SIEM – der Rauchmelder für die IT Infrastruktur

In vielen Wohnungen sind die kleinen Sensoren zur Alarmierung bei Gefahren wie Rauch und Feuer bereits gang und gäbe. Hier hat es der Gesetzgeber bei vermietetem Eigentum bereits in den meisten Bundesländern zur Pflicht gemacht solche Frühwarnsysteme einzurichten. Aber wie wird man bei einem drohenden "Brand" in der eigenen IT Infrastruktur rechtzeitig alarmiert?


Nicht nur Privatpersonen, sondern auch Unternehmen sind verpflichtet Versicherungen gegen Brand und Gebäudeschäden abzuschließen. Laut GDV beträgt die durch Versicherungen ausgezahlte Versicherungsleistung in Deutschland in der Nicht-Privaten Sachversicherung 6,7 Milliarden Euro pro Jahr. Zum Vergleich: Die geschätzten jährlichen Kosten, die von Cyberrisiken verursacht werden liegen bei rund 51 Milliarden Euro (Quelle: bitkom).

Innerhalb von IT Infrastrukturen sind Frühwarnsysteme aber trotzdem noch nicht etabliert. Hier setzt man weiterhin auf die Verlässlichkeit der etablierten Security Maßnahmen. Es werden beispielweise Firewalls mit NG Funktionalität etabliert, tiefergehende Schutzmechanismen dank Sandboxing evaluiert und gesicherte HTTPS Verbindungen mittels SSL-Scanning nach schadhaftem Code untersucht.

Die Hürden um in IT Infrastrukturen Schaden anzurichten werden immer weiter verstärkt. Oft auch um einfach nur einen Haken im Anforderungskatalog zu erfüllen, ohne den genauen Sicherheitsgewinn für die eigene Infrastruktur dadurch messen zu können. Keiner erwartet hierbei, dass er einen 100% Schutz für IT Angriffe etabliert hat. Genauso wenig wie der Hauseigentümer ausschließen kann, dass sein Haus irgendwann doch brennt.

Warum muss jetzt die Strategie zum Schutz der IT Infrastruktur geändert werden?

In der Vergangenheit gab es mehrere prominente Beispiele. Sei es der „Bundestags Hack“ (Quelle: Heise) oder auch der komplette Ausfall der TV5 Monde Sendezentrale (Quelle: Heise). Auch wenn die Vorgehensweise in beiden Fällen unterschiedlich war, so haben beide etwas Entscheidendes gemeinsam: Das Eindringen in das Netzwerk geschah Monate vorher. In dieser Zeit konnten sich die Angreifer im Netzwerk ungestört umsehen und austoben, um so weitere interne Angriffsziele zu identifizieren.

Solche Vorfälle können durch Rauchmelder in der IT frühzeitig erkannt und damit entsprechende Gegenmaßnahmen initiiert werden. Unter „Rauchmeldern“ versteht man Frühwarnsysteme wie Sensoren im Netzwerk, auf Fileservern und an Firewall Logfiles.
Um diese zentral zu verwalten kann ein Security Information and Event Management, kurz SIEM, eingerichtet werden.

Wie hilft SIEM dabei die Infrastruktur zu schützen?

Zur Veranschaulichung hilft die Erweiterung des Rauchmelder-Vergleichs:

Im Fall eines Brandes sendet ein Rauchmelder zuallererst eine Feuermeldung an die Feuerwehr, wodurch der Einsatzleiter benachrichtigt wird. Dieser zieht mit seinem eingespielten Team an Feuerwehrmännern los um den Schaden einzudämmen.
Bei der Feuerwehr verläuft so ein Einsatz nach einem vorher festgelegten Einsatzplan. Dabei steht an erster Stelle die Personensicherheit. Das heißt Menschen retten und vor Verletzungen zu schützen. Gleich darauf folgt die Eindämmung einer Ausbreitung auf die Nachbarhäuser sowie das Löschen des Feuers. Im Anschluss wird Ursachenforschung betrieben. Das bedeutet, es wird durch Forensik ermittelt, wie und warum das Feuer ausgebrochen ist.

Vergleichbar wird diese Vorgehensweise auch im SIEM umgesetzt:

Ein SIEM setzt auf einem Logmanagement auf. Es korreliert die Daten verschiedener Logquellen und erkennt aufgrund dieser Korrelation verschiedene sogenannte „Events“. Diese werden anschließend durch das SIEM aufgrund ihrer Kritikalität bewertet. Je nach Bewertung lösen hoch kritische Sicherheitsvorfälle dann einen Alarm aus, um den vordefinierten Einsatzplan zu starten.

