Computerpartner

  
Sie befinden sich hier: HOMENachrichtenServiceIm Gespräch
15.01.2016

Per SIEM die IT-Architektur absichern und abschirmen

Besser auf Nummer sicher: Security Information and Event Management, kurz: SIEM, gewinnt für Unternehmen immer mehr an Bedeutung. Das Werkzeug-Set bietet sich, außer zur Absicherung einer korrekt, also hochverfügbar arbeitenden IT, zur Abwehr von internen und externen Angriffen an. ComputerPartner hat sich mit Thomas Neumann, Senior IT Compliance Expert, und Tom Biermann, Business Developer Compliance, beide bei TWINSOFT GmbH und Co. KG., unterhalten.

Mathias Hein

Zur Vergrößerung anklicken

Thomas Neumann

Herr Neumann, was zeichnet leistungsfähige SIEM-Lösungen aus?

Neumann: Sie halten einerseits die Werkzeuge vor, um die System-Logs und -Events installierter Systeme permanent zu überwachen. Andererseits bieten sie geeignete Tools, um System-Logs und -Events hinsichtlich möglicher Risiken für die Geschäftsprozesse und somit die laufenden Geschäfte zu analysieren. Weil auch die meisten Angriffe von innen und außen, Stichwort: Ausspähungen, zu abnormen System-Logs oder -Events führen, empfiehlt sich SIEM zudem zur Erkennung und Abwehr dieser Gefahren.

Also sprechen viele Gründe für den Einsatz von SIEM. Wie kommt diese Offerte bisher in den Unternehmen an?

Neumann: Sie wird nach heutigem Stand von den Unternehmen nicht hinreichend eingeplant und eingesetzt. Die meisten Unternehmen fühlen sich immer noch verhältnismäßig sicher, was ihre Geschäftsabläufe und Geschäftsdaten betrifft. Insbesondere durch die rigorosen Ausspähungen von Geheimdiensten mit dem möglichen Ziel Industriespionage schwindet aber allmählich das trügerische Gefühl in den Unternehmen, verhältnismäßig sicher zu sein. Diese Veränderung wird den Einsatz von SIEM-Lösungen in den Unternehmen pushen.

Eine weitere wichtige Triebfeder für die Einführung und Verwendung von SIEM-Tools werden auch zukünftig regulatorische Vorgaben, zu Neudeutsch: Compliance, sein. Schließlich gewährleisten solche Tools nicht nur die Überwachung und Alarmierung, sondern leisten auch äußerst hilfreiche Dienste beim Reporting und der durch Compliance-Auflagen erforderlichen Dokumentation.

Was waren bisher die Gründe, dass Unternehmen der SIEM-Offerte eher zurückhaltend begegneten?

Neumann: Die Zurückhaltung ging vor allem vom Unternehmensmanagement aus. Solange in den Augen der Top-Manager die IT nicht oder nur geringfügig betroffen ist, sah man hier keinen Anlass, in SIEM zu investieren. Das Problem: Die wenigsten Attacken wurden und werden vom IT-Bereich registriert. Die wenigen Angriffe, die aufgefallen sind, wurden allzu oft von der IT-Abteilung nicht dem Management mitgeteilt. Die Folge: Schon in der jüngsten Vergangenheit war die Gefahr, Opfer beispielsweise von Ausspähungen geworden zu sein, ungleich größer als die Top-Manager annahmen.

Ihre Investitionszurückhaltung in der Vergangenheit hat die Angreifer von innen und außen zusätzlich darin bestärkt zuzuschlagen. Nun werden die Top-Manager in Kenntnis der rigorosen Ausspähungen durch die National Security Agency (NSA) mit offensichtlichem Ziel "Industriespionage" eines Besseren belehrt. Zu einer unzureichenden Investitionsbereitschaft hatte in der jüngsten Vergangenheit auch beigetragen, dass in den Unternehmen die Funktionalität des SIEM-Werkzeug-Sets drastisch unterschätzt wurde.

Können Sie näher auf die Leistungsfähigkeit solcher Tool-Sets eingehen?

Neumann: SIEM hat mittlerweile enorm an Reife und Funktionalität zugelegt. Aktuelle, leistungsfähige SIEM-Lösungen wie ArcSight von HP halten nicht nur eine umfassende Funktionalität zur Überwachung und Protokollierung von System Logs und Events mit einer schnellen Alarmierung im Bedarfsfall vor. Sie steuern zudem viele Funktionen zur Analyse und Bewertung von System-Logs und -Events bei. SIEM ist somit zu einem unverzichtbaren Tool-Set für das unternehmensinterne Risikomanagement geworden. Es bringt mehr Transparenz in die unternehmenseigene IT-Architektur und geht parallel möglichen Angriffen von Innen und Außen auf den Grund. 

So können mittels festgelegter Regeln unter anderem unerwünschte Kommunikationsprozesse und abweichende Nutzungsverhaltensweisen ebenso aufgedeckt werden wie ein unerlaubtes Abzapfen von Geschäftsdaten und andere unübliche Verkehrsmuster. Gerade mit Blick auf potenzielle Ausspähungen ist es extrem wichtig, Anomalien bereits bei ihrer Entstehung auf die Spur zu kommen, um sofort zu alarmieren und schnellstens geeignete Gegenmaßnahmen einzuleiten. Alle Unregelmäßigkeiten werden an der SIEM-Konsole sofort gemeldet beziehungsweise als Alarm dargestellt, parallel für Recherchen oder Prüfungen automatisch protokolliert.

