SIEM: Daten, die Daten schützen

Nicht erst seit den Wahlen in Amerika ist der Schutz von IT-Systemen und den darauf vorhandenen Daten ein heisses Thema. Die Angriffe werden immer ausgeklügelter und erfordern entsprechende Gegenmassnahmen. Mit SIEM wird der Schutz von Systemen ganzheitlich angegangen. Abraxas evaluiert mögliche Lösungen.

von Anton Brauchli für Abraxas Informatik AG 10.04.2017 09:00

Klassische IT-Sicherheitslösungen setzen an den Schnittstellen der zu schützenden Systeme an. Mittels Firewall und Identity- und Access-Management-Lösungen wird kontrolliert, wer auf ein bestimmtes Netzwerk respektive bestimmte Daten zugreifen kann und wem der Zutritt verweigert wird. Es ist das klassische Stadtmauer-Prinzip: Die Guten sind drin, die Bösen sind draussen.

Doch diese Schwarz-Weiss-Sicht auf die Dinge greift auch in der IT-Sicherheit zu kurz. Was nützt der Perimeterschutz, wenn die Tore längst offen und der Feind im System drin ist? Und was, wenn die Daten gar nicht durch jemanden mit bösen Absichten gefährdet werden, sondern durch gutmeinende Personen, welche die Systeme falsch handhaben? In diesen Fällen haben die klassischen Methoden entweder bereits versagt oder greifen schlicht nicht. Sogenannte SIEM-Lösungen schaffen Abhilfe (SIEM steht für Security Information & Event Management).

SIEM ist eine Aufgabe, kein Produkt

Mit SIEM erlangt eine Organisation eine ganzheitliche Sicht auf die Sicherheit ihrer IT-Infrastruktur: Sowohl die Aktivitäten der einzelnen User als auch die Aktivitäten einzelner Systeme werden mit SIEM in Echtzeit überwacht, dokumentiert und ausgewertet. Das System sammelt dazu Protokolle und andere sicherheitsrelevante Daten aus allen Bereichen der Infrastruktur (Netzwerk, Server, Endgeräte etc.).

Durch die intelligente Verknüpfung der dadurch gewonnenen Informationen können anomale Ereignisse und Aktivitäten erkannt und untersucht werden. Und hier zeigt sich die Herausforderung bei der Einführung von SIEM: Zwar bieten die verschiedenen Produkte diverse mehr oder weniger vordefinierte Analyse-Funktionen, die Einbindung von Fachapplikationen und die Definition von Anwendungsfällen muss jedoch manuell erfolgen. Dabei muss der Nutzen eines jeden Use Case laufend überprüft und dessen Ausprägung angepasst werden.

Eine SIEM-Lösung kann eine Organisation in vielen Bereichen unterstützen: 

  • Schutz der Reputation einer Organisation
  • Identifizierung echter Bedrohungen aus der grossen Masse an Ereignissen
  • Erfüllung von Compliance-Anforderungen
  • Erkennen und Abwehren von Angriffen
  • Feststellen von Datenzugriffen, Datenmanipulationen und Verhindern von Datenabflüssen
  • Identifizierung von Administrator-Zugriffen
  • Erhöhen der allgemeinen Visibilität im Netzwerk
  • Erstellen granularer Analysen von Zwischenfällen
  • Frühzeitiges Erkennen von anormalem Benutzerverhalten

Eine gut verwaltete SIEM-Lösung wird immer besser

Die Komplexität eines solchen Systems lässt sich aus dem vorangegangenen Beschrieb erahnen. Und es versteht sich, dass die Qualität und damit der Nutzen von SIEM mit dem Knowhow der verantwortlichen Spezialisten und der richtigen Kalibrierung des Systems steht oder fällt. Man kann SIEM hier mit einem Bewegungsmelder für die Beleuchtung vergleichen: Ist dieser so fein eingestellt, dass jede Mücke ihn auslöst, dann ist der Stromspareffekt gleich null oder gar negativ. Ist er zu wenig sensibel, dann erfüllt die Beleuchtung ihren Zweck nicht mehr.

