« zurück

SIEM – Ein wichtiger Baustein zur Abwehr von Cyber-Angriffen

Wie sieht die interne und externe IT-Architektur in Ihrem Hause aus?

Spätestens seit den 80iger Jahren, als sich das Internet entwickelte und viele wichtigen Institutionen Ziele von Angriffen wurden, besteht die Erkenntnis, dass eine frühzeitige Entdeckung von Anomalien wichtig für die Minimierung von Schäden durch Angriffe auf IT-Systeme ist. Insbesondere der Fall „das Kuckucksei“, auch bekannt als der KGBHack, dokumentiert eindrucksvoll, wie ein kleines Ereignis (75 Dollarcent an Rechnerleistung
konnten nicht zugeordnet werden) zur Entdeckung von Spionageangriffen auf militärische US-Einrichtungen führt.

Wurden zur Absicherung gegen Angriffe über das Internet zunächst Firewalls und Zugriffskontrolllisten eingeführt, zeigt die Entwicklung der Technik, dass diese Schutzmaßnahmen nicht mehr ausreichen. Angriffe werden zunehmend unter Ausnutzung von Protokollen durchgeführt, die für die Durchführung üblicher Geschäftsprozesse an Firewalls
freigeschaltet werden müssen.

Angriffe werden also zunehmend auf Applikationsebene durchgeführt. Deshalb sind weitere Maßnahmen im Rahmen von Informationssicherheit erforderlich.

Einige der primären Ziele der Informationssicherheit sind:

  • die Gewährleistung der Kontinuität der Geschäftsprozesse,
  • der Schutz der Assets der Organisation und
  • die Einhaltung der Anforderungen aus Richtlinien und Gesetze (Compliance).

Diese Ziele können nur erreicht werden, wenn die Nachvollziehbarkeit der Prozesse gewährleistet ist und Abweichungen erkannt werden. Eine Methode, Anomalien zu erkennen, ist die automatisierte Auswertung von Log-Informationen und Events, die ohnehin von Systemen erzeugt werden. Aus den gesammelten Events können viele wichtige Indikatoren für Verletzungen der IT-Sicherheit erkannt werden. Wichtig ist, dass schnell und adäquat auf diese Indikatoren reagiert wird.

Hierzu ist das Sammeln, Normalisieren, Korrelieren und Auswerten von Events notwendig, das sich unter dem Begriff Security Information und Event Management (SIEM) zusammenfasst. Mittels SIEM ergibt sich die Möglichkeit, schnell und effizient auf Ereignisse zu reagieren.

Inhalte des Vortrages:

  1. Rahmenbedingungen, die für einen sinnvollen Einsatz eines SIEM-Systems erfüllt sein müssen. Wichtig sind hier die Schnittstellen zu den Vorgaben auf der einen Seite und das Incident Management auf der anderen Seite. Anschließend werden verschiedene Lösungsansätze, Tools und Prozesse skizziert.
  2. Standardisierte, praxiserprobte Lösungsbausteine für die schnelle Integration erforderlicher Basisprozesse. Damit bleiben Aufwände für die schrittweise Einführung eines SIEM-Systems auf für mittelständische Unternehmen gering und damit verbundene Projektrisiken werden begrenzt.
  3. Einbindung von Produktionsanlagen und –netzen in das SIEM-Konzept, da längst nicht mehr nur die kommerzielle IT sondern auch die immer mehr vernetzten Produktionsanlagen Ziel der Angreifer sind.
  4. Ferner wird aufgezeigt, dass ein Unternehmen den Betrieb und den Know-how Aufbau nicht notwendigerweise selbst stemmen muss, sondern auch als Managed Security Service einführen kann.
  5. Im Ausblick wird gezeigt, wie das vorgestellte SIEM-Vorgehen auch bei der Erfüllung der Anforderungen des neuen IT-Sicherheitsgesetzes unterstützt.

Download