Schluss mit Datengräbern

Das A und O

funkschau: Wie sehen Sie das Thema Customizing?

Mörwald: Ein ganz wichtiger Aspekt! Wer ein SIEM einführt, übernimmt zunächst einmal die Regeln der Hersteller bzw. die Vollkonfiguration. Allerdings sind die Regeln der Hersteller zu 90 Prozent generisch. Das kann zur Folge haben, dass 90 Prozent der Ergebnisse fehlerhaft sind und falsche Alarme (False-Positive-Rate) auslösen, was im Unternehmen schnell zu einer „Fire and forget“-Mentalität führen kann.

Erfolgskritisch ist außerdem, das SIEM da einzusetzen, wo es wirklich benötigt ist, das heißt wichtige Systeme von unwichtigen Systemen und kritische Zonen von unkritischen Zonen zu unterscheiden – damit nicht genau die Datengräber entstehen, die niemand wirklich gebrauchen kann. Am besten wäre es, das serienmäßige Regelwerk erst komplett abzuschalten und dann nach und nach zuschalten und an die Gegebenheiten anzupassen. Ansonsten ist das Grundrauschen zu hoch, das Vertrauen in die Meldungen schwindet.

funkschau: Welchen Vorteil hat es, SIEM und GRC zu koppeln?

Mörwald: In dieser Kombination lässt sich das volle Potenzial des SIEM ausschöpfen. Das SIEM nutzt die Informationen aus dem GRC (Governance, Risk and Compliance), etwa z.B. zur Priorisierung von Bedrohungen. Das GRC wiederum liefert Management und IT-Verantwortlichen über SIEM-Reports wichtige Informationen zum IT-Sicherheitszustand des Unternehmens und eine relevante Entscheidungsgrundalge zur aktiven Steuerung von Risiken.  

funkschau: Was ist sonst noch wichtig?

Mörwald: Was gern unterschätzt wird, ist die Konfiguration der Logquellen: Das mag eine rein technische Maßnahme sein. Allerdings hat sie erhebliche Auswirkungen auf das Unternehmen. Wird das Loglevel zu niedrig angesetzt, läuft das Unternehmen Gefahr, nicht das „one signal in the noise“, also den entscheidenden IT-Sicherheitsvorfall, wahrzunehmen – der Einsatz des SIEM würde seinen Zweck nicht erfüllen.

Ist das Loglevel zu hoch angesetzt und die Ressourcen sind zu knapp bemessen, ist es möglich, dass die Infrastruktur zum Flaschenhals wird und das Unternehmen erst deutlich später Zugriff auf Daten erhält, die das SIEM tatsächlich in Echtzeit erzeugt hat. Auch in diesem Fall hätte das SIEM seinen Zweck nicht erfüllt. Man sollte also immer bedenken, dass ein hohes Loglevel immer einen höheren Bedarf an Ressourcen, CPU-Last, Speicherkapazitäten und Netzwerkbandbreiten erfordert. Dies ist bei der Einführung eines SIEM in der Kapazitäten-Planung auf jeden Fall zu berücksichtigen.  

funkschau: Inwiefern kann das SIEM die Mitarbeiterrechte in punkto Datenschutz berühren?

Mörwald: Wäre eine weitgehend lückenlose Protokollierung konfiguriert, könnte ein SIEM die Tätigkeiten von Mitarbeitern recht exakt sammeln und auswerten. Das Unternehmen muss darauf achten, dass die informationellen Grundrechte der Mitarbeiter gewahrt bleiben, das muss bei der Einrichtung des Systems mitbedacht werden und ist technisch problemlos möglich. Deshalb: bei der Einführung oder Implementierung von SIEM-Systemen frühzeitig den Datenschutzbeauftragten und den Betriebsrat mit einbeziehen.

Matchmaker+ Anbieter zum Thema

zu Matchmaker+

1. Schluss mit Datengräbern
2. SIEM erfolgreich betreiben
3. Das A und O

Lesen Sie mehr zum Thema

Weitere Artikel zu TÜV Rheinland LGA Products GmbH Köln

Online-Penetrationstests

TÜV Rheinland startet neuen Onlineservice

Umfrage des TÜV-Verbands

Die Lücke in der Cyberabwehrkette

Energieverbrauch

Wie grün sind die Telekommunikationsnetze wirklich?

TÜV Rheinland erläutert

Compliance Management mit neuer ISO-Norm 37301

Betriebliche Weiterbildung

Azubi- und Fachkräftemangel mit Einfacharbeitern auffangen

Weitere Artikel zu TÜV Rheinland Energie und Umwelt GmbH

Industrie 4.0

Ohne den Faktor Mensch geht es nicht

Penetrationstests

Belastungs-EKG der IT-Sicherheit

Digitalisierung von Lerninhalten

KI-basierte Lippenbewegungen

Cyberrisiken für Industrieanlagen

Operational Technology im Visier der Hacker

Trends in der Cybersicherheit

Gefährliche vernetzte Welt

Weitere Artikel zu TÜV Rheinland LGA Products GmbH

KI und Ethik

Noch eine Imitation?

Smart Home Services

Die finale Teststufe

Smart City Readiness Check

Smarte Cities stehen in Deutschland noch am Anfang

Gesunde und agile Führung

Von Mythen und der Macht des "Freusinn"

Perfekt vernetzt

Datenschutz im Smart Building

Weitere Artikel zu Viren-/Malware-Schutz

Malware in raubkopierter Software  

Jamf Threat: Hintertür in raubkopierten macOS-Anwendungen

Sicherheits-Lücke bei Google

Malware-Entwickler reaktivieren abgelaufene Google-Cookies

Trend Micro: Gefahr durch Infostealer

Auf diese Daten haben es Hacker am meisten abgesehen

Banking-Malware, Stealer und Ransomware

Crimeware-Report von Kaspersky zeigt drei neue Bedrohungen

VAD erweitert Portfolio

ICOS und Avast schließen Partnerschaft

Weitere Artikel zu Sicherheit

Human Risk Management

Mimecast übernimmt Elevate Security

Adventskalender von Exclusive Networks

„All I want for christmas“-Gadgets bis Weihnachten

Spezialist für IT-Sceurity

BOLL Engineering baut Distributionsportfolio kräftig aus

Security-Lösungen für Service Provider

SonicWall übernimmt Solutions Granted

OT-Sicherheit

TXOne Networks nun VDMA-Mitglied

Weitere Artikel zu Mobile Security

Cyan Guard 360

Cybersecurity für den Mittelstand

Videoüberwachung und LivEye

Mobile Videosicherheit als Dienstleistung

Unternehmen im Fadenkreuz

Cyberangriffe auf Rekordniveau

Onlinebetrug vorbeugen

o2 Telefónica mit neuer Identifizierungslösung für Händler

Mobiles Gerätemanagement

Samsung richtet Knox-Services neu aus