Was ist eigentlich dieses „Managed SIEM“?
Um sich auch als KMU zuverlässig abzusichern, bietet sich ein Managed SIEM an. Was ein SIEM ist, hat mein Kollege bereits in seinem Blog-Artikel beschrieben. Auch der Unterschied zwischen SIEM und ISMS ist hier nachzulesen. Allerdings gibt es verschiedene Varianten eines SIEM. Das Rund-um-sorglos-Paket stellt das sogenannte „Managed SIEM“ dar. Was das genau ist, werde ich in diesem Beitrag beschreiben.
Managed SIEM, was ist das?
Nehmen wir an, Sie haben sich bereits entschieden ein SIEM in Ihrem Unternehmen zu implementieren. Nun stehen Sie vor der Frage: Wer übernimmt den Betrieb der SIEM Lösung und wie soll die SIEM Lösung in bestehende IT-Prozesse eingebunden werden?
Um den Sachverhalt einfacher zu beschreiben, möchte ich zwei Begriffe einführen und kurz beschreiben:
- Betriebsverantwortung: Bereitstellung des System-Betriebs / IT-Service in einer definierten Qualität.
- Prozessverantwortung: Verantwortlichkeit für die Prozesssteuerung und das Prozessergebnis z.B. Incident Prozess.
Unabhängig vom System haben Sie bzw. Ihre IT folgende Varianten eines SIEM zur Auswahl (oft spricht man auch von make or buy):
- Die Basic Variante: Die Prozess- und Betriebsverantwortung liegt bei Ihnen bzw. Ihrem Unternehmen. Bei Fragen zum Produkt oder bei benötigter Unterstützung, können Sie Ihren IT-Security-Dienstleister ansprechen, vergleichbar mit einer Software-Hotline.
- Die Advanced Variante: Ihr IT-Security-Dienstleister übernimmt die Betriebsverantwortung des SIEM Systems, er trägt also Sorge, dass die Verfügbarkeit des Systems sichergestellt ist. Die Prozessverantwortung liegt bei Ihrer unternehmenseigenen IT-Abteilung.
- Die Managed Variante:
Bei einem sogenannten „Managed“ SIEM liegt die Betriebs- und Prozessverantwortung des SIEM Systems bei Ihrem IT-Security-Dienstleister (hier: Managed Security Provider, kurz MSP). Dadurch kann sich Ihre IT-Abteilung voll auf die Tätigkeiten/Projekte fokussieren, die sich direkt auf die Unternehmens Wertschöpfung auswirken. Der MSP hält IT-Security-Experten vor und reagiert und handelt in einem Security Incident Fall.
Wie so eine Zusammenarbeit zwischen Ihnen und dem MSP aussehen kann sehen Sie grafisch beispielhaft hier:
Warum kann ein Managed SIEM sinnvoll sein?
Damit der Nutzen eines SIEM zum Tragen kommt müssen folgende erfolgskritische Faktoren erfüllt sein:
- Einerseits müssen Incident Manager und Eskalationsinstanz festgelegt werden und jederzeit verfügbar sein. Das gleiche gilt für die Administratoren der Systeme.
- Vorab müssen für jeden Einzelfall eine enstprechende Risikobewertung/- kategorisierung vorgenommen und ein Einsatzplan erstellt werden. Im Klartext bedeutet das, dass für jedes System und jedes mögliche Ereignis eine Vorgehensweise festgelegt werden muss.
- Zu guter Letzt muss regelmäßig geübt werden, damit Abläufe und und Maßahmen im Ernstfall nicht in Vergessenheit geraten und zu jeder Zeit zuverlässig abgerufen werden können.
Alle erwähnten erfolgskritischen Faktoren bedeuten für Ihr Unternehmen Investitionen, besonders in Zeit und Wissen.
Bei einem Managed SIEM geben Sie die komplette Prozess- und Betriebsverantwortung an einen externen Dienstleister ab. Der IT-Security-Dienstleister übernimmt für Sie die einzelnen notwendigen Tätigkeiten. Von der Koordination im Ernstfall, über das Identifizieren von Angriffen, Einleiten von Erst- und Gegenmaßnahmen, Sichern der Daten, Dokumentation und Lessons Learned bis hin zu Regelanpassungen- und Erweiterungen.
Welche Voraussetzungen muss ich für ein Managed SIEM erfüllen?
Trotz der ausgelagerten Betriebs- und Prozessverantwortung muss auch im Rahmen von Managed SIEM initial sowie in regelmäßigen Abständen mit dem MSP ein Handlungsrahmen abgestimmt werden, auf dem der Einsatzplan aufbaut. Denn nur Sie wissen, welche Bereiche Ihrer Infrastruktur besonders kritisch sind und daher im Notfall bevorzugt behandelt werden müssen.
Vergleichen lässt sich dies mit einem Stromausfall bei Ihnen Zuhause: Während der plötzlich ausgegangene Fernseher zwar ärgerlich ist, kann man auf diesen auch ein paar Stunden verzichten. Anders verhält sich das beispielsweise mit einer Kühltruhe. Für deren Inhalt muss im Extremfall sofort eine Lösung gefunden werden.
Damit das Einsatzteam Ihres IT-Security-Dienstleisters im Notfall zügig reagieren kann, muss das Team gewisse Handlungsfreiheiten haben. Für alle Systeme, auf die das Team nicht zugreifen kann, muss ein Ansprechpartner definiert werden, der rund um die Uhr erreichbar ist und Berechtigungen für alle Bereiche und Systeme erteilen kann.
Der Nutzen eines Managed SIEM auf einen Blick:
- Zeitliche Entlastung der internen IT
- Fokussierung auf Kerngeschäft wieder möglich
- Bandbreite an IT-Spezialisten
- MSP hat gesetzliche Richtlinien im Blick
- Service auch außerhalb der Standardarbeitszeiten
Ich hoffe mein Beitrag hat Ihnen weitergeholfen. Offen gebliebene Fragen oder Anregungen für zukünftige Beiträge können Sie mir gerne über die Kommentarfunktion mitteilen.