ISMS und SIEM – geht eins ohne das andere?

Ein Information Security Management System (ISMS) unterstützt eine Organisation dabei, ihre Anforderungen an die Informationssicherheit umzusetzen. Ein Security Information & Event Managment System (SIEM) kann bei der Umsetzung helfen. Aber wie? Und geht das eine auch ohne das andere?

ISMS und SIEM – Was ist ein ISMS? Und was ist ein SIEM?

Was ein ISMS ist, habe ich hier beschrieben. Im Wesentlichen kann man zusammenfassen: Es handelt sich um Anforderungen an eine Organisation zur Etablierung und Aufrechterhaltung eines Sicherheitsniveaus. Dabei werden alle relevanten Bereiche der Informationssicherheit berücksichtigt (vom Virenscanner, über den Einsatz von Firewalls bis hin zu Awareness-Maßnahmen oder der Berücksichtigung von Sicherheitsanforderungen im Einkaufsprozess).

Ein SIEM hingegen ist ein System, welches durch die geschickte Verknüpfung (Korrelation) von Protokollinformationen (Logfiles) bestimmte Angriffsmuster oder Anomalien erkennen und abwehren kann. Dabei unterstützt es nicht nur bei der Erkennung solcher Vorfälle, sondern eben auch bei der strukturierten Behandlung. Genauer und anschaulicher hat das mein Kollege in seinem Artikel „SIEM – der Rauchmelder für die IT Infrastrukturerklärt.

Was hat das eine mit dem anderen zu tun?

Nichts.

Naja, fast nichts! Das ISMS der ISO Norm ISO 27001  hat einige Anforderungen, die durch ein SIEM perfekt erfüllt werden. Dazu gehören zum Beispiel folgende Maßnahmen:

  • A.12.4.1 Ereignisprotokollierung: Es sind Ereignisprotokolle anzufertigen, aufzubewahren und regelmäßig zu überprüfen, in denen Aktivitäten der Benutzer, Ausnahmen, Fehler und Informationssicherheitsereignisse aufgezeichnet werden.

  • A.12.4.2 Schutz von Protokollinformationen: Protokollierungseinrichtungen und Protokollinformationen müssen vor Manipulation und unbefugtem Zugriff geschützt werden.

  • A.12.4.3 Administrator- und Betreiberprotokolle: Es sind Protokolle der Aktivitäten von Systemadministratoren und Systembetreibern anzufertigen, zu schützen und regelmäßig zu überprüfen.

  • A.16.1.2 Meldung von Informationssicherheitsereignissen:  Informationssicherheitsereignisse müssen so schnell wie möglich über geeignete Management-Kanäle gemeldet werden.

  • A.16.1.4 Bewertung und Einstufung von Informationssicherheitsereignissen Informationssicherheitsereignisse sind zu bewerten, und es muss darüber entschieden werden, ob sie als Informationssicherheitsvorfälle eingestuft werden.

Allerdings schreibt die Norm an keiner Stelle den Einsatz eines SIEM vor. Die Anforderungen könnten beispielsweise auch durch ein zentrales Logmanagement Tool mit entsprechendem Berechtigungsmanagement erfüllt werden.

Einige Feinheiten (und wie Sie wissen legen Auditoren Wert auf Feinheiten) lassen sich durch den Einsatz eines SIEM Systems besser automatisieren. Die wesentlichen Vorteile sind daher:

  1. Weniger Personalressourcen: Die regelmäßige Prüfung geschieht durch das SIEM System automatisch.
  2. Abbildung eines Security Incident Management: Sicherheitsvorfälle sind im Interesse einer Organisation vertraulich (bzw. geheim) zu behandeln. Damit ein Vorfall auch innerhalb der IT-Organisation geheim bleibt, muss dieser in einer separierten Incident Management Umgebung behandelt werden.
  3. Erkennen von Incidents: Bestimmte Angriffsszenarien können mit „konventionellen“ Methoden nicht erkannt werden (Beispiel: Innentäter in der IT). Ein SIEM kann solche Angriffe erkennen. Damit werden keine komplexen Prozesse im IT Service Management notwendig (bspw. Vier-Augen-Prinzip bei der Administration).

Es gibt eine Vielzahl an weiteren Anforderungen an ein ISMS, welche ein SIEM unterstützen kann. Dazu gibt es diverse Whitepaper, welche ich bei Bedarf bereitstellen kann.

Ist der Betrieb eines SIEM Systems durch die ISO 27001 verpflichtend?

Diese Frage lässt sich mit einem klaren NEIN beantworten. Alle Anforderungen lassen sich auch ohne die Einführung eines SIEM Systems umsetzen. Allerdings sollte man immer den Aufwand im Blick behalten, denn die manuelle regelmäßige Prüfung von Protokollinformationen ohne SIEM kann sehr aufwendig und fehlerhaft sein.
Und um nochmal die Ausgangsfrage zu beantworten: JA, ein ISMS kann ohne SIEM betrieben werden und umgekehrt natürlich genauso.

4 Kommentare

  1. Guten Tag,

    ich habe Ihren Artikel gelesen und finde, dass das SIEM gut beschrieben ist. Am Besten finde ich die folgende Aussage: „(Beispiel: Innentäter in der IT). Ein SIEM kann solche Angriffe erkennen.“ Dieser Satz mach doch deutlich, dass ein SIEM lediglich unterstützend tätig ist. Ich bin jedoch der Meinung, dass ein SIEM ohne eine ISMS nur einen kleinen Mehrwert bringt, da ggf. gar keine Maßnahmen formuliert sind und somit auf den Vorfall garnicht reagiert werden kann.
    Ich würde mich freuen Ihre Meinung dazu zu erfahren.
    Mit freundlichen Grüßen

    1. Hallo Regier,

      es ist absolut richtig, dass beides zu gewissen Teilen aufeinander aufbaut. Einen Mehrwert bringen auch beide. Ob ein SIEM ohne ISMS sinnlos ist? So weit würde ich nicht gehen.
      Allerdings gibt es Voraussetzungen für den sinnvollen Betrieb eines SIEM (wie in Ihrem Beispiel einen getesteten Security Incident Prozess), welche ein ISMS eben mit sich bringt.
      Andere Prozesse eines ISMS, wie z.B. Risikomanagement, oder auch Maßnahmen aus den Anforderungen eines ISMS wie z.B. die Prüfung des Personals vor der Einstellung haben dann aber wiederum so gar nichts mit dem Betrieb eines SIEM Systems zu tun.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

CAPTCHA *