Data Gateway – das Tor zur sinnvollen Datennutzung

Hochentwickelte Systeme zur Datenanalyse benötigen Datenmaterial mit Kontextinformationen, um treffsicher Entscheidungen zu fällen und aussagekräftige Ergebnisse zu liefern. Wo der Kontext fehlt, liefern Data Gateways ihn maßgeschneidert nach. 

Mehr oder weniger stark KI-gestützte Analyse-Tools gehören immer häufiger zum Werkzeugarsenal moderner, digitalisierter und automatisierter Unternehmen. Sie unterstützen das Management, Controller, das Marketing, die Produktentwicklung und das Risiko- sowie Sicherheitsmanagement. Als Quellen fungieren Produktionsanlagen, Datenbanken und Warenwirtschafts-Software und Infrastruktur-Systeme wie Serverhardware und Sicherheitswerkzeuge.

Anzeige

Die Qualität der Informationen, die von diesen Assets geliefert wird, variiert allerdings sehr stark und ist nur selten auf die unterschiedlichen Ziele hin optimiert, die eine Organisation bei der Auswertung verfolgt. Handelt es sich um Log-Daten, die analysiert werden sollen, ist deren Format und Inhalt meist auf Wartungs- und Dokumentationszwecke hin ausgelegt. Was vor allem oft fehlt, sind Kontextinformationen.

 

Ohne Kontext läuft KI leer

Was mangelhaft bereitgestellter Kontext für Systeme bedeutet, die Menschen bei business-relevanten Entscheidungen unterstützen sollen, lässt sich besonders gut am Beispiel „Security Operations Center“ (SOC) und dessen technischer Basis erklären. Ein gut implementiertes SOC, dies vorneweg, leistet nicht nur den bekannten Beitrag zur Abwehr akuter Cyber-Gefahren, sondern stellt auch dem Management Planungsinformationen zur Verfügung. Darunter fallen beispielsweise Bedrohungstrends, die die Grundlage für Investitionen in Security-Systeme oder Versicherungen bilden. Nicht minder wichtig sind Daten dazu, welche Produktionsanlagen in einem Werk mit welcher Wahrscheinlichkeit durch Hacker-Angriffe, Ransomware oder ähnliche Cyber-Einwirkungen beeinträchtigt werden könnten und dann Just-in-Time-Prozesse gefährden.

Im Herzen eines SOCs arbeitet in den meisten Fällen ein System fürs Security-Event-und-Information-Management (SIEM) oder ein vergleichbares Monitoring-Werkzeug. Es erbringt seine Leistung, indem es „korreliert“, also einzelne Anomalien auf mögliche Zusammenhänge hin untersucht: Eine bestimmte Auffälligkeit an einer Firewall, zeitgleich entdeckt mit einer zunehmenden Zahl an fehlerhaften Log-Ins an einer Datenbank und der Meldung des Malware-Schutzes, dass offenbar eine bestimmte schädliche Software ins Unternehmen eingeschleust werden soll, ergibt zusammen das Bild eines von anderen Unternehmen her bereits bekannten Angriffs.

In gewissem Maße funktioniert diese rudimentäre KI-Analyse auch dann, wenn nur wenig Kontext-Informationen zur Verfügung stehen – etwa, dass das eine Log eben von einer Firewall stammt und das andere von einer Datenbank. Wirklich aussagekräftig wird ein Ergebnis – hier ein „Event“ oder „Alarm“ – aber erst mit ein paar zusätzlichen Informationen: etwa, ob die betroffene Datenbank kritische Daten beherbergt (zum Beispiel personenbezogene Daten und nicht den Tellerbestand der Kantine), ob die Firewall mit dem Manipulationsversuch tatsächlich für den Schutz dieser Datenbank zuständig ist, und ob beide Systeme auf einem Software-Stand sind, die sie anfällig für den Angriff macht. Kurz: Stehen bereits mit den Logs auch Risiko-Informationen und Beschreibungen der Aufgaben der angegriffenen Assets zur Verfügung, kann das SIEM die möglichen Attacken auch gewichten und damit die Response-Aktivitäten herauf- oder herunterpriorisieren. Dies beschleunigt dann entweder die Abwehr oder entlastet das Security-Team, etwa wenn aufgrund der geringen Bedeutung der Systeme oder eines guten präventiven Security-Status gar keine unmittelbaren Reaktionen notwendig sind.

 

Schnelle Anreicherung von Datenströmen

In einer idealen Welt könnte das SIEM den Kontext und die Risiko-Einstufungen automatisch aus einer CMDB oder einem Asset-Repository abfragen, möglichst auch noch stets aktualisiert. In der Realität sind die meisten Organisationen aber noch weit davon entfernt, entsprechende Informationsbestände vorhalten und pflegen zu können.

Der Einsatz eines Data Gateways, das Log- und andere Analysedaten dynamisch je nach Quelle und Ziel transformieren und um Zusatzinformationen anreichert, kann schneller zum gewünschten Erfolg führen. Für die wirklich kritischen Systeme lassen sich dann gezielt je nach Datenstrom Zusatzinformationen addieren, die dem analysierenden System helfen. Dies betrifft dann bei weitem nicht nur Security-Werkzeuge, sondern beliebige Digitalisierungs- und Automatisierungs-Software, die Informationen aus verschiedenen Quellen auswertet und dazu bestimmte formale und inhaltliche Anforderungen stellt.

Folgende Funktionen gehören beispielsweise zum Leistungsumfang des Data Gateways, dass der  Hersteller Cribl zur Verfügung stellt: 

  • Reduktion des Datenvolumens: Das Data Gateway entfernt leere und optionale oder vom Zielsystem nicht benötigte Felder, entlastet damit das Netz und erhöht den Durchsatz bei der Verarbeitung.
  • Zentrales und Event-basiertes Routing: Das Data Gateway leitet Events zum Beispiel anhand inhaltlicher Merkmale an unterschiedliche Zielsysteme weiter.
  • Verschlüsselung: Das Data Gateway verschlüsselt personenbezogene Daten in Logs, um Anforderungen etwa der DSGVO oder von Normen wie PCI DSS zu erfüllen. Erst im Verdachtsfall wird ein Zugriff auf die Entschlüsselung gewährt. Oft wird im europäischen Raum erst durch diesen Trick die automatisierte Analyse bestimmter Datentypen überhaupt möglich.
  • Anreicherung: Das Data Gateway liefert die oben beschriebenen Kontext-Informationen oder andere Zusatzdaten und trägt dazu bei, Fehler und Abweichungen in den Analysen zu vermeiden, die durch voneinander abweichende Informationsstände und Zugriffsmethoden entstehen.

Data Gateways können modernen, digitalisierten Unternehmen automatisierte Analysen erleichtern und die Komplexität der Kommunikationsströme zwischen Anwendungen und Maschinen deutlich verringern. In hoch automatisierten, IT-gestützten Business-Umgebungen leisten sie einen willkommenen Beitrag zu einer erfolgreichen Digitalisierung.

Dittmann Christoph

LC Systems GmbH -

Head of Data Solutions Services

Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.