Cyberkriminelle fahren immer schwerere Geschütze auf, und ihre Online-Angriffe können unerbittlich sein. Hier sehen Sie die globale Bedrohungslage laut Avira Labs: Auf der Seite können Sie die Online-Bedrohungsdaten der letzten 10 Minuten in Echtzeit abrufen. Proaktiver Online-Schutz ist heute wichtiger denn je. Und wenn Sie im Bereich Unternehmenssicherheit arbeiten, haben Sie sicher schon einmal den Begriff „Security Information & Event Management“ (SIEM) gehört, zu Deutsch „Sicherheitsinformations- und Ereignismanagement“. Doch was genau verbirgt sich hinter dieser Abkürzung? Was umfasst SIEM? Und wie trägt dieses Konzept zum Angriffsschutz bei? Dieser Artikel bietet eine Einführung in das Thema „SIEM“ und ist ein guter Einstiegspunkt, wenn Sie auf der Suche nach einer hochmodernen Sicherheitslösung sind.
Was versteht man unter einer Lösung für Security Information & Event Management (SIEM)?
Unter SIEM versteht man ein modulares Komplettpaket, das Softwareprodukte und -services aus den Bereichen Security Information Management (SIM) mit Security Event Management (SEM) vereint. Gemeinsam erfassen und speichern die verschiedenen Komponenten einer solchen Lösung Aktivitäten von vielen verschiedenen Ressourcen innerhalb der gesamten IT-Infrastruktur – darunter Netzwerkgeräte, Server, Domänencontroller und mehr. Darüber hinaus liefern sie Echtzeitanalysen von Sicherheitswarnungen, die von Anwendungen und Netzwerk-Hardware generiert werden. So erhalten IT-Mitarbeiter wichtige Einblicke in Trends und können Cyberbedrohungen besser erkennen und eindämmen. Wenn eine Warnung ausgegeben wird, kann sie rasch untersucht werden.
Der Name und das griffige Akronym dieser Komplettlösung wurden 2005 von Mark Nicolett und Amrit Williams von Gartner geprägt. Hier ist die offizielle Definition des National Institute of Standards and Technology, falls es Sie interessiert: „Eine Anwendung, mit der es möglich ist, Sicherheitsdaten der einzelnen Komponenten des Informationssystems zu sammeln und diese Daten als handlungsorientierte Informationen in einer einzigen Benutzeroberfläche zu präsentieren.“ Das Wörtchen „handlungsorientiert“ ist dabei entscheidend. „Handeln“ ist dringend geboten, bedenkt man, dass Cyberangriffe immer häufiger und komplexer werden und Unternehmen an strikte Compliance- und Regulierungsmechanismen gebunden sind, die sie zur Protokollierung von Sicherheitskontrollen verpflichten.
Nun fragen Sie sich vielleicht, was der Unterschied zwischen SIEM und einer Firewall ist. Gute Frage! Beide dienen der Sicherheit, doch sie unterscheiden sich hinsichtlich ihrer Funktionen. SIEM ist ein Tool zur Erkennung von Cyberbedrohungen und zur Erfassung von Daten. Eine Firewall verhindert, dass schädliche Inhalte in Ihr Netzwerk eindringen. Sie ist also ein Tool zur Abwehr von Cyberbedrohungen, wohingegen SIEM Protokolldaten von der Firewall (und anderen Netzwerksicherheitslösungen) sammelt und analysiert. Firewalls sind eine wichtige erste Verteidigungslinie von Netzwerken, aber kein Schutz ist vollkommen. SIEM löst bei jeder verdächtigen Netzwerkaktivität einen Alarm aus und bietet somit einen umfassenderen Überblick über den Netzwerkbetrieb. Kurz gesagt: SIEM ergänzt die Sicherheit um eine weitere Ebene, sodass ein „mehrschichtiges“ Sicherheitsmodell entsteht.
Was kostet eine solche benutzerfreundliche Komplettlösung für die Sicherheit? Das ist schwieriger zu beantworten, da die genauen Kosten von Faktoren wie der Größe des Unternehmens und dem zu überwachenden Datenvolumen abhängen. Grob geschätzt liegt der Preis für ein verwaltetes SIEM zwischen 5.000 und 10.000 US-Dollar pro Monat. Von einigen Anbietern gibt es Lösungen, die sich praktisch selbst verwalten, während andere mit hohen Kosten für Beratung und Support verbunden sind. Dabei sollte man bedenken, dass die Lizenzen in der Regel jährlich verlängert und erweitert werden müssen, um der wachsenden Datenmenge Rechnung zu tragen.
Handlungsorientierte Erkenntnisse: Wie funktioniert ein SIEM-Sicherheitsmanagementsystem?
Im Grunde genommen ist ein SIEM ein Datenaggregator mit angeschlossenem Such-, Berichts- und Sicherheitssystem. Die Lösung ist Teil einer On-Premise- oder Cloud-Umgebung und folgt einem vierstufigen Prozess:
SCHRITT 1: Daten aus verschiedenen Quellen sammeln
SCHRITT 2: Daten aggregieren
SCHRITT 3: Daten auf potenzielle Cyberbedrohungen analysieren
SCHRITT 4: Auf Basis von Analysen nach Maßgabe eines vorkonfigurierten Regelsatzes Sicherheitsverletzungen ermitteln und Warnmeldungen ausgeben
SIEM sammelt riesige Datenmengen aus der gesamten Netzwerkumgebung (zu der z. B. Anwendungen, Sicherheitsgeräte, Virenfilter und Firewalls zählen) und konsolidiert und protokolliert sie. Außerdem werden die Daten kategorisiert, sodass sie leicht abrufbar sind und Einblicke in die gesamte IT-Umgebung gewährleisten.
Die Analyse der immensen Datenmengen, die von sämtlichen vernetzten Geräten in Echtzeit ausgehen, übersteigt die Fähigkeiten einer einzelnen Person. SIEM-Lösungen untersuchen alle Daten und greifen auf Regeln und statistische Korrelationen zurück, um Cyberbedrohungsaktivitäten nach Risikostufe zu kategorisieren. Dies hilft dem Security Operation Center (SOC), böswilligen Akteuren auf die Schliche zu kommen und das Risiko durch Cyberangriffe einzudämmen. Zudem ist es möglich, vergangene Vorfälle zu reproduzieren, um daraus zu lernen, oder neue Vorfälle in Echtzeit zu analysieren, um wirksamere Sicherheitsprozesse zu implementieren.
Was sind die Vor- und Nachteile einer SIEM-Lösung?
Der Hauptvorteil einer SIEM-Lösung ist der Schutz vor virtuellen Bedrohungen. Firewalls und Antivirus-Systeme sind unverzichtbar, reichen aber nicht immer aus, um ein ganzes Netzwerk zu schützen, insbesondere vor Zero-Day-Angriffen. SIEM ist deshalb wirksam, weil jeder Nutzer in den Protokolldaten des Netzwerks eine virtuelle Spur hinterlässt. Das gilt auch für Tracker und Hacker. Durch einen Vergleich der Aktivitäten mit dem bisherigen Verhalten im Netzwerk ist es SIEM möglich, legitime Anfragen von Malware-Angriffen zu unterscheiden.
Außerdem hilft die SIEM-Sicherheit Unternehmen auch bei der Einhaltung der branchenüblichen Cybersicherheitsvorschriften. Protokollverwaltung gilt als Branchenstandard für die Prüfung von IT-Netzwerkaktivitäten, doch Protokolle zu managen, ist ein ressourcenintensiver Aufwand für Sicherheitsteams. SIEM kann bei der automatischen Einhaltung von Datensicherheitsvorschriften helfen und liefert bei Bedarf sogar auditfähige Berichte. Davon profitieren alle!
Klingt gut? Bevor Sie jetzt alle Hebel in Bewegung setzen, um ein SIEM-System zu implementieren, sollten Sie sich über einige Nachteile im Klaren sein. Es ist nicht damit getan, ein SIEM-Tool zu kaufen und zu installieren. Wie gut Ihr System funktioniert, hängt davon ab, wie es eingerichtet, konfiguriert und überwacht wird. Es ist sinnlos, lediglich Informationen ohne Kontext zu protokollieren. Außerdem erfordert die Analyse und Konfiguration von SIEM-Berichten technisches Fachwissen. Andernfalls erhalten Sie nur Unmengen von Daten, die Ihnen keinerlei Erkenntnisse liefern. Zeit und technisches Fachwissen sind nicht billig; ein SIEM-System könnte also teuer werden. Implementierung, jährlicher Support, etwaige Neueinstellungen – all das kostet Geld.
Und wussten Sie, dass ein falsch konfiguriertes SIEM täglich unter Umständen Tausende von Fehlwarnungen generiert? Kurz gesagt: In den falschen Händen kann ein SIEM eine komplexe, kostspielige und unübersichtliche Angelegenheit sein.
Was sind die Kernfunktionen eines SIEM?
Laut Gartner weisen SIEM-Systeme die folgenden drei Kernfunktionen auf: Bedrohungserkennung, Analyse und Reaktionszeit. Darüber hinaus bieten SIEM-Anbieter häufig weitere Funktionen an, darunter:
- Grundlegende Sicherheitsüberwachung
- Erweiterte Bedrohungserkennung
- Forensik und Reaktion auf Vorfälle
- Protokollierung
- Normalisierung
- Benachrichtigungen und Warnmeldungen
- Erkennung von Sicherheitsvorfällen
- Threat-Response-Workflow
Bei der Frage, welches SIEM das richtige für Sie ist, sollten Ihre Ziele im Vordergrund stehen. Wenn Ihr Unternehmen beispielsweise strenge gesetzliche Auflagen erfüllen muss, hat die Erstellung von Berichten oberste Priorität. Sind neuartige Online-Angriffe Ihre größte Sorge? Dann sollten Sie nach bewährten Normalisierungstools und umfassenden benutzerdefinierten Benachrichtigungsfunktionen Ausschau halten.
So maximieren Sie den Nutzen Ihres SIEM-Netzwerks und -Systems
Jede IT-Umgebung und Bedrohungslage ist einzigartig, und dementsprechend unterscheiden sich auch die Anforderungen der einzelnen Unternehmen. Doch es gibt einige bewährte Praktiken, an die Sie sich bei der Implementierung eines SIEM-Systems halten sollten:
- Umfassende Abdeckung gewährleisten: Ein SIEM benötigt Daten aus allen relevanten Quellen, um optimal zu funktionieren. Gefahrenereignisse könnten übersehen werden, wenn die Betriebsumgebung nicht vollständig abgedeckt ist.
- Die richtigen Daten erfassen: Nicht alle Daten sind gleich, und ein SIEM mit unwichtigen Daten zu füttern, ist eine Verschwendung wertvoller Ressourcen. Wählen Sie daher mit Bedacht, und prüfen Sie regelmäßig Ihre Regeln und Datenströme.
- So viel wie möglich automatisieren: Jede Analyse, die automatisch durchgeführt werden kann, entlastet Ihr Team, sodass es sich eingehender mit der Untersuchung von Warnmeldungen befassen kann.
- Warnstufen definieren: Eine Gefahr für den Laptop eines Mitarbeiters hat nicht den gleichen Stellenwert wie ein drohender Ausfall kritischer Systeme. Die Warnstufe sollte sich nach der Relevanz des angegriffenen Systems richten.
- Über Cyberbedrohungen auf dem Laufenden bleiben: Einblicke in die aktuelle Bedrohungslage ermöglichen Ihnen fundierte Entscheidungen in Bezug auf Ihre SIEM-Konfiguration. Regeln und Warnmeldungen, die auf Angriffen mit bekannten Signaturen basieren, sind hervorragend geeignet, um bekannte Cyberbedrohungen abzuwehren. Doch um auch unbekannte Cyberbedrohungen zu erkennen, sollten die Regeln auch Anomalien berücksichtigen. Finden Sie heraus, was in Ihrer Umgebung „normal“ ist, um Ihr System entsprechend für die Erkennungen von Abweichungen zu schulen.
Ein Überblick über führende SIEM-Anbieter
Bei SIEM-Sicherheit und SIEM-Tools haben Sie die Qual der Wahl. Nachfolgend finden Sie einige führende Anbieter in diesem Bereich.
Splunk: Diese On-Premise-Lösung wurde im 2022 Gartner® Magic Quadrant™ for SIEM® als führend eingestuft. Sie unterstützt die Sicherheitsüberwachung und bietet erweiterte Funktionen zur Bedrohungserkennung.
IBM QRadar: Dieses SIEM lässt sich je nach Bedarf und Kapazität Ihres Unternehmens als Hardware-Appliance, virtuelle Appliance oder Software-Appliance implementieren.
LogRhythm: LogRhythm ist bei kleineren Unternehmen beliebt und bietet zuverlässige Funktionen für die Bedrohungserkennung und -reaktion.
Eine ausführlichere Liste der Anbieter mit Bewertungen finden Sie hier: Gartner Security Information and Event Management (SIEM) Reviews and Ratings.
Was hält die Zukunft in Sachen SIEM bereit?
Wir leben in einer schönen neuen Welt, geprägt von Automatisierung, KI und Cloud-Infrastrukturen. Unternehmen fordern hocheffektive, skalierbare und dennoch kostengünstige Lösungen. Nicht mehr lange, und Analyseteams, die hinter den Monitoren die Stellung halten, haben ausgedient. Wie könnten die SIEM-Lösungen der nächsten Generation also aussehen? Laut Forbes werden sich anwendungsbasierte Preismodelle durchsetzen, bei denen Unternehmen nur für die monatlich verarbeiteten Daten zur Kasse gebeten werden. Durch Cloud-Dienste wird es möglich sein, die Kosten und Komplexität von SIEM-Systemen immer weiter zu reduzieren. Benutzerfreundlichkeit wird sich als Schlüssel erweisen, um die Einführungszeiten zu verkürzen und SIEM-Lösungen der nächsten Generation allgemein zugänglich zu machen. Sicherheitsunternehmen werden die Entwicklung spezialisierter Analysetools auf einer universellen SIEM-Datenplattform vorantreiben. So können sie sich auf bestimmte Branchenanforderungen konzentrieren, um robuste Software zu entwickeln, die noch hochwertiger und anpassbarer ist.
Effektiverer Schutz, der schneller, flexibler, und kostengünstiger ist? Das sind in der Tat rosige Aussichten.
Dieser Artikel ist auch verfügbar in: EnglischFranzösischItalienisch