Security Information and Event Management (SIEM)

SIEM-Tools helfen bei IT-Audit und Compliance

Sogenanntes Security Information and Event Management (SIEM) kann ebenso wie spezielle Log-Management-Lösungen die Datenerhebung und -analyse vor und während eines IT-Audits unterstützen und somit auch die Compliance gewährleisten.

Weg, Bildquelle: iStockphoto.com/Nikada

Auf dem Weg zum schmerzlosen IT-Audit dank Security Information and Event Management (SIEM)

Eine gute Lösung für das Security Information and Event Management (SIEM) steht und fällt dabei mit einem geschulten Systemintegrator bzw. Hersteller, der das Feintuning der Schwellwerte im kleinen Finger hat. Auch zusätzliche Module sollten rasch verfügbar sein und eine offene SIEM-Architektur bereits vorhandene Unternehmensanwendungen integrieren können, damit keine Insellösung entsteht. Zu beachten sind dabei auch Themen wie Unternehmensalarmierung, Notfallkonzepte und Prozessmanagement, wenn der Fall der Fälle eintritt. Die bekannten „Top 10 Reports“ aus allen Bereichen der IT zeigen Schwächen auf und erleichtern zukünftige Entscheidungen.

Die führenden Anbieter von Security Information and Event Management variieren generell stark bei ihren Angeboten und auch bei den einzelnen Funktionen gibt es diverse Unterschiede. Spätestens beim Preis einer SIEM-Lösung und der Gesamtbetrachtung der Investition, von Anschaffung über Implementierung bis Wartungskosten, könnte man über Alternativen nachdenken. Einerseits neigen Verantwortliche dazu, „mal in kleinem Umfang“ zu beginnen und vielleicht nur ein paar Dienste oder Anwendungen „mitzuloggen“ und zu überwachen. Andererseits ist auch die Möglichkeit von „Managed Security Services (MSS)“ in Betracht zu ziehen. Im Umfeld der SIEM-Anbieter ist hier ein starker Trend hin zum „Service“ zu erkennen. Gerade kleinere Anbieter locken mit einfachen Installationsmechanismen, niedrigen Preisen und verschiedenen Optionen zur Erweiterung.

Sicherheit aus der Wolke

Erste SIEM-Angebote kann man binnen Minuten online nutzen und die Verrechnung erfolgt nach Datenmengen oder Serveranwendungen. Der Intention, damit seine IT-Sicherheit zu erhöhen, wird man nur dann gerecht, wenn man sich die „andere Seite der Leitung“ genau angesehen hat und weiß, wo die Logs gespeichert und wie Zugriffe verwaltet werden oder welche rechtlichen Regeln gelten. Von der Möglichkeit, die ausgelagerten Logs auch wieder zurückzuerhalten oder dass diese bei Vertragskündigung zuverlässig gelöscht werden, kann man wohl nur theoretisch ausgehen. Nach den aktuellen Ereignissen wie Prism, Tempora und Co. könnte man durchaus meinen, dass britische und amerikanische Software-Anbieter für derartige „Managed Security Services“ eher nicht in Frage kommen und Unternehmen bei einem europäischen Anbieter besser aufgehoben sind. Denn neben datenschutzrechtlichen Aspekten ist die Servicequalität entscheidend. Wenn hinter dem Softwarenutzer der Auditor steht und Reports verlangt werden, ist eine zehnstündige Zeitverzögerung über den Atlantik wenig hilfreich.

Bei einem Managed Security Services ist darüber hinaus darauf zu achten, dass Prozesse im Ablauf eingehalten werden, ein Ticketingsystem im Einsatz ist, eine Rund-um-die-Uhr-Betreuung (24x7) möglich ist sowie im Falle von Notfällen ein Alarmierungsszenario vorliegt. Individuelle Serviceleistungen sind gerade bei Audits hilfreich für das Unternehmen. So ist es wichtig, dass man direkt mit dem Softwarehersteller kommunizieren und Support bei einem bevorstehenden Audit anfordern kann. Eine kompetente Unterstützung auch bei Querschnittsthemen (z.B. Netzwerkkomponenten, Firewalls) ist ebenfalls hilfreich.

In der Regel wird bei einem Audit ein umfassender Sicherheitstest – auch Penetrationstest genannt – einzelner Rechner oder Netzwerke durchgeführt. Der Penetrationstest (PEN-Test) ermittelt somit die Empfindlichkeit des zu testenden Systems gegen Angriffe. Dabei stellt sich die Frage, inwieweit SIEM-Lösungen auch bei der Auditierung und bevorstehenden PEN-Tests unterstützen könnenn Ein guter Auditor wird die Vorteile des Reportings und Monitorings natürlich schätzen, wenn nicht sogar einfordern, sobald er nach einem internationalen Standard (PCI DSS, SOX, ISO) vorgeht. Der Kreditkartenstandard PCI DSS ist etwa ohne eine SIEM-Lösung unerreichbar, da dieser konkret und ausdrücklich die Kernkompetenzen derartiger Softwarelösungen fordert. Der Auditor kann sich auf komplexe Zusammenhänge und einzelne Faktoren oder aktuelle Prüfungsschwerpunkte beziehen und vergeudet nicht seine Zeit mit Datenerhebung und -sichtung sowie meist sinnlosen Stichproben aus Millionen Logdateien.

Wenn Unternehmen vom Auditor bei einem Penetrationstest (PEN-Test) „auf frischer Tat“ – dank einer tadellosen SIEM-Installation – ertappt werden, wird das Urteil des Prüfers wohlwollend ausfallen. Sollte er sich die Mühe machen, einen ungefährlichen Virus oder Test-Trojaner einzuschleusen, wird man ein sogenanntes Honeypot-System benötigen, um dem Auditor ein Schnippchen zu schlagen. Wenn bei einer reibungslosen Alarmierungskette auch die Prozesse dokumentiert werden und die Ursachen für einen Angriff oder IT-Ausfall nachzustellen sind, wird der Auditor um ein sehr zufriedenes Urteil nicht herumkommen. Ist ein sinnvolles Betriebsführungs- und Notfallhandbuch vorhanden und mit den IT-Prozessen und Softwarelösungen konsistent, sorgt dies für eine weitere Absicherung gegenüber IT-Risiken. Ob im Endeffekt auch die Audits zeitlich schneller ablaufen und damit kostengünstiger werden, liegt im Verhandlungsgeschick des Kunden.

Was ist Security Information and Event Management (SIEM)?

Unter dem Security Information and Event Management (SIEM) versteht man eine Software, die Logdaten aus verschiedenen Quellen sammelt, korreliert und bei Gefahr im Verzug alarmiert. Datenquellen sind Netzwerkkomponenten, Sicherheitshard- und -software sowie Applikationen, Datenbanken und Betriebssysteme. Daraus ergeben sich verschiedene Möglichkeiten zur automatisierten Datenanalyse, Erkennung von ­Bedrohungen und der Vermeidung von Schwachstellen. Forensische Analysen können so durchgeführt oder die Integrität (File Integrity Monitoring) von Daten überprüft werden.

Quelle: Iqsol

Bildquelle: iStockphoto.com/Nikada

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok