Security Analytics

Warum ein SIEM mehr als ein SIEM sein kann

04. Oktober 2013
Andreas Kümmerling ist Country Manager für die DACH-Region bei LogPoint AS.
Sicherheitsrelevante Informationen sammeln, korrelieren und auswerten - das ist die Zukunft der IT-Security im Unternehmen. Vieles davon leistet ein SIEM-System bereits heute.

Die zahlreichen Lösungen für SIEM (Security Information and Event Management) auf dem Markt machen es schwer, eindeutig zu erkennen, was mit dem Oberbegriff wirklich gemeint ist. Oftmals wird vor allem über Log-Management und die Analyse von Log-Files diskutiert, doch gute SIEM-Lösungen können noch mehr:

  • Events und Log-Files sammeln, korrelieren und analysieren

  • Sicherheitsvorfälle in Echtzeit analysieren

  • Reportings automatisch erstellen

  • Mehr als 10.000 Events pro Sekunde verarbeiten

  • Logs mit einem eindeutigen Zeitstempel versehen

  • Log-Files mit Temperatur- und Performance-Daten auswerten

  • Wichtige Compliance-Richtlinien wie ISO 2700x, PCI DSS, HIPAA, SOX, NERC und GLBA erfüllen

  • Sich schnell und einfach in bestehende IT-Systeme einfügen

Insbesondere für Unternehmen mit großen Datenaufkommen liegen hier große Chancen. Sie können täglich Vorhersagen über ihr Datenaufkommen, Sicherheitsvorfälle und drohende Engpässe treffen. Der Idealzustand sähe so aus: Alle Mitarbeiter können regelmäßig auf die gewünschten Daten zugreifen und alle Prozesse nahtlos ineinander greifen. Alle Sicherheitsvorfälle können analysiert und lückenlos aufgeklärt werden.

Ein gutes SIEM-System sieht alles.
Ein gutes SIEM-System sieht alles.
Foto: fotolia.com/Kobes

Die Realität indes sieht anders aus - unbefugter Zugriff auf Daten und Systeme wird meist viel zu spät oder auch gar nicht bemerkt. Wer SIEM-Lösungen richtig einsetzt, entledigt sich dieser Sorge - Unternehmen können sich diese Werkzeug auch als modernes CCTV-System (Closed Circuit Television) für die IT vorstellen. Ein SIEM funktioniert wie eine Überwachungskamera für die gesamte IT-Infrastruktur. Mit solch einem System lassen sich Einbrüche - hier also Datendiebstähle - feststellen, Einblicke in alle laufenden IT-Operationen gewinnen und schnell überblicken, ob alles so funktioniert wie vorgesehen. Aus dieser Vorstellung heraus lassen sich beispielsweise Wettervorhersagen treffen, Verkehrsengpässe regulieren und Unfälle verhindern, die fristgerechte Anlieferung von Waren steuern oder Deiche vor Überflutungen schützen. Sobald IT-gestützte Systeme im Spiel sind, hat auch ein SIEM einen direkten Einfluss darauf.

Sicherheit als Hauptargument

Um auf die "Kernaufgaben" eines SIEM-Systems zurückzukommen: Seit der Novelle des Bundesdatenschutzgesetzes (BDSG) aus dem Jahr 2009 müssen Unternehmen bei einem Verlust von personenbezogenen Daten die Geschädigten informieren. Das können sie aber nur, wenn sie genau wissen, wer betroffen ist. Eine genaue Auswertung eines Sicherheitsvorfalls ist somit das A und O. Ein SIEM-System kann aber nicht nur das leisten, sondern bereits einen Schritt vorher dazu beitragen, dass es erst gar nicht zu einem Datenverlust kommt. Durch das schnelle Aufspüren von sicherheitsrelevanten Ereignissen kann eine SIEM-Lösung dank Data Loss Prevention (DLP) in Echtzeit Hackerangriffe erkennen, lokalisieren und automatisch melden.

Zur Startseite