Die IT-Umgebungen, in denen wir arbeiten, werden immer komplexer und die Cybersicherheit erscheint frustrierend häufig wie ein großes Mysterium. Für IT-Experten, insbesondere in Behörden, ist sie eine der wichtigsten Prioritäten – und eine der größten Herausforderungen.
Auch wenn es keine einzelne Lösung gibt, die vor allen Cyberbedrohungen schützen kann, gibt es Tools, die einen großen Beitrag leisten, um die Cyberbedrohungslandschaft besser verstehen und managen zu können. Zu diesen Tools gehört auch Software für das Security Information and Event Management (SIEM). SIEM-Tools kombinieren Security Information Management (SIM) und Security Event Management (SEM) in einer einzigen Lösung und bieten somit umfassende Funktionen für Bedrohungserkennung, Vorfallreaktion und Compliance-Berichterstellung.
SIEM-Tools erfassen Informationen aus Ereignisprotokollen von den meisten Geräten – von Servern und Firewalls bis hin zu Antimalware-Systemen und Spamfiltern. Anschließend analysiert die Software diese Protokolle, identifiziert anomale Aktivitäten und gibt eine Warnmeldung aus – oder reagiert in vielen Fällen bereits automatisch.
IT-Experten in Behörden können mithilfe von SIEM-Software schnell potenziell verdächtige Aktivitäten identifizieren, herausbekommen, wer betroffen ist, und automatisierte Mechanismen implementieren, um Angriffe abzuwehren, bevor sie die Behörde beeinträchtigen.
Zu den Hauptvorteilen von SIEM-Software gehört die Kombination aus Konsolidierung und Zentralisierung. Daten stammen aus den unterschiedlichsten Quellen, aber SIEM-Software konsolidiert und analysiert die Daten als Ganzes. So können IT-Experten in Behörden sämtliche Daten in einem zentralen Dashboard überblicken. Eine zentrale Übersicht hilft, Trends zu identifizieren, ungewöhnliche Aktivitäten auf einfache Weise zu erkennen und proaktive – statt reaktive – Reaktionen zu etablieren.
Die Wahl eines SIEM-Tools
Heutzutage sind zahlreiche unterschiedliche SIEM-Tools mit ihren jeweiligen Vorteilen verfügbar. SIEM-Tools können von Big Data-Analysen über zentralisierte forensische Übersichten bis hin zu von künstlicher Intelligenz gesteuerten Verhaltensanalysen ein breites Spektrum umfassen. Das geeignete Tool für die eigenen Anforderungen auszuwählen wird dabei oft zur Herausforderung.
Bei der Wahl einer SIEM-Lösung sind einige wichtige Faktoren zu beachten. Einige davon stehen außer Frage, beispielsweise die Skalierbarkeit: Für IT-Experten in Behörden ist es zweifellos wichtig, in ein Tool zu investieren, das mit der Behörde mitwachsen kann.
Andere Faktoren sind weniger offensichtlich und trotzdem nicht weniger wichtig. Dazu gehören die folgenden Fragen:
- Bietet das SIEM-Tool ausreichend native Unterstützung für alle relevanten Protokollquellen? Das Tool muss große Datenmengen aus zahlreichen verschiedenen Quellen zusammenführen. Entsprechend wichtig ist es, dass die gewählte Software wirklich mit den Gerätetypen kompatibel ist, von denen sie Informationen erfassen und analysieren wird.
- Falls das SIEM-Tool keine native Unterstützung für eine relevante Protokollquelle bietet: Wie schnell und unkompliziert kann dies behoben werden? Unterstützt das Tool benutzerdefinierte Protokollquellen für intern entwickelte Anwendungen? Das Tool sollte bei Bedarf problemlos erweitert werden können, um neue Datenquellen zu unterstützen.
- Wie gut und wie schnell kann das SIEM-Tool Daten analysieren? Je schneller das IT-Sicherheitsteam in einer Behörde Bedrohungen identifizieren und eindämmen kann, desto sicherer ist die Behörde. Um Datensicherheitsverletzungen und -verlusten vorzubeugen, muss unbedingt die Zeit bis zur Bedrohungserkennung (TTD, Time To Detection) reduziert werden. Das SIEM-Tool sollte ohne große Eingriffe des Sicherheitsteams in kurzer Zeit erweiterte Analysen durchführen können.
- Bietet das SIEM-Tool nützliche und relevante, sofort einsatzbereite und benutzerfreundliche Berichte? Der große Vorteil in der zentralen Übersicht, die SIEM-Software bietet, besteht in der Möglichkeit, große Mengen an Daten in einem einzelnen Bericht oder Diagramm zu überblicken. Das von der Behörde gewählte Tool sollte Vorlagen bereitstellt, die unkompliziert implementiert und bei Bedarf genauso einfach angepasst werden können. Je schneller ein Tool fertig eingerichtet ist, desto schneller können Sicherheitsbedrohungen erkannt und abgewehrt werden.
- Können mit der SIEM-Lösung unkompliziert Protokolldaten analysiert und benutzerdefinierte Berichte erstellt werden? Sofort einsatzbereite Berichte sind immer hilfreich, doch manchmal stehen IT-Experten in Behörden vor Fragen, die umfassendere Untersuchungen erfordern, oder sie möchten angepasste Ansichten erstellen, die dem Management oder Prüfern vorgelegt werden können. Das Tool sollte einfach nutzbare Datenanalyse- und Berichterstellungsfunktionen aufweisen, um schnell und mit minimalem Aufwand Antworten zu erhalten.
Fazit
In der Cybersicherheit gibt es keine Allheilmittel. Cyberkriminelle entwickeln immer intelligentere Methoden, verfügen über finanzielle Mittel und wissen, dass die meisten Bundesbehörden nicht das nötige Budget haben, um ihre sich ständig ändernden Taktiken zu durchkreuzen. Je vernetzter und komplexer die Welt wird und je stärker die Cloud und das Internet der Dinge zum Behördenalltag werden, desto wichtiger wird es für Behörden, planvoll gegen die aktiv gegen sie gerichteten Bedrohungen vorzugehen. Ein SIEM-Tool kann die Arbeitslast von IT-Experten enorm verringern, wertvolle Zeit sparen und für alle Systeme der Behörde zusätzliche Sicherheit bieten.
Jim Hansen, VP Products Security bei SolarWinds