Sicherheits-Leitstand
Sicherheits-Leitstand Die Zusammenführung der Daten der einzelnen heterogenen Netzwerkkomponenten und Sicherheitsmodule in einem einzigen Leitstand geht nicht von heute auf morgen. Entsprechende Systeme sind noch nicht ohne Macken und Lücken.
Protokolldaten produzieren IT-Systeme zuhauf. Schon klassische Firewalls liefern Dutzende, wenn nicht Hunderte von Einträgen in der Sekunde. Und die Hardwarebox »Security Monitoring, Analysis and Response System« (MARS) von Cisco kann bis zu 500 Vorfälle pro Sekunde erfassen. Die Aussage, dass die Unternehmen in Datenfluten ertrinken, ist dennoch eher ungenau. De facto werden die Datenmassen vielmehr meist ignoriert und landen auf der digitalen Müllhalde. Dabei enthält der vermeintliche digitale Müll viele Wertstoffe. Aus der geschickten Auswertung der Protokolldaten lassen sich Angriffe und sonstige Unregelmäßigkeiten im Netz herausdestillieren. Dabei werden die Protokolle der verschiedenen Sicherheitskomponenten – Firewalls, Einbruchssensoren, Virenscanner, Schwachstellenanalysatoren – in Echtzeit einbezogen. Betriebssysteme, Datenbanken und Anwendungsprogramme werden in der Regel als Datensätze in die Analyse integriert. Idealerweise wird man einen einzigen Leitstand anstreben, der einem »auf einen Blick« den Sicherheitszustand der Gesamt-IT zeigt. So weit das Ideal. De facto ist heute kaum ein Bereich der IT-Sicherheit so »autistisch« organisiert wie der des Sicherheitsmanagements. Selbst für große Hersteller wie Cisco bedarf es schon einer erheblichen organisatorischen und technischen Anstrengung, wenn die hauseigene Managementsoftware »Cisco Security Manager« und die Logdaten-Erfassungsbox MARS allein mit dem eigenen »Produktezoo« zurechtkommen soll. Von heterogenen Umgebungen ist da überhaupt noch nicht die Rede.
- Sicherheits-Leitstand
- SIEM-Systeme noch wenig genutzt
- Verfügbarkeit – aber von was?
- Organisierte Sicherheit
