Security Intelligence
Stolperfallen bei der SIEM-Einführung vermeiden
Fortsetzung des Artikels von Teil 1
Weitere Stolperfallen
Stolperfalle 4: Das Loglevel ist nicht adäquat konfiguriert.
Die Lösung: In welcher Quantität und Qualität das SIEM Daten loggt, spielt für die Aussagekraft der Ergebnisse eine entscheidende Rolle. Ist das Loglevel zu niedrig angesetzt, sammelt das System nicht genügend Informationen. Unregelmäßigkeiten oder ein potenzieller Angriff könnten unentdeckt bleiben. Ist das Loglevel zu hoch, überlastet die erzeugte Datenmenge unter Umständen die vorhandenen Ressourcen. Obwohl in Echtzeit erkannt, finden die Informationen ihren Weg durch die IT-Infrastruktur nur mit Verzögerung bzw. werden stark zeitverzögert ausgewertet – im schlechtesten aller Fälle zu spät, um einen Angriff abzuwehren. Bei der Planung gilt es deshalb immer die Skalierbarkeit der IT-Infrastruktur im Auge zu behalten und wenn nötig, die Kapazitäten entsprechend anzupassen. Entsprechende Protokollierungs-Policies, basierend auf entsprechenden Use-Cases, regeln dabei das anforderungsgerechte Log-Volumen an der Quelle.
Stolperfalle 5: Kein ausreichendes Personal und Know-how für die Auswertung einzuplanen.
Die Lösung: Der erfolgreiche SIEM-Einsatz basiert zu einem großen Teil auf dem Know-how der Mitarbeiter, die in der Lage sind, Ergebnisse auszuwerten, zu qualifizieren und deren Kritikalität einzuschätzen. Fehlen dem Unternehmen die nötigen Kenntnisse im eigenen Haus, empfiehlt sich die Unterstützung durch externe Spezialisten – sei es für einzelne Aufgabenstellungen oder insgesamt für die Einführung und den Betrieb des Systems.
Stolperfalle 6: Das SIEM als Insellösung betreiben.
Die Lösung: Seine Stärke kann das SIEM nur ausspielen, wenn es fest in der Unternehmensstruktur verankert ist. Es empfiehlt sich, das System mit der Governance, Risk and Compliance-Lösung (GRC) des Unternehmens zu koppeln. Die GRC-Informationen helfen dem System, Bedrohungen zu priorisieren und kritische Bereiche konsequent zu überwachen. Gleichzeitig nutzt das GRC die SIEM-Reports, um die Entscheider im Unternehmen über den aktuellen Stand der IT-Sicherheit zu unterrichten.
Stolperfalle 7: Keine Workflows rund um das SIEM definieren.
Die Lösung: Die Verwendung eines SIEM geht weit über die IT-Abteilung hinaus. Für den Fall eines Cyber-Angriffs gilt es klare Prozesse, Verantwortlichkeiten und Schnittstellen zu anderen Abteilungen festzulegen. Wichtig ist, dass die Eindämmung schnell geschehen kann, dass die entsprechenden Entscheidungskompetenzen verfügbar sind bzw. klare Regelungen schnelle Entscheidungen ermöglichen.
Stolperfalle 8: Bei der SIEM-Implementierung Mitarbeiterrechte außer Acht lassen. Eine entsprechend konfigurierte SIEM-Lösung wäre in der Lage, ein genaues Profil des einzelnen Mitarbeiters zu generieren: wann er wo welches Gerät benutzt hat, auf welche Daten er zugreift, etc. Dieses Wissen kann beim Identifizieren eines Insider-Angriffs oder gestohlener Identitäten nützlich sein, aber auch schnell die Mitarbeiterrechte verletzen.
Die Lösung: Die informationellen Grundrechte der Mitarbeiter müssen jederzeit gewahrt sein. Deshalb gilt es, Datenschutzbeauftragte und Betriebsrat frühzeitig in die Planung eines SIEM mit hinzuziehen, um auch in punkto Compliance auf der sicheren Seite zu sein.
Thomas Mörwald ist Experte für Informationssicherheit bei TÜV Rheinland
- Stolperfallen bei der SIEM-Einführung vermeiden
- Weitere Stolperfallen
Lesen Sie mehr zum Thema
