"SIEM ist der beste Schutz vor zielgerichteten Angriffen"

Big-Data-Technologien wie SIEM (Security Information & Event Management) liefern aufschlussreiche Maschinendaten, mit denen sich das Sicherheitsniveau in Datacenter-Umgebungen nachhaltig verbessern lässt. Unternehmen, die sich vor Advanced-Persistent-Threats und Zero-Day-Exploits schützen wollen, kommen daher nicht umhin, in entsprechende Lösungen zu investieren. Sie sollten sich vor der Einführung aber gut überlegen, ob sie SIEM selbst betreiben oder als Managed-Service beziehen möchten. Christian Bohr, Leiter Managed-Services bei Controlware, wägt im Interview die Alternativen ab.

funkschau: Warum brauchen Data-center heute eine ganz neue Security-Strategie?

Christian Bohr: Weil die Bedrohungslandschaft heutzutage eine ganz andere ist als noch vor einigen Jahren. Damals mussten die Security-Administratoren die Infrastrukturen vor allem vor standardisierten Attacken wie DoS-An-griffen, E-Mail-Viren oder Spam schützen. Diese konnte man gut mit standardisierter Perimeter-Security stoppen. Heute stellen Advanced-Persistent-Threats (APT), individuell entwickelte und langfristig eingeschleuste Schadprogramme, die mit Abstand größte Gefahr für Unternehmensnetze dar. Weil solche APTs genau auf die Schwachstellen des Netzwerks und die Lücken im Perimeter zugeschnitten sind, ist ihnen mit restriktiven Firewall-Regeln und feingranularen Filtern allein nicht beizukommen. Wer sich davor effektiv schützen will, muss genau wissen, was in seinem Datacenter passiert. Und dafür muss er sicherheitsrelevante Events auswerten.

funkschau: Wie funktioniert „Security Information & Event Management“ in der Praxis?

Bohr: Die Firewall-, Proxy-, IDP- und Gateway-Logs eines Unternehmens verraten viel über die Schwachstellen der jeweiligen IT-Infrastruktur – und ermöglichen es den Security-Administratoren, diese Lück-en zielgerichtet zu beheben. Das Problem ist, dass die Security-Logs in den meisten Firmen ungesichtet liegen bleiben, weil es sowohl am Know-how als auch an der Manpower fehlt, um Tag für Tag Tausende von Dateien zu sichten und zu klassifizieren. Genau da setzt SIEM an: Die unternehmensweit auflaufenden sicherheitsrelevanten Log-Files werden zentral gesammelt und automatisiert ausgewertet.

funkschau: Wie erfolgt die Datenverarbeitung?

Bohr: Zunächst werden die Log-Files nach Herkunft, Inhalt und Relevanz klassifiziert und in einer audit- und revisionssicheren Datenbank gespeichert. Auf diese Weise ist eine durchgehend Compliance-konforme Archivierung der Daten garantiert. Anschließend wertet SIEM die Events aus und setzt sie in Korrelation – etwa, indem eine an sich unbedeutende Protokollwarnung der Enterprise-Firewall und eine von einem Client initiierte Verbindung in Beziehung gesetzt und als Indiz einer Bot-Infektion gedeutet werden. So lassen sich auch Angriffsmuster erkennen, die bei einer isolierten Betrachtung von Events verborgen blieben. Damit ist SIEM ein Eckpfeiler trag-fähiger Datacenter-Security-Konzepte – und der beste Schutz vor zielgerichteten Angriffen.

funkschau: Dient SIEM zur Auswertung von Echtzeit- oder von historischen Daten?

Bohr: Moderne SIEM-Lösungen kombinieren beide Aspekte: Das Security-Event-Management, kurz SEM, bei dem die IT-Security in Echtzeit überwacht wird, um sicherheitsrelevante Vorfälle mit Hilfe von Dashboards und Alarmierungen zeitnah zu erkennen und auszuwerten. Und das Security-Information-Management, kurz SIM, bei dem gesammelte Event-Log-Daten rückwirkend analysiert werden, um potenzielle Schwachstellen der Architektur zu identifizieren und aussagekräftige Compliance-Reports zu generieren.

funkschau: Ist SIEM damit eine Alternative zu klassischen Vulnerability-Management-Systemen?

Bohr: SIEM ist keine Alternative, sondern eine sehr sinnvolle Ergänzung. Denn Vulnerability-Management-Plattformen, die das Netzwerk aktiv nach bekannten Schwachstellen scannen, bewerten und Maßnahmen zur Schließung der jeweiligen Lücke vorschlagen, sind ein äußerst leistungsfähiger Datenlieferant. Die meisten SIEM-Lösungen sind in der Lage, die Daten aus dem Vulnerabilit-Management mit den Event-Logs der als Schwachstelle erkannten Systeme zu korrelieren. Auf diese Weise lassen sich beispielsweise mehrstufige und getarnte Advanced-Persistent-Threats sehr zuverlässig identifizieren und Fehlalarme vermeiden.

Matchmaker+ Anbieter zum Thema

zu Matchmaker+

1. "SIEM ist der beste Schutz vor zielgerichteten Angriffen"
2. Weitere Fragen

Lesen Sie mehr zum Thema

Weitere Artikel zu Controlware GmbH

Der Katalysator als Zielscheibe

Systemhäuser als Sprungbrett für Cyberangriffe

Rollenwandel der IT-Dienstleister

Hohe Erwartungen an die Digitale Transformation

Familienunternehmen bevorzugt

Controlware mit neuem CFO

Controlware mit Threat Hunting als Managed Service

Proaktive Bedrohungsabwehr

Controlware hilft, IT-Risiken zu eliminieren

Security-Check-up für Microsoft 365

Weitere Artikel zu Viren-/Malware-Schutz

Malware in raubkopierter Software  

Jamf Threat: Hintertür in raubkopierten macOS-Anwendungen

Sicherheits-Lücke bei Google

Malware-Entwickler reaktivieren abgelaufene Google-Cookies

Trend Micro: Gefahr durch Infostealer

Auf diese Daten haben es Hacker am meisten abgesehen

Banking-Malware, Stealer und Ransomware

Crimeware-Report von Kaspersky zeigt drei neue Bedrohungen

VAD erweitert Portfolio

ICOS und Avast schließen Partnerschaft

Weitere Artikel zu Mobile Security

Cyan Guard 360

Cybersecurity für den Mittelstand

Videoüberwachung und LivEye

Mobile Videosicherheit als Dienstleistung

Unternehmen im Fadenkreuz

Cyberangriffe auf Rekordniveau

Onlinebetrug vorbeugen

o2 Telefónica mit neuer Identifizierungslösung für Händler

Mobiles Gerätemanagement

Samsung richtet Knox-Services neu aus