Wissen, was passiert:

Wie Security Information & Event Management die Sicherheit erhöht

Laut Bitkom-Studie zum „Wirtschaftsschutz in der digitalen Welt“ wurde in den vergangenen Jahren jedes zweite befragte Unternehmen in Deutschland angegriffen. Aus 17 Prozent der Betriebe stahlen Kriminelle sensible digitale Daten, rund jede fünfte Organisation berichtet von Social-Engineering-Attacken. Pro Jahr entstanden etwa 55 Milliarden Euro Schaden durch Wirtschaftsspionage, Sabotage und Datendiebstahl.

Firewalls, Anti-Viren-Software und Incident Management sind nur einzelne Komponenten zum Schutz vor potenziellen Angriffen. Wirksame IT-Sicherheitskonzepte starten schon lange bevor ein Schaden entsteht. Wie wirksames Monitoring mittels Security Information & Event Management (SIEM) auch in mittelständischen Unternehmen für solide Sicherheit sorgt, erläutert Dr. Ulrich Müller, Sprecher der Geschäftsführung des ICT Service Providers operational services GmbH & Co. KG (OS).

Anzeige

Ein ganz normaler Tag im Büro hält zahlreiche Gefahren für wertvolle Unternehmensdaten bereit: Jeder Besuch einer Internetseite birgt das Risiko, unbemerkt einen Drive-by-Download herunterzuladen. Mit dem Lesen von E-Mails unbekannter Absender und dem Öffnen dazugehöriger Anhänge kann schnell im Hintergrund Schadsoftware installiert und aktiviert werden. Unregelmäßige oder verspätete Updates ebnen den Weg für Advanced-Persistent-Threat-Angriffe. Durch private SSL-Verbindungen zu privaten NAS-Systemen werden infizierte Dateien unbemerkt über Firewalls hinweg eingeschleust und führen oft zur Infiltration des Unternehmensnetzwerks.

Bei abgelaufenen Signaturen im Virenscanner wird Schadsoftware nicht erkannt. Hinzu kommen Bedrohungen durch professionelle Crypto-Trojaner und unaufmerksame Mitarbeiter, die eine ideale Angriffsfläche für Social Engineering bieten. Diese und viele weitere Risiken, wie beispielsweise Zero-Day-Schwachstellen, warten tagtäglich auf Unternehmen jeder Größe und aller Branchen. Doch insbesondere im Mittelstand fehlen häufig die Budgets für teure Sandbox-Systeme, Security Operations Center (SOC) oder Cyber Emergency Response Teams (CERT). Hier werden praktikable und ressourcenschonende Lösungen gebraucht, die Sicherheit gewährleisten, ohne die Ressourcen übermäßig zu strapazieren. Um das Risiko so gering wie möglich zu halten, ist Früherkennung das entscheidende Stichwort.

Früh erkennen und einschreiten, bevor es zu spät ist

Im Durchschnitt vergehen zwischen zwei und neun Monaten, bis im Unternehmen eingeschleuste Schadsoftware erkannt wird. Security Information & Event Management (SIEM) setzt auf Echtzeitüberwachung und Auswertung von sicherheitsrelevanten Daten, um diese Zeitspanne auf ein Minimum zu reduzieren. Dazu aggregiert ein entsprechendes System sämtliche Netflow-Informationen, Verbindungen, Log Events, Datenbankaktionen und vieles mehr von Netzwerk-Devices, Security-Komponenten und Servern. Durch Erfassung, Aufbereitung und Korrelation wird es möglich, Zusammenhänge und Muster herauszufinden und auf Basis dieser Erkenntnisse Schlüsse zum Zustand der gesamten Infrastruktur zu ziehen. Den aktuellen Status gleicht das SIEM mit einer Wissensdatenbank ab, die idealerweise nicht nur die klassischen Muster des eigenen Unternehmens enthält, sondern auch Informationen aus zahlreichen anderen Organisationen und IT-Sicherheitslaboren. Von dieser gemeinsamen Datenbasis profitieren alle Teilnehmer, da das gemeinsame Wissen wesentlich größer und damit wertvoller ist als die begrenzten Erfahrungen und Informationen eines einzelnen Betriebes.

