an die vermeintlich funktionierenden Schutzmaßnahmen ist erschüttert. Nach einem Cyberangriff zweifeln auch Organisationen an ihren Firewalls, Mehr-Faktor-Authentisierungen oder anderen Überwachungsvorrichtungen an den Zugangspunkten. Wie ist es möglich, dass Hacker ins Netzwerk gelangen, sich unerkannt ausbreiten und schlimmstenfalls Daten abziehen oder Schadsoftware hinterlassen? Mit SIEM lässt sich das verhindern.

SIEM: in den USA weit verbreitet, hier weitestgehend unbekannt

Mit einem guten Monitoring gelingt es, netzwerkinterne Abläufe transparenter zu machen. Das Security Information and Event Management, kurz SIEM, ist ein solches System, das Sicherheitsvorfälle in Anwendungen und Netzwerkkomponenten in Echtzeit analysiert und verarbeitet. In den USA bereits weit verbreitet, steckt es bei uns noch in den Kinderschuhen. Dabei lässt sich mit einem SIEM die IT-Sicherheit effektiv ausbauen.

Vereinfacht dargestellt, werden mit dieser Methodik viele „Events“ – egal ob technischer als fachlicher Natur – auf Ebene der Infrastruktur sowie der Systeme gelogged und durch ein SIEM-Tool anhand von festgelegten Regeln korreliert. Greift so eine Regel, löst das Tool einen Alarm aus, der dann als Incident erkannt und bearbeitet wird. So stellt das SIEM-Tool beispielsweise fest, dass es an einem der Systeme einen gescheiterten Anmeldeversuch von einer bestimmten IP-Adresse gab.

Soweit ganz normal. Binnen kurzer Zeit folgen aber weitere gescheiterte Anmeldeversuche von der gleichen IP. Und zwar 100 Stück pro Minute. Das SIEM-Tool schlägt Alarm, da es wahrscheinlich kein menschliches Unvermögen, sondern ein computergestützter Angriff ist. Genauso erkennt das Tool, wenn sich größere Daten innerhalb eines Netzwerks bewegen oder kritische Datensätze unerlaubt geändert werden.

SIEM: Es kommt nicht allein auf das Tool an

Obwohl bereits einige deutsche Unternehmen überlegen SIEM-Software einzusetzen, kommt es nicht nur auf den Anbieter an. Die Integration in die IT-Infrastruktur ist komplex. Beispielsweise muss sichergestellt sein, dass bestehende Richtlinien zur Informationssicherheit erweitert werden. Sonst kann es passieren, dass das SIEM zwar Alarm schlägt, aber niemand da ist, der die Vorfälle bearbeitet. Bei Syncwork empfehlen wir unseren Kunden daher, Fragen der IT-Governance – und der technischen und personellen Ressourcen – frühzeitig zu klären.

Welches SIEM-System sich am besten eignet, zeigt eine Anforderungsanalyse. Anhand der zu überwachenden Assets und der daraus abgeleiteten Events pro Stunde, gelingt bereits eine erste Vorauswahl. Zwei Fragen gilt es dabei zu klären: Lässt sich ein vorhandenes Incident-Management-Tool problemlos anbinden? Und: Wo sind die Log-Daten besser aufgehoben – in der Cloud oder on-premise? Wer die Anforderungen und den Markt gründlich analysiert, vermeidet Fehlkäufe und spart Zeit.

Keine Scheu vor unstrukturierten Log-Daten

Der letzte Schritt, die Integration in die Infrastruktur, wird oft als kritisch eingeschätzt. Dabei bieten SIEM-Tools eine breite Auswahl möglicher Schnittstellen. Bei der Verzahnung mit der eigenen IT empfehlen wir, möglichst alle verfügbaren Log-Daten aus allen relevanten Assets einlesen. Notfalls auch unstrukturiert. Denn die meisten SIEM-Tools werden bereits mit vielen Regeln oder Korrelationen ausgeliefert, sodass sie viele Log-Formate problemlos einlesen können.

Bis das SIEM ein fester Bestandteil der Sicherheitsinfrastruktur ist, müssen einige Hürden genommen werden. So muss jede Organisation für sich definieren, wie es mit den (in der Regel vielen) False Positives umgeht. Auch werden längst nicht alle notwendigen Logs vorhanden sein, um im Monitoring verarbeitet zu werden. Die Praxis lehrt auch hier: Wer komplexe IT-Projekte meistern will, braucht eine Strategie, genügend Ressourcen und muss die eigene Infrastruktur gut kennen.

Siem Syncwork
Steffen Kneip ist Management Consultant bei der Syncwork AG. (Bild: Helen Nicolai BusinessPortraits)

Über den Autor: Steffen Kneip ist Management Consultant und SIEM-Experte bei der Syncwork AG.

Lesen Sie auch: Security Appliance: Fortinet integriert künstliche Intelligenz für schnelle Bedrohungserkennung

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on xing
XING
Share on whatsapp
WhatsApp
Share on email
E-Mail
Share on print
Drucken

Ihre Meinung zum Artikel

Abonnieren
Benachrichtige mich bei
guest
0 Comments
Inline Feedbacks
View all comments

Andere Leser haben sich auch für die folgenden Artikel interessiert

Werbung

Top Jobs

Data Visualization App/BI Developer (m/f/d)
Simon-Kucher & Partners, Germany/Bonn or Cologne
› weitere Top Jobs
Werbung

Redaktionsbrief

Tragen Sie sich zu unserem Redaktionsbrief ein, um auf dem Laufenden zu bleiben.

Werbung
Werbung

Aktuelle Ausgabe

Topthema: Cyber Defense: Wie Unternehmen Hackerangriffe erfolgreich abwehren

Cyber Defense

Mehr erfahren

Wir wollen immer besser werden!

Deshalb fragen wir SIE, was Sie wollen!

Nehmen Sie an unserer Umfrage teil, und helfen Sie uns noch besser zu werden!

zur Umfrage

Tragen Sie sich jetzt kostenlos und unverbindlich ein, um keinen Artikel mehr zu verpassen!

    * Jederzeit kündbar

    Entdecken Sie weitere Magazine

    Schön, dass Sie sich auch für weitere Fachmagazine unseres Verlages interessieren.

    Unsere Fachtitel beleuchten viele Aspekte der Digitalen Transformation entlang der Wertschöpfungskette und sprechen damit unterschiedliche Leserzielgruppen an.