SIEM: Cyberattacken erkennen, bevor es zu spät ist

Mit Hackerangriffen verhält es sich ähnlich wie mit Einbrüchen. Haben die Täter sämtliche Barrieren überwunden, geht es ganz schnell: Es wird zerstört und gestohlen. Betroffene bemerken den Schaden oft zu spät. Ihr Glaube an die vermeintlich funktionierenden Schutzmaßnahmen ist erschüttert. Nach einem Cyberangriff zweifeln auch Organisationen an ihren Firewalls, Mehr-Faktor-Authentisierungen oder anderen Überwachungsvorrichtungen an den Zugangspunkten. Wie ist es möglich, dass Hacker ins Netzwerk gelangen, sich unerkannt ausbreiten und schlimmstenfalls Daten abziehen oder Schadsoftware hinterlassen? Mit SIEM lässt sich das verhindern.

SIEM: in den USA weit verbreitet, hier weitestgehend unbekannt

Mit einem guten Monitoring gelingt es, netzwerkinterne Abläufe transparenter zu machen. Das Security Information and Event Management, kurz SIEM, ist ein solches System, das Sicherheitsvorfälle in Anwendungen und Netzwerkkomponenten in Echtzeit analysiert und verarbeitet. In den USA bereits weit verbreitet, steckt es bei uns noch in den Kinderschuhen. Dabei lässt sich mit einem SIEM die IT-Sicherheit effektiv ausbauen.

Vereinfacht dargestellt, werden mit dieser Methodik viele „Events“ – egal ob technischer als fachlicher Natur – auf Ebene der Infrastruktur sowie der Systeme gelogged und durch ein SIEM-Tool anhand von festgelegten Regeln korreliert. Greift so eine Regel, löst das Tool einen Alarm aus, der dann als Incident erkannt und bearbeitet wird. So stellt das SIEM-Tool beispielsweise fest, dass es an einem der Systeme einen gescheiterten Anmeldeversuch von einer bestimmten IP-Adresse gab.

Soweit ganz normal. Binnen kurzer Zeit folgen aber weitere gescheiterte Anmeldeversuche von der gleichen IP. Und zwar 100 Stück pro Minute. Das SIEM-Tool schlägt Alarm, da es wahrscheinlich kein menschliches Unvermögen, sondern ein computergestützter Angriff ist. Genauso erkennt das Tool, wenn sich größere Daten innerhalb eines Netzwerks bewegen oder kritische Datensätze unerlaubt geändert werden.

SIEM: Es kommt nicht allein auf das Tool an

Obwohl bereits einige deutsche Unternehmen überlegen SIEM-Software einzusetzen, kommt es nicht nur auf den Anbieter an. Die Integration in die IT-Infrastruktur ist komplex. Beispielsweise muss sichergestellt sein, dass bestehende Richtlinien zur Informationssicherheit erweitert werden. Sonst kann es passieren, dass das SIEM zwar Alarm schlägt, aber niemand da ist, der die Vorfälle bearbeitet. Bei Syncwork empfehlen wir unseren Kunden daher, Fragen der IT-Governance – und der technischen und personellen Ressourcen – frühzeitig zu klären.

Welches SIEM-System sich am besten eignet, zeigt eine Anforderungsanalyse. Anhand der zu überwachenden Assets und der daraus abgeleiteten Events pro Stunde, gelingt bereits eine erste Vorauswahl. Zwei Fragen gilt es dabei zu klären: Lässt sich ein vorhandenes Incident-Management-Tool problemlos anbinden? Und: Wo sind die Log-Daten besser aufgehoben – in der Cloud oder on-premise? Wer die Anforderungen und den Markt gründlich analysiert, vermeidet Fehlkäufe und spart Zeit.

Keine Scheu vor unstrukturierten Log-Daten

Der letzte Schritt, die Integration in die Infrastruktur, wird oft als kritisch eingeschätzt. Dabei bieten SIEM-Tools eine breite Auswahl möglicher Schnittstellen. Bei der Verzahnung mit der eigenen IT empfehlen wir, möglichst alle verfügbaren Log-Daten aus allen relevanten Assets einlesen. Notfalls auch unstrukturiert. Denn die meisten SIEM-Tools werden bereits mit vielen Regeln oder Korrelationen ausgeliefert, sodass sie viele Log-Formate problemlos einlesen können.

Bis das SIEM ein fester Bestandteil der Sicherheitsinfrastruktur ist, müssen einige Hürden genommen werden. So muss jede Organisation für sich definieren, wie es mit den (in der Regel vielen) False Positives umgeht. Auch werden längst nicht alle notwendigen Logs vorhanden sein, um im Monitoring verarbeitet zu werden. Die Praxis lehrt auch hier: Wer komplexe IT-Projekte meistern will, braucht eine Strategie, genügend Ressourcen und muss die eigene Infrastruktur gut kennen.

Über den Autor: Steffen Kneip ist Management Consultant und SIEM-Experte bei der Syncwork AG.

Lesen Sie auch: Security Appliance: Fortinet integriert künstliche Intelligenz für schnelle Bedrohungserkennung