Herr Biermann, was sind die wesentlichen Impulse für diese leistungssteigernde SIEM-Evolution?

Biermann: Gründe für die Evolution vom einfachen Sichtbarmachen von Ereignissen hin zu einer tiefgehenden Bewertung der erhobenen Daten für ein professionelles Risikomanagement gibt es viele. Da ist einmal die Tatsache, dass die Hersteller von SIEM-Lösungen neue Releases in immer kürzeren Zeitintervallen einspielen. Auf diese Weise wird die SIEM-Software vor allem um immer mehr Funktionen zur Analyse und Bewertung von System-Logs und -Events erweitert. Die notwendige Intelligenz dafür verschaffen sich die Hersteller, indem sie Angriffe in der ganzen Welt beobachten, mögliche Schwachstellen analysieren und die SIEM-Software im Rahmen von Kundenabos durch neue, intelligente Funktionen und Regeln für ein professionelles Risikomanagement anreichern.

Tom Biermann

Die Kunden und Distributoren profitieren durch diese wertvollen Zusatzservices der SIEM-Hersteller gleichermaßen. Im Unternehmen kann via SIEM-Konsole durchgespielt werden, inwieweit die Abwehr verbessert werden kann, indem bestimmte Regeln beispielsweise innerhalb der Firewall implementiert, anschließend die System Logs und Events überwacht, analysiert und bewertet werden.

Wie findet das Unternehmen zu seinem SIEM-Lösungszuschnitt nach Anforderungsmaß?

Biermann: Das Unternehmen, allen voran die Top-Manager, müssen sich darüber im Klaren sein, welche Geschäftsprozesse/-abfolgen und Geschäftsdaten besonders schützenswert sind. An diesen Stellen innerhalb der IT-Architektur ist das Unternehmen für technische Probleme sowie für Angriffe von innen und außen besonders empfänglich. Solche Probleme und Angriffe führen zwangsläufig für das Unternehmen zu Reputations- oder betriebswirtschaftlichen Schäden. Diese Teile der IT-Architektur gilt es mittels des SIEM-Werkzeug-Sets besonders abzuschirmen, indem die System-Logs und -Events dieser Systeme – Komponenten, Dienste, Applikationen, Datenbestände, Verbindungen  - permanent überwacht, analysiert und bewertet werden, um bei Bedarf sofort an der Konsole zu alarmieren.

Wie wichtig ist der Einbezug der Fachabteilungen in dieses Projekt?

Biermann: Sie sollten unbedingt von Anfang an beim Lösungszuschnitt der SIEM-Lösung mitwirken. Die Gründe dafür liegen auf der Hand: Die Fachabteilungen kennen innerhalb ihres Verantwortungsbereichs die Risiken und deren potenzielle Schadensfolgen am besten, sowohl was technische Probleme als auch Angriffsszenarien betrifft. Unter Mitwirkung aller Fachabteilungen ist es zudem möglich, im Projektverlauf ein ganzheitliches Risiko-Gesamtbild zu entwickeln. Es gibt die tatsächliche Bedrohungslage des Unternehmens wider und ermöglicht, das Risikomanagement mittels SIEM im Bewusstsein der geschäftlichen Zusammenhänge ganzheitlich zu konzipieren, etablieren und auszurichten.

Nur wenn das Unternehmen beides – Fokussierung der schützenswerten Teile der IT-Architektur und Einbezug der Fachabteilungen von Anfang an – beherzigt, ist eine Absicherung und Abschirmung genau nach Anforderungsprofil erreich- und machbar. 

Dennoch dürften in puncto "Ausspähungen" trotz einer professionellen Absicherung und Abschirmung mittels eines maßgeschneiderten SIEM-Werkzeug-Sets Lücken bleiben. Was müsste nach Ihrer Einschätzung passieren, damit sich Unternehmen noch besser speziell vor Ausspähungen durch die NSA schützen können?

Biermann: Wenn die großen US-Hersteller den Quellcode ihrer Software offenlegen würden, wäre viel gewonnen. Dann könnten auch diese Quelldaten auf beispielsweise Hintertüren untersucht werden. In diese Richtung ist bisher leider keinerlei Bewegung zu erkennen. Die großen US-Hersteller argumentieren, dass sie der Konkurrenz durch die Offenlegung des Quellcode wesentliche Wettbewerbsvorteile preisgeben würden. Dabei könnten die US-Hersteller und die USA durch mehr Offenheit weltweit Vertrauen schaffen, das durch die Ausspähungen der NSA und die Zusammenarbeit großer US-IT-Hersteller mit der NSA weitgehend verlorengegangen ist.

Stattdessen als Unternehmen auf SIEM-Systeme aus der Open Source-Ecke zu setzen, um so vor Hintertüren innerhalb des Source Code gefeit zu sein, ist leider keine Alternative zu SIEM-Lösungen aus den USA. Denn OpenSource-SIEM-Systeme sind sowohl was ihre Funktionalität als auch ihre Marktdurchdringung betrifft, bisher einfach viel zu schwach aufgestellt. +