Einführung: Security Information and Event Management (SIEM)

Das Internet ist der Ort der unendlichen Möglichkeiten – sollte aber nicht sorglos bereist werden. Cyberkriminelle finden immer kreativere Wege, wie sie Ihren Computer lahmlegen und sensible Daten abfangen können. Dabei sind nicht nur Privatpersonen, sondern vor allem auch Unternehmen lukrative Ziele. Erfahren Sie, wie Ihr Arbeitgeber mithilfe sogenannter SIEM-Lösungen die IT-Infrastruktur zuverlässig vor Cyberbedrohungen schützt. Lesen Sie außerdem, wie Ihnen Avira Free Security zusätzlich dabei helfen kann, Hacker und Betrüger von Ihrem Rechner fernzuhalten – privat, wie auch beruflich. 

Kompakt zusammengefasst: Was ist SIEM? 

SIEM ist die Abkürzung für Security Information and Event Management (deutsch: Sicherheitsinformations- und Ereignismanagement). Dabei handelt es sich um ein modulares Komplettpaket, das Softwareprodukte und -services aus den Bereichen Security Information Management (SIM) sowie Security Event Management (SEM) zu einer Lösung kombiniert. SIEM-Technologien werden ausschließlich von Unternehmen eingesetzt und von der IT verwaltet – allerdings ist es für Angestellte auch hilfreich, die Bedeutung und Funktionsweise zu verstehen. 

Die verschiedenen Anwendungen und Services, die zu SIEM gehören, unterstützen die Netzwerkadministratoren in Ihrem Unternehmen bei der Echtzeitanalyse von potenziellen Sicherheitsbedrohungen und Schwachstellen innerhalb der IT-Infrastruktur. Das Ziel ist dabei der proaktive Online-Schutz vor Cyberkriminalität durch den unerwünschten Zugriff von außen oder durch schädliche Software. Grundsätzlich gilt: Je mehr Mitarbeiter ein Unternehmen hat, desto mehr potenzielle Sicherheitslücken und Angriffspunkte gibt es. 

Diese Aufgaben erfüllen SIEM-Tools: 

Die grundlegende Funktionsweise von SIEM 

SIEM-Tools erfassen, speichern und bewerten sämtliche Aktivitäten innerhalb einer IT-Infrastruktur. Die Sicherheitswarnungen von Anwendungen oder im Netzwerk angeschlossener Hardware werden dabei historisch oder in Echtzeit analysiert. Auf diese Weise werden IT-Mitarbeiter Ihres Unternehmens zeitnah über potenzielle Sicherheitsbedrohungen informiert und erhalten wichtige Einblicke. 

Im Grunde haben SIEM-Lösungen drei Kernfunktionen: die Bedrohungserkennung, die Analyse sowie die Reaktion. Die folgenden vier Schritte verdeutlichen die Arbeitsweise von SIEM-Tools:  

• Schritt 1 – Datenerfassung: Sämtliche Protokolldaten werden aus den unterschiedlichsten Quellen gesammelt. Zu diesen Quellen zählen alle Rechner, Server und sonstige im Netzwerk angeschlossene Komponenten. 
• Schritt 2 – Konformitätsmanagement und -berichterstellung: Die gesammelten Daten werden zusammengetragen, normalisiert und in ein einheitliches Format „übersetzt“. 
• Schritt 3 – Bedrohungserkennung: Die gesammelten, einheitlichen Daten werden mithilfe der sogenannten Threat Detection auf sicherheitsrelevante Ereignisse analysiert. Das bedeutet, dass nach ungewöhnlichen Ausschlägen und Abweichungen geschaut wird. 
• Schritt 4 – Bedrohungsreaktion: Wenn sich im Rahmen der vorangegangenen Analyse herausstellt, dass eine Sicherheitsbedrohung vorliegt, wird entsprechend eines vorkonfigurierten Regelsatzes via Threat Response reagiert. 

Begriffliche Abgrenzung: Was ist der Unterschied zwischen SIEM, SOC und IDS? 

Weitere Abkürzungen, die im Zusammenhang mit SIEM oftmals verwendet werden, sind SOC und IDS. 

SOC: Die Abkürzung SOC steht für Security Operations Center. Dabei handelt es sich schlichtweg um das Team, das die SIEM-Tools nutzt. In den meisten Unternehmen übernimmt diese Rolle das IT-Department. 

IDS: Sowohl SIEM als auch IDS (Intrusion Detection System) weisen auf Bedrohungen im Netzwerk hin. Der Unterschied beider Systeme liegt darin, dass SIEM-Systeme präventiv arbeiten und über potenzielle Sicherheitsbedrohungen aufgrund von ungewöhnlichen Aktivitäten und Trends informieren. Ein IDS hingegen meldet „lediglich“ tatsächliche Bedrohungen, sobald diese auftreten.  

