Maßnahmen nach dem „Stand der Technik“ – dazu gehört heute nach Expertenmeinung ein Security-Information- und Event-Management-System (SIEM). Aber der IT-Fachkräftemangel errichtet für viele Unternehmen Hürden. Ein Ausweg bietet SIEM als Dienstleistung.
„… geeignete Maßnahmen … Überwachungssystem … damit … gefährdende Entwicklungen früh erkannt werden“ – schon im Aktiengesetz (§ 91 Abs. 2 AktG) findet man solche Forderungen. Wer in der Finanzbranche tätig ist, bekommt von MaRisk, BAIT und anderen Normen deutlich gesagt, dass Risikomanagement Pflicht und die Abwehr von Cyber-Bedrohungen keine Kür ist. Auch neue Schwachstellen durch den massiven Ausbau von Mobile- und Homeoffice verlangen nach Antworten. Da Advanced Persistent Threats nur durch die Detektion unterschwelliger Anomalien im Netzwerkbetrieb erkannt werden können, müssen Datenserver, Mailserver, Netzwerkknoten und Firewalls fortlaufend überwacht werden. Ein SIEM-System erhöht hier Komfort und Effizienz, weil es die Logfiles der verschiedenen Systeme im Netzwerk in Echtzeit sammelt, zentral visualisiert, auswertet und korreliert. Bei Vorfällen können automatisiert Gegenmaßnahmen eingeleitet werden.
Schon aus der Einführung Nutzen ziehen
Doch vielen Unternehmen fehlt das Fachpersonal für Einführung und Betrieb von SIEM. Mit mandantenfähiger SIEM-Software kann noris network nicht nur die IT der Banken und KRITIS-Kunden in ihren zertifizierten Hochsicherheitsrechenzentren überwachen, sondern bietet ihr Know-how mit Einführung und Betrieb auch als Managed Service an. Bereits bei Konzeption eines SIEM bringt die Einbindung externer Experten unmittelbaren Nutzen: kürzere Projektlaufzeiten, weniger Fehlerrisiken und ein kritischer Blick von außen. Mit einer Strukturanalyse werden IT-Systeme und Anwendungen erfasst und die anschließende Schutzbedarfsfeststellung macht die Risikobewertung konkret. Über die Erstellung von „Use Cases“ wird definiert, welche Dienste überwacht werden müssen beziehungsweise wo die Prioritäten bei der SIEM-Einbindung liegen. Im Vulnerability- und Patch-Management werden Anpassungen durchgeführt und neue Anforderungen festlegt. Und das „Playbook“ listet Notfallpläne für den Umgang mit definierten Security-Vorfällen.
Optimierungsprozess
Schon die notwendigen Systemanalysen bei SIEM-Einführung starten einen permanenten Optimierungsprozess und härten die IT-Infrastruktur. Auch ohne Angriff legt die Analyse der Logfiles Konfigurationsfehler und Schwächen in Prozessen sowie Organisation offen. Berechtigungssammler, unnötiger Einsatz von Admin-Passwörtern oder das verzögerte Einspielen von Updates und Blacklists fallen schnell auf. Der Betrieb eines SIEM lebt vom Vergleich eines geregelten Normalbetriebs mit Abweichungen. Die erforderliche Auseinandersetzung mit den Regeln für den Betrieb härten die Systeme bereits, bevor das SIEM Incidents meldet und Angriffe abgewehrt werden.
Wer SIEM nur als neuen, durch Compliance und Regulatorik getriebenen Kostenfaktor sieht, liegt falsch. SIEM rechnet sich nicht erst, wenn man mit seiner Hilfe einen Angriff abwehrt und so Folgekosten und existenzielle Risiken minimiert. Vielmehr sollten IT-Verantwortliche die Einführung eines SIEM als übergreifende Prozessoptimierung begreifen. Die Einführung macht unabhängig von der möglicherweise sehr langwierigen Suche nach SIEM-erfahrenen Fachleuten. Fortschritte und die mit ihr verbundene Mehrarbeit kann über Beratung und Managed Services eines Dienstleisters wie noris network abgedeckt werden.
Holger Wittgen | www.noris.de