Wurde in der Vergangenheit ein Unternehmen angegriffen und speist die Informationen zur Struktur der Attacke in die gemeinsame Wissensdatenbank ein, werden die Systeme aller anderen involvierten Organisationen in einer ähnlichen Situation frühzeitig gewarnt und können Schäden somit vermeiden. Erkennt das SIEM Unregelmäßigkeiten in den aggregierten Informationen aus dem Netzwerk, löst es automatisch einen Alarm aus, der je nach Fall unmittelbar weitere Aktionen nach sich zieht. So können beispielsweise Batch-Dateien direkt vom System gestartet oder Netzwerkports geschlossen werden. Oder das SIEM verschickt E-Mails mit den wichtigsten Informationen zum potenziellen Incident an die betroffenen Verantwortlichen. Auf einem webbasierten Dashboard erhalten die IT-Experten auf einen Blick den aktuellen Sicherheitsstatus, um entsprechend angemessen reagieren und weitere Maßnahmen einleiten zu können. Parallel archiviert das SIEM die Analysebasis und erstellt ein automatisiertes Reporting, um auch im Nachgang des Vorfalls alle Informationen griffbereit zur Verfügung zu stellen.

Nach dem Angriff ist vor dem Angriff

Wurde eine Unregelmäßigkeit erkannt, die auf eine potenzielle Attacke durch Hacker oder Wirtschaftsspione schließen lässt, geht das verantwortliche Team nach der Einleitung gezielter Abwehrmaßnahmen auf Spurensuche: Was ist genau passiert? Wo waren die Schwachstellen? Sind Daten abgeflossen? Welche Systeme sind betroffen? Kam der Angriff von außerhalb oder aus dem eigenen Netzwerk? Diese und viele weitere Fragen müssen im Compliance- und Schwachstellen-Management beantwortet werden, um den aktuellen Fall umfänglich zu durchschauen und aus den Erkenntnissen für die Zukunft zu lernen. Die gute Nachricht lautet: Jegliche Art von Datenmissbrauch hinterlässt Spuren. Diese sind in den Logfiles oder in den Verhaltensmustern diverser IT-Systeme erkennbar. Es gilt nun also, möglichst viel über den Angriff, seine Herkunft und seine Folgen herauszufinden. So kann das Unternehmen aus dem akuten Fall lernen und gestärkt aus einer Attacke hervorgehen.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Umfassende Maßnahmen für bestmögliche Sicherheit

SIEM ist ein wesentlicher Bestandteil einer soliden Security-Strategie. Für einen vollumfänglichen Schutz hilft das Unified Security Management. Hiermit lässt sich ein Ende-zu-Ende-Prozess gestalten, der das Unternehmen vor Angriffen von innen und außen bewahrt. Im ersten Schritt, der Use-Case-Analyse, definieren die Verantwortlichen den Scope, die Datenquellen, notwendige Aktionen im Schadensfall sowie das Design des Gesamtkonstrukts. In der anschließenden Systemintegration werden die Messpunkte am System, Sensoren, Servern und Loggern implementiert. Haben die IT-Experten diese Vorarbeit geleistet, kann ein gut strukturiertes System die nächsten Schritte selbstständig durchführen: Von der Datenerhebung aus Server-, Firewall-, Router- und anderen Logs über die Aggregation und Filterung der Informationen bis hin zur Auswertung unter Berücksichtigung bekannter Muster und Alarmierung im Angriffsfall geschehen alle Prozesse automatisch im Hintergrund. Auch das Reporting und die Archivierung werden vom System übernommen und reichern die bestehende Wissensbasis an. Erst wenn es zu einer Cyber-Attacke kommt, die die Technik nicht selbstständig abwehren kann, greift das manuelle Eskalationsmanagement ein und übergibt ggf. an die Schadsoftware-Eliminierung.

Der frühe Vogel ist sicherer

In Sachen Security ist Vorsicht besser als Nachsicht. Eine gute Vorbereitung schützt vor vielen Angriffsszenarien und gehört zum Pflichtprogramm in jedem Unternehmen. Dazu gehört die Anschaffung von intelligenten Systemen, wie beispielsweise SIEM. Weitere sinnvolle und auch vom Mittelstand technisch beherrschbare Schutzmaßnahmen sind Firewalls, Proxies, Malware Protection Software und ein Berechtigungsmanagement. Darüber hinaus schützt ein Risiko- und Schwachstellenmanagement prozessseitig im Angriffsfall. Und zu guter Letzt dürfen IT-Verantwortliche für den Worst Case die Datensicherung und -wiederherstellung nicht vergessen. Mit einem solchen Tool-Set sind auch mittelständische Betriebe zu überschaubaren Budgets im Bereich Security solide aufgestellt.

Dr Ulrich Müller Dr. Ulrich Müller, Sprecher der Geschäftsführung, operational services GmbH & Co. KG
 

 

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.