Wie kann man in der IT-Sicherheit noch die Übersicht behalten?

Mit jeder neuen Möglichkeit, digitale Arbeit zu gestalten, entstehen neue Gefahren für die IT-Sicherheit. Inzwischen ist die Vielfalt an Einfallstoren und Abwehr-Tools so groß, dass es langsam unübersichtlich wird. SIEM-Plattformen bieten einen Ausweg.

Bei der Frage, was derzeit die größte Herausforderung für Security-Verantwortliche in Unternehmen ist, muss Egon Winter nicht lange überlegen. „Es wird immer schwieriger, die Übersicht zu behalten“, sagt der deutsche Vertriebsleiter von Check Point, eines führenden Security-Anbieters im Markt. IT-Infrastrukturen haben in den letzten Jahren dank Cloud Computing und mobilen Geräten dramatisch an Komplexität zugelegt. Resultat war, dass sich bei den Unternehmen ein Sammelsurium an Security-Tools verschiedener Gattungen und Hersteller angesammelt hat, die zwar ihren speziellen Job jeweils gut machen, aber kaum miteinander kommunizieren. 

Alle sicherheitsrelevanten Informationen auf einem Dashboard – das wär’s.

Das bedeutet für Admins, dass sie ebenso viele Tools, Daten und Dashboards im Auge behalten müssen, um nichts anbrennen zu lassen – häufig ein Ding der Unmöglichkeit. „Idealerweise hätten sie alle Informationen, die sie brauchen, komprimiert und aussagekräftig auf einem einzigen Dashboard“, sagt Winter. Eine Lösung nach seinem Geschmack gegen diesen Wildwuchs wäre die Integration aller Tools unter einer einheitlichen Sicherheitsarchitektur, die alle Spezialwerkzeuge untereinander kommunizieren und koordinieren lässt und die allesamt von einem übergreifenden Management-System verwaltet werden. 

Es gibt viele Wege zur Übersicht

Dass diese Aussage nicht ganz uneigennützig ist, versteht sich von selbst. Schließlich ist Check Point als Anbieter ein Allrounder, der in fast allen Security-Disziplinen eigene Produkte im Angebot hat und mit Infinity auch die übergreifende Sicherheitsarchitektur, inklusive konsolidierter Verwaltung. Nur wäre eine solche radikale Vereinheitlichung für viele Unternehmen eine allzu starke Zäsur in der eigenen IT-Infrastruktur. Trotzdem ist der Gedanke der Wildwuchsreduktion durch Vereinheitlichung ebenso naheliegend wie legitim. Für altgediente Security-Anbieter wie Symantec, Trend Micro oder McAfee war das Konzept „Alles aus einer Hand“ sogar ein Erfolgsrezept.

Für andere stand das Thema Übersicht von Anfang an im Vordergrund. Qualys zum Beispiel war einer der ersten Security-Spezialisten, die sich von vornherein das sogenannte „Vulnerability Management“, also die Identifikation und Behebung von Schwachstellen, auf die Fahnen geschrieben haben. Nötig war dazu ein Tool, das praktisch alle Geräte im Firmennetz im Auge behält und innerhalb von einem einzigen Dashboard den aktuellen Zustand anzeigen kann. Qualys war mit seinem QualysGuard (inzwischen Qualys Cloud Platform) vor mehr als zehn Jahren ein Pionier in diesem Bereich, inzwischen nutzen fast die Hälfte der Top 500 Unternehmen weltweit seine Produkte. Doch auch Qualys setzt bei seinem Security-Konzept primär auf eigene Komponenten. 

SIEM – ein Dashboard, auf dem alles zusammenläuft

Die Notwendigkeit, trotz der Vielfalt der eingesetzten Tools die Übersicht zu behalten, hat inzwischen eine eigene Produktgattung hervorgebracht. SIEM-Plattformen (Security Information and Event Management) führen die sicherheitsrelevanten Informationen aller im Unternehmen aktiven Software-Tools auf eine einheitliche Benutzeroberfläche zusammen. Über ein SIEM-Dashboard hat ein Admin nicht nur die Übersicht über die aktuelle Sicherheitslage, sondern kann auch Details über einzelne Betriebszustände abfragen. Zu den führenden Anbietern von SIEM-Tools gehören IBM mit ihrem QRadar, Splunk, LogRhythm, die Dell-Tochter RSA, McAfee sowie eine Reihe von Spezialisten wie Exabeam, Securonix oder Fortinet.

Splunk Mission Control soll nicht nur viele Informationen aggregieren, sondern auch die Einführung von SIEM-Plattformen vereinfachen. (Bild: Splunk)
Splunk Mission Control soll nicht nur viele Informationen aggregieren, sondern auch die Einführung von SIEM-Plattformen vereinfachen. (Bild: Splunk)

Eine richtige Herausforderung für SIEM ist dabei die Cloud. Je mehr Unternehmen externe Cloud-Plattformen und -Anwendungen in ihre Infrastruktur einbinden, umso schwieriger wird es auch, die Übersicht und Kontrolle zu behalten. Für solche „hybriden Multicloud-Umgebungen“ hat IBM kürzlich sein Cloud Pak for Security vorgestellt, einer Sicherheitsplattform, die sich mit jedem Sicherheitstool, jeder Cloud und jedem lokalen System verbinden kann. Auch alle anderen Anbieter arbeiten an entsprechenden Lösungen oder haben sie bereits im Programm, darunter Check Points Cloud Guard. Ähnlich motiviert war auch Qualys‘ Übernahme von Adya, eines Spezialisten für die Sicherheit von Cloud-Anwendungen, Anfang dieses Jahres.

