Was ist SIEM (Security Information and Event Management)?

Die IT-Sicherheit spielt in modernen Unternehmen eine übergeordnete Rolle. Cyberkriminelle sind Tag für Tag auf der Suche nach den kleinsten Sicherheitslücken, um sensible Daten zu stehlen, schadhafte Software einzuschleusen oder komplette Firmen-Netzwerke lahmzulegen. Neben millionenschweren Verlusten drohen dadurch ebenso gravierende Image-Schäden: Wird öffentlich bekannt, dass es nicht gut um die Datensicherheit bestellt ist, sind die negativen Auswirkungen auf das Vertrauen potenzieller Neukunden und aktueller Bestandskunden in keinem Fall zu unterschätzen.

SIEM-Systeme versprechen, ein derartiges Szenario zu verhindern, indem sie verdächtige Ereignisse und aktuelle Angriffstrends erkennen. Was steckt hinter dem sogenannten Security Information and Event Management, welche Vorzüge bietet es für Ihr Unternehmen und wie funktioniert es genau?

Die Abkürzung SIEM steht für Security Information and Event Management, eine Kombination der beiden Konzepte SIM (Security Information Management) und SEM (Security Event Management). Gemeinsam bilden diese ein softwarebasiertes Konzept, das einen ganzheitlichen Blick auf die IT-Sicherheit ermöglicht. Ein SIEM-System berücksichtigt dabei immer die unternehmensspezifischen Anforderungen, indem es klare, individuelle Definitionen dafür gibt, welche Prozesse und Ereignisse sicherheitsrelevant sind und auf welche Weise und mit welcher Priorität auf diese zu reagieren ist. Aus diesem Grund kann Security Information and Event Management auch als umfassendes Regelwerk für geltende Sicherheitsstandards und Richtlinie für die Aufrechterhaltung der Qualität im IT-Betrieb eines Unternehmens verstanden werden.

Das Ziel von Security Information and Event Management ist es, möglichst schnell und präzise auf Bedrohungen reagieren zu können. IT-Verantwortliche erhalten also ein leistungsstarkes Werkzeug, das es ihnen ermöglicht, nicht erst dann aktiv zu werden, wenn es im Grunde genommen bereits zu spät ist. Zu diesem Zweck versuchen SIEM-Systeme in Echtzeit, Angriffe bzw. Angriffstrends sichtbar zu machen, indem sie gewöhnliche Meldungen, Alarm-Benachrichtigungen und Logfiles an zentraler Stelle sammeln und auswerten. Als Quellen dienen verschiedenste Geräte, Komponenten und Anwendungen des betreffenden Firmennetzes wie die folgenden:

• Firewalls (Soft- und Hardware)
• Switches
• Router
• Server (Fileserver, FTP-Server, VPN-Server, Proxy-Server etc.)
• IDS und IPS

Software-Agenten – autonom arbeitende Computerprogramme, die speziell für die Vermittlung von Daten konzipiert sind – sorgen dabei dafür, dass diese Fülle an Daten gesammelt und an eine zentrale SIEM-Station weitergeleitet wird. Um die Menge der zu übertragenden Daten zu reduzieren, ist in vielen Systemen außerdem eine Vorverarbeitung der Informationen durch die Agenten vorgesehen.

In der zentralen SIEM-Station werden die Informationen einerseits gespeichert und strukturiert, andererseits in Beziehungen zueinander gesetzt und auf dieser Basis bzw. generell analysiert. Typische Grundlagen für die Analyse und Bewertung sind u. a. konkret definierte Regelsätze, KI-Technologien – insbesondere Machine Learning – und Korrelationsmodelle.

Die verschiedenen Auswertungsergebnisse und Kennzahlen können Sie dann visualisiert und übersichtlich in einem Dashboard inspizieren, das Sie in der Regel ganz individuell gestalten und somit optimal auf die Anforderungen Ihres Unternehmens zuschneiden können. Erfasst ein SIEM-System Daten bzw. Ereignisse, die eine umgehende Gefahr für die Computersicherheit darstellen, erhalten Sie sofort eine entsprechende Benachrichtigung – für gewöhnlich per E-Mail.