Wie funktioniert SIEM im Detail? 

Auch wenn sich die unterschiedlichen SIEM-Lösungen in ihrer Leistungsfähigkeit unterscheiden können, bietet jeder SIEM-Anbieter die gleichen Kernfunktionen. Erfahren Sie im Folgenden, welche das sind.  

Protokollmanagement 

Im Rahmen des Protokollmanagements werden sämtliche Ereignis- und Protokolldaten („Log Files“) erfasst. Die Daten werden aus unterschiedlichen Quellen gesammelt. Protokolldaten sind sämtliche aufgezeichnete Aktivitäten von Computern, Servern und Domain-Controllern. Darunter fallen sämtliche Aktivitäten sowohl aus der lokalen als auch aus der Cloud-Umgebung. Am Beispiel von Ihrem Arbeitscomputer bedeutet dies, dass vom initialen Hochfahren des Rechners bis zum Herunterfahren sämtliche Abläufe aufgezeichnet werden, inklusive aller Prozesse, die im Hintergrund ablaufen. Auf diese Weise können nicht nur alle funktionierenden Prozesse, sondern auch mögliche Ungereimtheiten, Abstürze und Fehler protokolliert werden.  

Die gesammelten Protokolle werden anschließend organisiert. Das heißt, dass sie zwar an den unterschiedlichsten Endpunkten gesammelt – im Anschluss aber an einer zentralen Stelle gespeichert und verwaltet werden. Dadurch, dass sämtliche Logdateien an einem Ort abgelegt werden, kann eine einfachere Analyse und vor allem ein schnellerer Zugriff auf genau diese Daten erfolgen. Somit wird sichergestellt, dass SIEM-Tools schnell (re-)agieren können. 

Eine funktionierende SIEM-Protokollverwaltung organisiert und analysiert somit sämtliche Daten aus dem Netzwerk. Auf diese Weise erhält die IT-Administration Ihres Unternehmens einen sehr guten Überblick über den Datenverkehr und den digitalen Betrieb des Unternehmens. 

Ereigniskorrelation und -analyse

Jeden Tag wird eine Vielzahl an Ereignissen und Protokollen gesammelt und gespeichert. Diese riesige Datenmenge manuell und individuell zu analysieren, ist zeitlich nicht möglich und keineswegs effizient. IT-Administratoren können daher nur sehr schwer feststellen, auf welches Ereignis wirklich reagiert werden muss und worauf nicht. Mithilfe der Ereigniskorrelation und -analyse werden alle eingehenden und gesammelten Protokolle zusammengetragen und in ein einheitliches, lesbares Format konvertiert. Durch diese Organisation und Vereinheitlichung fällt es dem SIEM-Tool leichter, die Datenmenge zuverlässiger und vor allem schneller zu analysieren. 

Wenn es innerhalb dieser „homogenen Masse“ zu ungewöhnlichen Abweichungen und Ausschlägen kommt, werden diese als potenzielle Sicherheitsbedrohungen eingestuft. Diese „Vorauswahl“ hilft der IT-Administration in Ihrem Unternehmen dabei, eine qualifizierte Entscheidung zu treffen, bei welchen der zahlreichen Ereignisse wirklich entsprechende Maßnahmen notwendig werden. 

Ereignisüberwachung und Sicherheitswarnungen 

Damit die IT-Administration einen guten Überblick über das Netzwerk und mögliche Auffälligkeiten behält, werden sämtliche Aktivitäten und Warnungen in einem einzigen Dashboard gesammelt. Die Datenvisualisierung der Ereignisüberwachung und Sicherheitswarnungen erfolgt dabei in Echtzeit, sodass ungewöhnliche Trends oder extreme Ausschläge direkt angezeigt und erkannt werden können. Administratoren können dabei eigene Korrelationsregeln vordefinieren, um maßgeschneiderte Informationen zu etwaigen Sicherheitsbedrohungen zu erhalten. Dieses System muss mit der Zeit feinjustiert werden, da gerade in der Anfangszeit Fehlalarme vorkommen. 

 Welche Sicherheitsbedrohungen kann SIEM-Software abwehren? 