Ein SIEM muss daher permanent von geschultem Security-Personal überwacht werden. Diese Spezialisten verfolgen das aktuelle Geschehen, beurteilen die aufbereiteten Informationen und können bei Bedarf unmittelbar eingreifen. Sie sind es auch, welche die SIEMPlattform laufend optimieren und mittels Reports zuhanden des Managements den Informationsfluss in der Organisation sicherstellen.

Ein Security-Vorfall wird typischerweise nach dem folgenden Muster behandelt:

1. Verifizierung und Qualifizierung des Vorfalls

2. Information der definierten verantwortlichen Stellen

3. Je nach Bedrohungslage werden die Gegenmassnahmen mit dem Kunden besprochen

4. Einleitung der definierten Aktionen respektive Gegenmassnahmen

5. Vertiefte Analyse der Vorfälle und abschliessende Berichterstattung

Um Daten schützen zu können, reicht es heute nicht mehr, die Peripherie der Systeme zu überwachen. Um Daten schützen zu können, reicht es heute nicht mehr, die Peripherie der Systeme zu überwachen.

Klein anfangen und laufend ausbauen

Die Komplexität einer SIEM-Lösung ist zwar naturgemäss hoch, variiert aber je nach den Anforderungen und Bedürfnissen einer Organisation. Je höher der Automatisierungsgrad der Datenauswertung, desto einfacher ist die Lösung zu bedienen. Allerdings steigt auch die Gefahr, dass relevante Informationen dem Filter zum Opfer fallen, bevor sie den verantwortlichen Personen vorliegen. Am Anfang der Einführung steht deshalb die Aufnahme der Ziele und der Erwartungshaltung der Verantwortlichen. Ein wichtiger Aspekt ist dabei auch der Datenschutz, der vorgibt, welche Informationen überhaupt ausgewertet werden dürfen. Danach empfiehlt es sich grundsätzlich, klein anzufangen und das System Schritt für Schritt aufzubauen. Mit jedem neuen Anwendungsfall wachsen Effektivität und Nutzen des Systems.

Eine SIEM-Plattform lebt von der Qualität und der Quantität der angelieferten Informationen (zum Beispiel Logs, Netflows, Scans). Die Verfügbarkeit der Informationen ist stark von den Umsystemen abhängig und kann in der Regel nur in Enterprise- Umgebungen sinnvoll bereitgestellt werden. Da die Lizenzmodelle der meisten SIEM-Hersteller auf EPS (Events-Per-Second) basieren, können Erweiterungen auch zu Mehrkosten führen. Daher sind diese jeweils auch aus wirtschaftlicher Sicht zu prüfen.

Zum Autor

Anton Brauchli, Solution Architekt Anton Brauchli, Solution Architekt
Autor: Anton Brauchli, Solution Architekt, Abraxas Informatik AG.

Zum Unternehmen: Die Abraxas Informatik AG ist ein erfahrenes Schweizer ICT-Unternehmen mit breitem Leistungsangebot für öffentliche Verwaltungen, Organisationen im staatlichen Umfeld sowie Privatunternehmen. Die Abraxas Informatik AG ist ein mittelständisches IT-Dienstleistungsunternehmen mit rund 500 Mitarbeiterinnen und Mitarbeitern und neun Standorten in der Schweiz. Abraxas ist seit der Gründung auf dem Gebiet der Infrastrukturund Outsourcing-Dienstleistungen sowie der Software-Entwicklung tätig. 

Mehr Informationen: www.abraxas.ch

Firmenfachbeitrag als PDF downloaden

Dieser Beitrag wurde von der Abraxas Informatik AG zur Verfügung gestellt und stellt die Sicht des Unternehmens dar. Computerworld übernimmt für dessen Inhalt keine Verantwortung.