Gänzlich vermeiden lassen sich sicherheitskritische Vorfälle im modernen IT-Umfeld nicht – eine frühzeitige Aufdeckung und Erfassung von Gefahren erhöht jedoch die Chance, etwaige Schäden so gering wie möglich zu halten. Spielt man seine Stärken aus, liefert ein SIEM-System Ihnen die perfekte Basis hierfür. Insbesondere die Echtzeit-Reaktion auf erfasste Sicherheits-Events zählt dabei zu den entscheidenden Stärken einer solchen Lösung: Die automatisiert arbeitenden Algorithmen und KI-Tools entdecken Gefahren bereits zu einem Zeitpunkt, an dem gewöhnliche Sicherheitsvorkehrungen häufig noch bzw. gar nicht anschlagen.

Ein weiterer Vorteil einer guten SIEM-Lösung ist, dass sämtliche Sicherheitsereignisse automatisch manipulationssicher dokumentiert und archiviert werden. Das erleichtert es Ihnen, im späteren Verlauf nachzuweisen, dass geltende Gesetze zu Datensicherheit und Datenschutz beachtet und eingehalten wurden. Im Rahmen eines individuellen, unternehmensinternen Compliance-Konzepts kann Security Information and Event Management also eine entscheidende Rolle spielen.

Schließlich hilft ein SIEM-System auch dabei, die menschlichen Ressourcen zu optimieren: Durch den hohen Automatisierungsgrad, der mit dieser Echtzeit-Überwachung und -Analyse verknüpft ist, können IT-Mitarbeiter sich vorrangig anderen Aufgaben widmen. Alternativ kann der Personalbedarf deutlich verringert werden.

Eine SIEM-Lösung bereichert das IT-Sicherheitssystem einer jeden Firma, die nicht einfach nur auf aktuelle und künftige Cybergefahren reagieren, sondern sich bereits im Vorfeld wappnen möchte. Insbesondere Unternehmen, die es mit sensiblen Kundendaten zu tun haben oder auf einen reibungslosen IT-Betrieb angewiesen sind, setzen aus diesem Grund häufig auf Security Information and Event Management. Wie sehr sich dieser Einsatz auszahlen kann, verdeutlichen die zwei nachfolgenden Praxisbeispiele.

Praxisbeispiel: Brute-Force-Angriff

Ein Nutzer versucht vergeblich, sich bei verschiedenen Anwendungen im Netzwerk anzumelden. Nach diversen Fehlversuchen schafft er es aber dennoch, sich bei einer Anwendung einzuloggen. Natürlich kann es sich hierbei um einen Mitarbeiter handeln, der tatsächlich seine Anmeldedaten vergessen und diese per Trial-and-Error-Verfahren schließlich doch noch zurückerlangt hat. Wesentlich wahrscheinlicher ist aber, dass ein Angreifer hinter diesem Muster steckt, das in diesem Fall auch als Brute-Force-Attacke bezeichnet wird. Ein SIEM-System erfasst derartige Zugriffsmethoden sehr zuverlässig und gibt Ihnen dadurch die Möglichkeit, weitere Anmeldeversuche rechtzeitig zu unterbinden.

Praxisbeispiel: VPN-Zugriffsversuche

Fernzugriffe per VPN sind für viele Firmennetzwerke keine Seltenheit. Umso wichtiger ist es, dass Angriffe, die sich die Struktur dieser virtuellen privaten Netzwerke zunutze machen wollen, entlarvt werden. Kommt es beispielsweise innerhalb eines kurzen Zeitraums zu einer Vielzahl von Anmeldeversuchen im VPN-Netz von verschiedensten Standorten aus, kann dies von einer Lösung für Security Information and Event Management als verdächtige Aktivität eingestuft werden.