Das Internet ist voll mit potenziellen Bedrohungen, die auf die Sicherheit von Geräten (beispielsweise von Ihrem Arbeitsrechner) sowie den Klau von Daten abzielen. Die Funktionen von SIEM-Tools können dabei helfen, derartige Bedrohungen rechtzeitig zu identifizieren, sodass entsprechende Maßnahmen eingeleitet werden können. Zu den gängigsten Sicherheitsbedrohungen zählen: 

• Bedrohungen „von innen“: Hierbei handelt es sich um sämtliche Aktivitäten, Angriffe und auch Sicherheitslücken, die von Personen mit einem autorisierten Zugriff ausgehen. Diese Personen können auf das Netzwerk sowie auf Daten und Vermögenswerte zugreifen. 
• Phishing: Bei Phishing handelt es sich um eine gefährliche Form der klassischen Spam-E-Mails. Diese Nachrichten stammen scheinbar von einem vertrauenswürdigen Absender, zielen aber auf den Diebstahl von Nutzerdaten, Anmelde- und Finanzinformationen ab. 
• Malware: Unter Malware versteht man im allgemeinen Schadsoftware, die darauf ausgelegt ist, Hackern Zugriff auf einen Computer zu ermöglichen und diesen zu stören. Dabei können Anwendungen und Prozesse manipuliert oder Daten geklaut werden.  
• Ransomware: Ransomware ist eine besondere Form der Malware, die ein Endgerät gezielt sperren kann. So können beispielsweise Cyberkriminelle den Zugang zu einem Computer verhindern und damit drohen, erst bei einer entsprechenden Geldzahlung den Zugriff wieder zu ermöglichen. 
• DDoS: Die Abkürzung DDoS steht für „Distributed Denial of Service“. Bei diesen gezielten Attacken auf ein Netzwerk wird eine große, kaum zu kontrollierende Menge an Datenverkehr verursacht. Diese Datenmenge mindert die Leistung von Webseiten und Servern und legt diese im schlimmsten Fall gänzlich lahm. 

Die Vorteile eines SIEM-Systems 

SIEM-Lösungen bieten Ihrem Unternehmen zahlreiche Vorteile bei der Bekämpfung von Cyberbedrohungen. Zu diesen Vorteilen zählen: 

• Bedrohungen in Echtzeit identifizieren: SIEM-Tools helfen dabei, potenzielle Bedrohungen in Echtzeit zu erkennen. Sie geben der IT wertvolle Informationen und Hinweise, sodass diese angemessen reagieren kann. 
• Schnellere Identifikation: Durch den Einsatz von künstlicher Intelligenz sind SIEM-Tools in der Lage, deutlich schneller Sicherheitsinformationen und -vorfälle zu analysieren. 
• Ressourcen werden effizient genutzt: Dank der durch KI unterstützten, automatischen Prozesse kann sich die IT-Administration gezielt der Verwaltung der Unternehmenssicherheit widmen. 
• Koordinierte Überwachung: Mithilfe von vordefinierten Regelsätzen können sämtliche Geräte und Anwendungen innerhalb eines Netzwerks ununterbrochen überwacht und auf Sicherheitslücken untersucht werden. 
• Einhaltung von Richtlinien: SIEM-Tools sind ein zuverlässiges Werkzeug für die Einhaltung von geltenden Regeln und Gesetzen. Jedes Unternehmen hat individuelle Compliance-Anforderungen; also Richtlinien, wie sich Mitarbeiter zu verhalten haben. Sicherheitsbedrohungen und -lücken, die durch ein Fehlverhalten am Arbeitsplatz verursacht werden, können auf diese Weise schnell erkannt und behoben werden. 
• Intelligente Weiterentwicklung: Integrierte „Threat-Intelligence-Feeds“ vergleichen potenzielle, bislang unbekannte Bedrohungen mit den Mustern bereits bekannter Bedrohungen. So kann in Echtzeit überprüft werden, ob eine neue Sicherheitsbedrohung vorliegt, die vergleichbare Muster zu vorherigen Bedrohungen aufweist. 

Best Practices für die Implementierung von SIEM-Tools 

Eine SIEM-Lösung im Unternehmen zu implementieren, ist durchaus komplex und setzt ein technisches Grundverständnis voraus. Damit das Tool bestmöglich eingesetzt wird, muss die IT in Ihrem Unternehmen folgende Schritte und Gedanken berücksichtigen: 

• SIEM-Ziele abklären: Bevor Ihr Unternehmen mit der Implementierung von SIEM startet, sollte es klare Ziele definieren. Sollen schädliche Bedrohungen erkannt werden? Ist Ihnen die Einhaltung von Regeln und Vorschriften wichtig? 
• Aktuelle Infrastruktur überprüfen: Ihr Unternehmen muss sich ein Verständnis für die Menge an Daten, die durch die IT-Infrastruktur fließen, schaffen. So kann sie sich qualifiziert für ein Produkt und ein Preismodell entscheiden, das den individuellen Anforderungen entspricht. 
• Zukünftige Infrastruktur prognostizieren: Die IT muss sich mit Ihrer Geschäftsführung über zukünftige Expansionen und Weiterentwicklungen austauschen, um diese bereits in der Planungsphase zu berücksichtigen. 
• Regeln definieren: Das IT-Department muss individuelle Regeln für die Datenkorrelation definieren, die auf das gesamte Netzwerk und sämtliche integrierte Geräte angewendet werden. Nur so wird das SIEM-Tool in Zukunft die Aktivitäten in Ihrem Unternehmen besser bewerten und entsprechende Sicherheitshinweise geben. 
• Firmenrichtlinien integrieren: Die Geschäftsführung muss sämtliche Firmenrichtlinien klar definieren, um die Einhaltung der vorgeschriebenen Unternehmensstandards in Echtzeit zu überwachen. 
• IT-Infrastruktur katalogisieren: Sämtliche digitale Assets der IT-Struktur des Unternehmens müssen überprüft und klassifiziert werden. So können Protokolle besser erfasst, verwaltet und Aktivitäten im Netzwerk schneller überwacht und bewertet werden. 
• Regelmäßige Anpassungen: Die IT muss aus Fehlalarmen lernen, die am Anfang ganz normal sind. Basierend auf diesen Meldungen kann sie die Regeln und SIEM-Konfigurationen anpassen, sodass falsche Warnhinweise in Zukunft reduziert werden. 
• Übungssituationen schaffen: Es sollten gezielt künstliche Szenarien erschaffen werden, die mögliche Reaktionen auf potenzielle Bedrohungen durchspielen. So kann sichergestellt werden, dass sämtliche Teams im Ernstfall angemessen reagieren können. 

Ein Blick in die Zukunft von SIEM 

Ein wesentlicher Faktor, der einen direkten Einfluss auf die Zukunft von SIEM hat, ist die Entwicklung von Künstlicher Intelligenz. Durch automatisierte, intelligente Verhaltensweisen und maschinelles Lernen wird KI dazu beitragen, dass in Zukunft noch schneller qualifizierte Entscheidungen getroffen werden. Alles, was eine SIEM-Lösung heute schon zuverlässig macht, wird in Zukunft noch schneller gehen. Auf diese Weise korrelieren und analysieren sie Protokolle noch schneller und erkennen Bedrohungen früher. Zudem verarbeiten sie noch mehr Datensätze in kürzerer Zeit. 

Jedes Jahr werden immer mehr Geräte internetfähig. Zahlreiche physische wie auch virtuelle Objekte müssen über ein Netzwerk verbunden werden, um miteinander kommunizieren zu können. Von Autos über Smartphones bis hin zu Kühlschränken: Ohne Internet funktionieren die wenigsten technischen Geräte in vollem Umfang. Diese Entwicklung wird als das Internet of Things bezeichnet. Aufgrund dieser Entwicklung sind immer mehr Geräte mit dem Internet verbunden – und somit können auch mehr Geräte durch Malware und Co. Schaden nehmen. Eine schnellere und qualifizierte Bewertung von potenziellen Bedrohungen ist daher dringend notwendig, um der Masse an Daten gerecht zu werden. 

Durch den Einsatz von Cloud-Diensten wird es zudem möglich sein, die Kosten und Komplexität von SIEM-Systemen immer weiter zu reduzieren. Benutzerfreundlichkeit wird sich als Schlüssel erweisen, um die Implementation von SIEM-Lösungen in Zukunft zu beschleunigen und der nächsten Generation allgemein zugänglicher zu machen.  

Sicherheit beginnt auf dem eigenen PC – mit Avira Free Security 

Moderne SIEM-Lösungen sind in der Lage, Auffälligkeiten und potenzielle Bedrohungen im Netzwerk zu erkennen und entsprechend zu melden. Eine dedizierte Antivirus-Lösung kann Sie dabei unterstützen, derartigen Bedrohungen erst gar keinen Zugriff auf Ihren Rechner zu ermöglichen. 

Mit Avira Free Security erhalten Sie eine All-in-One-Lösung, die Ihren Aufenthalt im Internet sicherer machen kann. Zudem surfen Sie anonymer durch das World Wide Web, da das integrierte VPN dabei hilft, Ihre IP-Adresse und somit auch Ihren Standort zu verschleiern. Zusätzlich schafft das Tool Ordnung auf Ihrem Rechner und entfernt veraltete Programme. So kann Avira Free Security durch den Einsatz von über 30 Tuning-Tools Platz freimachen und die Performance von Ihrem PC verbessern.