Neue Gesetze sorgen für einen SIEM-Boom

Es gibt zahlreiche Faktoren, die SIEM aktuell zum Mittel der Wahl machen. „Derzeit nehmen Unternehmen eine aktive Risikobewertung vor und stellen ein operatives Betriebsmodell auf, um eine Früherkennung von Angriffen zu etablieren, sowie auf alles zu reagieren, was nicht vorab blockiert werden kann“, erklärt Matthias Maier, EMEA Security-Experte bei Splunk. „Das ist ein Paradigmenwechsel.“ Als Folge müssen Security-Teams nun dazu befähigt werden, Daten zu jeder Frage, jeder Entscheidung und jeder Handlung griffbereit zu haben. „Sie müssen verstehen, was in Echtzeit passiert, damit sie sofort handeln können, und das mit einem vollständigen Überblick über sämtliche Systeme, Geräte und Interaktionen im Unternehmen“, sagt Maier.

Das BSI erhöht seinen Personalstand um mehr als 100 Stellen, um mit Daten zu arbeiten.

Zur Popularität von SIEM hat auch die europäische Datenschutz-Grundverordnung (DSGVO) beigetragen. SIEM-Systeme beobachten und registrieren mitunter den Zugang zu personenbezogenen Daten so, dass jegliche Aktivität im Sinne der DSGVO dokumentiert wird und Gefahren erkannt werden. Bei einem sicherheitsrelevanten Vorfall können auf diese Weise die Ursachen ermittelt und dokumentiert werden. Ebendiese Dokumentation wird von den Behörden bei Audits und der Meldung von Vorfällen gefordert.

Der Gesetzgeber erhöht den Druck auch auf die eigenen Behörden. „Durch das bevorstehende IT-Sicherheitsgesetz 2.0 werden erstmals konkrete Mindeststandards vorgegeben, welche das Bundesamt für Sicherheit in der Informationstechnik (BSI) als oberste Behörde veröffentlicht“, sagt Matthias Maier. Diese Standards gelten bald nicht nur für Betreiber kritischer Infrastrukturen und Bundesbehörden, sondern auch für deren IT-Dienstleister und Lieferanten und hat natürlich Auswirkungen für alle Unternehmen, die mit Behörden zu tun haben. Das Gesetz verpflichtet Bundesbehörden, alle behördeninternen Ereignisse zu protokollieren und an das BSI zu übermitteln. Um mit diesen Daten zu arbeiten, erweitert das BSI die eigene Personaldecke um mehr als 100 neue Stellen.

SIEM-Projekte sind keine Kleinigkeit

SIEM-Projekte erfolgreich aufzusetzen ist besonders für größere Unternehmen allerdings mit viel Aufwand verbunden, schließlich müssen praktisch alle Unternehmensprozesse dokumentiert und die entsprechenden Software-Anwendungen mit der SIEM-Plattform verbunden werden. „Menschen plus Prozesse plus Technik ist gleich Komplexität“, sagt Matthias Maier. 

»Menschen + Prozesse + Technik = Komplexität.«

Größere Projekte dauern aus diesem Grund nicht selten sechs bis zwölf Monate, aber: „SIEM-Projekte sind auch in sechs Wochen möglich, wenn der Kunde seine Prozesse kennt und weiß, was er wissen muss“, sagt Maier. Splunk hat in dieser Disziplin viel Erfahrung, denn im Grunde hat der Anbieter nie etwas anderes gemacht als Datenquellen zu verbinden, Logdateien auszuwerten und Daten zu interpretieren, und das nicht nur für Security-Zwecke. Trotzdem arbeitet Splunk wie auch alle anderen Anbieter an Wegen, die Einführung von SIEM-Plattformen zu vereinfachen. Dazu beitragen soll auch das eben als Beta-Version eingeführte Cloud-basierte Splunk Mission Control.

Der Security-Spezialist Fortinet geht in Sachen SIEM einen pragmatischeren Weg und bietet seine SIEM-Plattform gezielt Mittelständlern und Fachabteilungen größerer Unternehmen an. „Fachbereiche haben oft spezielle Bedürfnisse oder können es sich einfach nicht leisten, so lange auf eine unternehmensweite Lösung zu warten“, sagt Josef Meier, Manager Pre Sales bei der deutschen Niederlassung von Fortinet. „Wir erzielen eine schnelle Implementation weil wir die meisten Bedürfnisse solcher Kunden mit fertigen Modulen erfüllen können, die etwa 80 Prozent der üblichen Einsatzszenarien abdecken.“

Das könnte Sie auch interessieren

Back to top button