IT-Strategien

SIEM-Lösungen gegen Sicherheitslücken

Mobile Geräte und soziale Netzwerke sind der Albtraum vieler IT-Administratoren. Viele Geräte sind in der Masse nicht administrierbar. Abhilfe schafft eine durchdachte SIEM-Lösung.

SIEM-Lösungen gegen Sicherheitslücken

© Nmedia - Fotolia.com

SIEM-Lösungen gegen Sicherheitslücken

Bei den recht vagen Unternehmensvorgaben und internationalen Standards ist es schwierig, konkrete Anforderungen abzuleiten. Mit einer entsprechenden Software ist es in der Regel möglich, die Reports auf Knopfdruck zu erzeugen, die Archivierung sicherzustellen und bei Vorfällen richtig zu handeln.

Die Knackpunkte bei IT-Compliance-Projekten sind die Auswahl der Softwarelösung und die Abbildung der Prozesse sowie die Integration in die Organisation.

Wenn eine Enterprise-Risk-Management-Software bereits im Hause ist, sollten die wichtigsten technischen Aspekte der IT in diese grafischen Risk & Governance Dashboards integrierbar sein.Jedes zweite deutsche Unternehmen hat keine weiteren Handlungsanweisungen und vordefinierten Prozesse für einen IT-Notfall. Es ist wenig tröstlich, dass für viele andere Organisationseinheiten wie Presse- oder Supportabteilungen im Falle eines medialen Supergaus dasselbe gilt.

Es lässt sich aber feststellen, dass gängige SIEM- und Log-Managementlösungen die Anforderungen der Auditoren übererfüllen und Prozesse durch die Software erforderlich sind und definiert werden müssen. Den Mehrwert für die IT-Organisation liefern gute Security-Management-Lösungen nur dann, wenn sie über rechtliche Anforderungen weit hinausgehen und sich in der technischen Praxis, also im Alltag und im Notfall, bewähren.

Konkrete Überschneidungen ergeben sich aber auch, wenn User-Verhalten, Zugriffe und Datenverwendung (Kopieren, Löschen, Ändern) auf den Datenschutz oder Arbeitnehmerrechte treffen. Das Thema Datenintegrität ist latent vorhanden und wird immer wichtiger.Viele Compliance-Vorgaben verlangen, dass File-Daten und -Attribute sowie Konfigurationsänderungen kritischer Systeme protokolliert werden. Als Beispiel verlangt der Kreditkartenstandard PCI-DSS mit den Anforderungen 10.5.5 und 11.5 die Aufzeichnung der Änderungsparameter.

Damit wird es möglich, eine Beziehung zwischen einem eingeloggten User und einer missbräuchlichen Datenverwendung herzustellen und nachzuverfolgen. Zahlreiche Anbieter, vom Freeware-Projekt bis zum darauf spezialisierten Softwarehersteller, tummeln sich am Markt. Es lohnt sich dabei auch ein Blick auf gängige SIEM-/Log-Managementhersteller, die wichtige Features des File Integrity Monitoring out-of-the-Box mit anbieten.

Voraussetzungen für ein SIEM-Projekt

Die Erstellung eines Notfallhandbuchs oder eines Betriebsführungsleitfadens ist hier an erster Stelle zu nennen. Dieses auch softwaretechnisch abzubilden und auf Stand zu halten, wäre der Idealfall (Stichwort Versionierung).

Während bei "Schönwetter" viele teure Studien und theoretische Arbeiten verfasst werden, zeichnet sich ab, dass bei Vorfällen, die medialen und behördlichen Druck erzeugen, die IT-Mitarbeiter oft alleine im Regen stehen.Effiziente Softwaretools und eine verlässliche Partnerschaft mit IT-Dienstleistern wären hier mit Sicherheit die bessere Investition gewesen und hätten einen raschen Return on Investment ermöglicht, anstatt der "Stranded Costs" von mittlerweile veraltetem und schubladisiertem Wissen.

Nach jedem IT-Vorfall ist die Analyse der erste Schritt zur Verbesserung. Die Erfahrung zeigt, dass die Mitarbeiter die technischen Ereignisse im Griff haben, jedoch bei spontanen Ereignissen konkrete Direktiven und Verantwortlichkeiten verlangen.Im Prinzip sollten IT-Abteilungen für Notfälle gerüstet sein wie Feuerwehren für Großeinsätze - beginnend bei der Gefahreneinschätzung auffälliger Szenarien bis hin zur operativen Alarmierung der Mannschaft via Smartphone.

Es ist durchaus möglich, dass der Fokus bisher zu sehr in die rechtliche Theorie abgeglitten ist, während die Möglichkeit eines Elementarereignisses mit der Folge eines länger währenden Stromausfalls zu wenig bedacht wurde. Aber auch die alltäglichen Gefahren aus dem Internet sind Herausforderung genug.

Gefühlter und tatsächlicher Schutz

In den letzten Monaten zeichnete sich ab, dass sich die Einfallstore für Malware, Botsysteme und Trojaner immer weiter öffnen und die großen Antiviren- und Security-Hersteller teilweise kläglich versagten. Bei den letzten Vergleichstests bezüglich der Android-Plattform zeigte sich, dass die Erkennungsraten teilweise im einstelligen Prozentbereich liegen.

Geht man weiter davon aus, dass die Facebook-Welt keinen botfreien Raum (Stichwort "Koobface") darstellt, ist jedem IT-Verantwortlichen schnell eines bewusst: Zusätzliche Security-Layer sind notwendig und der Fokus muss auf der aktiven Erkennung von vorhandenen Gefahren im eigenen Unternehmen liegen.

Man darf nicht bei der Basis-Abwehr mithilfe von AV- und Firewall-Standardprodukten verharren, denn diese können keine ihnen unbekannte Malware im eigenen Unternehmen aufstöbern. Auf der einen Seite kann eine echte Web-Application-Firewall das individuelle Netzwerkverhalten analysieren und so selbstlernend Anomalien erkennen. Auf der anderen Seite können Honeypot-Systeme alles anlocken, was durch die bisherigen Kontrollen schlüpfte. Idealerweise positioniert man diese Agenten an exponierten Systemen und an den wichtigsten Schnittstellen oder Datenhighways.

Geht man nun von komplexer Malware aus, entwickelt von Hackern, sogenannten Hacktivisten oder staatlichen Einrichtungen, kann man hier sicher sein, dass es Monate oder Jahre dauert und es fast eines Zufalls bedarf, um diese überhaupt zu entdecken.

Fazit

Heutzutage ergibt es durchaus Sinn - vor allem für den klassischen Mittelstand -, hochspezialisierte IT-Security- Aufgaben an einen vertrauenswürdigen Dienstleister zu übergeben. Darunter können einerseits Mail/Gateway-Security-Aufgaben fallen, als auch das Firewall-Management inklusive 24x7-Services und klassische Log-Management-Tasks inklusive Reporting. Bei diesem Thema kann es sinnvoll sein, herkömmliche Cloud-Anbieter zu meiden, damit man bei Vorfällen auch möglichst schnell reagieren kann.

Mehr zum Thema

Qualitätsprüfung mit der richtigen Software
Ratgeber: "Outsourcing"

IDC zeigt in einer aktuellen Testing-Studie, woran es in den Firmen mangelt, wenn sie neue Software auf ihre Praxistauglichkeit prüfen. Um Probleme…
Social Collaboration
IT-Praxis

Laut einer Gartner-Studie setzen bereits 70 Prozent der Unternehmen soziale Technologien zum internen Wissensaustausch ein.
IT-Sicherheit,Tablets,Smartphone,Software
IT-Sicherheit

Immer mehr Mitarbeiter nutzen ihre privaten Mobilgeräte am Arbeitsplatz. Dies stellt Unternehmen vor neue Herausforderungen in Sachen Sicherheit.
Las Vegas
Big Data in Casinos

Die Casinos von Las Vegas sind ein totalüberwachtes, hochtechnisiertes Biotop, in dem Betrüger wenig Möglichkeiten haben.
Powerpoint-Präsentation
Anleitung

Für eine gute Powerpoint-Präsentation gilt es einiges zu beachten - vom Design über Gliederung bis hin zu Vorlagen. Wir erklären die Grundlagen.