Security Analytics

Warum ein SIEM mehr als ein SIEM sein kann

04.10.2013 von Andreas Kümmerling
Sicherheitsrelevante Informationen sammeln, korrelieren und auswerten - das ist die Zukunft der IT-Security im Unternehmen. Vieles davon leistet ein SIEM-System bereits heute.

Die zahlreichen Lösungen für SIEM (Security Information and Event Management) auf dem Markt machen es schwer, eindeutig zu erkennen, was mit dem Oberbegriff wirklich gemeint ist. Oftmals wird vor allem über Log-Management und die Analyse von Log-Files diskutiert, doch gute SIEM-Lösungen können noch mehr:

Insbesondere für Unternehmen mit großen Datenaufkommen liegen hier große Chancen. Sie können täglich Vorhersagen über ihr Datenaufkommen, Sicherheitsvorfälle und drohende Engpässe treffen. Der Idealzustand sähe so aus: Alle Mitarbeiter können regelmäßig auf die gewünschten Daten zugreifen und alle Prozesse nahtlos ineinander greifen. Alle Sicherheitsvorfälle können analysiert und lückenlos aufgeklärt werden.

Ein gutes SIEM-System sieht alles.
Foto: fotolia.com/Kobes

Die Realität indes sieht anders aus - unbefugter Zugriff auf Daten und Systeme wird meist viel zu spät oder auch gar nicht bemerkt. Wer SIEM-Lösungen richtig einsetzt, entledigt sich dieser Sorge - Unternehmen können sich diese Werkzeug auch als modernes CCTV-System (Closed Circuit Television) für die IT vorstellen. Ein SIEM funktioniert wie eine Überwachungskamera für die gesamte IT-Infrastruktur. Mit solch einem System lassen sich Einbrüche - hier also Datendiebstähle - feststellen, Einblicke in alle laufenden IT-Operationen gewinnen und schnell überblicken, ob alles so funktioniert wie vorgesehen. Aus dieser Vorstellung heraus lassen sich beispielsweise Wettervorhersagen treffen, Verkehrsengpässe regulieren und Unfälle verhindern, die fristgerechte Anlieferung von Waren steuern oder Deiche vor Überflutungen schützen. Sobald IT-gestützte Systeme im Spiel sind, hat auch ein SIEM einen direkten Einfluss darauf.

Sicherheit als Hauptargument

Um auf die "Kernaufgaben" eines SIEM-Systems zurückzukommen: Seit der Novelle des Bundesdatenschutzgesetzes (BDSG) aus dem Jahr 2009 müssen Unternehmen bei einem Verlust von personenbezogenen Daten die Geschädigten informieren. Das können sie aber nur, wenn sie genau wissen, wer betroffen ist. Eine genaue Auswertung eines Sicherheitsvorfalls ist somit das A und O. Ein SIEM-System kann aber nicht nur das leisten, sondern bereits einen Schritt vorher dazu beitragen, dass es erst gar nicht zu einem Datenverlust kommt. Durch das schnelle Aufspüren von sicherheitsrelevanten Ereignissen kann eine SIEM-Lösung dank Data Loss Prevention (DLP) in Echtzeit Hackerangriffe erkennen, lokalisieren und automatisch melden.

Anforderungen an SIEM-Systeme sind komplex

Damit SIEM-Lösungen ruhigen Gewissens eingesetzt werden können, müssen sie Compliance-Vorschriften wie ISO 2700x, PCI DSS, HIPAA, SOX, NERC und GLBA einhalten. Dazu zählt unter anderem, dass alle netzwerkweit erzeugten Event-Informationen automatisch gesammelt werden müssen. Berichte sollten generell anzeigen, wie viele Events also Ereignisse automatisch aufgezeigt wurden und wie viele dieser zu Folgehandlungen sogenannten False Positives geführt haben. Für Security-Audits sind diese Reportings sehr wertvoll. Ein weiterer wichtiger Aspekt betrifft den Zeitraum, um die aufgetretenen Probleme zu beheben. Hier sollte natürlich alles möglichst schnell gehen und die Behandlung ohne auftretende Komplikationen gelingen. Der Überblick über diese Alarme gelingt dann, wenn Events nach Compliance-Richtlinien definiert werden können.

IP-Filter
Die SIEM-Lösung zeigt unter anderem an, von welcher IP-Adresse aus zu bestimmten Zeiten auf bestimmte Daten (in diesem Fall aus einer IRC-Verbindung) zugreifen.
Gefahrenquellen
Es werden Daten über laufende Programme und Web-Services erhoben.
Art des Traffics
Über welche Protokolle und Web-Services welcher Datenverkehr fließt, lässt sich ebenfalls nachvollziehen.

Zu diesen Anforderungen kommen noch weitere hinzu, die ebenfalls wichtig für die Systeme sind. Dazu zählt, dass gute SIEM-Systeme mehr als 10.000 Events pro Sekunde verarbeiten können, denn dies ist aufgrund der Vielzahl von Daten dringend nötig. Damit Eindringlinge keine Gelegenheit bekommen Log-Dateien zu stehlen oder zu kopieren, um Datendiebstahl zu kaschieren und ihre Spuren zu verwischen, sollten diese vor Manipulation geschützt und nur verschlüsselt übertragen werden. Aus Compliance-Gründen sind die komprimierten Daten nicht nur sicher zu speichern, sondern auch mit einem eindeutigen Zeitstempel zu versehen. Nur dann ist sichergestellt, dass sich die Daten auch nach der Archivierung nachträglich finden und erneut auswerten lassen (Revisionssicherheit).

Was SIEM noch nicht kann

Es gibt eine Reihe von wünschenswerten Features, die SIEM-Lösungen bislang aber nicht bieten:

Fazit

Neben den sicherheitsrelevanten Erfordernissen eines SIEM-Systems sollten natürlich auch andere, eben auch wichtige Log-Daten ausgewertet werden können. Dazu zählen Performance- genauso wie Temperaturdaten, die aus der Ebene der Betriebssysteme aber auch aus einzelnen Geräten und Applikationen stammen. Informationen aus diesen Bereichen lassen Rückschlüsse auf vielfältigen Szenarien zu, die alle IT-abhängigen Systeme betreffen. Es sind diese Möglichkeiten, die einem SIEM so viel Macht verleihen und sowohl der IT-Abteilung als letztlich auch dem CIO persönlich eine große Hilfe sein können.