Tritt dieser Fall ein, wird als erstes der Incident Manager (Einsatzleiter) über das Event (den Brand) informiert. Er entscheidet nun welches Team (die Feuerwehrmänner) er benötigt um genau diesen Vorfall zu lösen. Das Team kann entweder rein aus Netzwerkadministratoren bestehen oder sich aber auch aus einer Kombination dieser mit Windows-Administratoren zusammensetzen. Hat der Incident Manager sein Team ausgewählt, zieht dieses los um den „Brand“ in der IT Infrastruktur zu löschen. Das heißt sensible Daten zu schützen (Personensicherheit), die Ausbreitung auf andere Systeme einzudämmen (Ausbreitung des Feuers auf Nachbarshäuser) sowie das sicherheitskritische Event zu beseitigen (Löschen des Feuers).
Auch hier wird im Anschluss eine forensische Analyse durch die Sicherheitsexperten initiiert (Ursachenforschung).
Der genaue Einsatzplan ist von Unternehmen zu Unternehmen und von Vorfall zu Vorfall unterschiedlich.

Welche Vorteile bringt die Einrichtung eines SIEM mit sich?

Gegenüber der am Anfang erwähnten vorhandenen Strategie hat die hier beschrieben Vorgehensweise einen bedeutenden Vorteil: Wirklich vermeiden lassen sich sicherheitskritische Vorfälle innerhalb einer IT Infrastruktur leider nicht mehr. Allein die frühzeitige Erkennung kann deutlich verbessert werden. Das erhöht die Chancen rechtzeitig und angemessen zu reagieren und so größere Schäden und weitere Ausbreitungen zu vermeiden. Ein SIEM für sich alleine dient dabei als „Rauchmelder“ und Alerting-Tool. Wie bereits beschrieben kann es aber auch als Prozess verstanden werden. Eine genaue Definition dazu gibt es beispielweise hier (Quelle: Wikipedia).

Im ersten Moment hört sich die Einrichtung eines SIEM als Prozess sehr umfangreich an.
Um langsam zu starten bietet sich ein sogenannter „Proof Of Concept“ an. Dabei handelt es sich um eine Teststellung inklusive Einbindung verschiedener Logquellen mit vordefinierten Regelwerken und Erkennungsmustern. Man bekommt so einen ersten Einblick welche Art Alarme denn eigentlich in der eigenen IT Infrastruktur generiert werden. Vertiefen kann man das dann beispielsweise durch einen Workshop zur ersten Definition eines Prozesses bzw. Einsatzplans, Kennenlernen des Einsatzleiters sowie Vorstellung und Vorbereitung der jeweiligen Einsatzteams. So hat man die Möglichkeit sich Schritt für Schritt an die Einrichtung eines SIEM in die eigene IT Infrastruktur ranzuwagen.
Ein SIEM kann auch ein eventuell bereits vorhandenes ISMS unterstützen. Was ein ISMS ist haben wir in unserem Blog-Beitrag „Ziele der ISO 27001“ erklärt.

Vertiefend dazu beschäftigen wir uns in unserem nächsten Blog-Beitrag mit dem Thema „SIEM vs ISMS – kann das eine ohne das andere?“.

Alle Infos auf einen Blick:
  • Kosten, die durch Cyberrisiken verursacht werden pro Jahr in Deutschland:
    51 Milliarden Euro
  • Etablierte Security Maßnahmen wie Firewalls mit NG Funktionalität, gesicherte HTTPS Verbindungen und SSL-Scanning reichen nicht mehr aus, um sich zu schützen
  • Angreifer dringen mittlerweile Monate vorher in Netze ein und sehen sich in Ruhe um
  • 100% Schutz gibt es nicht, nur rechtzeitige Erkennung
  • SIEM setzt auf Logmanagement auf, korreliert Daten, erkennt und bewertet Events und sendet gegebenenfalls Alarme an ein vordefiniertes Einsatzteam aus Sicherheitsexperten
  • Die genaue Vorgehensweise innerhalb des SIEM ist Unternehmens- und Fall-abhängig
  • SIEM kann ein eventuell vorhandenes ISMS unterstützen

5 Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

CAPTCHA *