IT-Sicherheit im Unternehmen

Big Data soll es richten

28.02.2013
Uli Ries ist freier Journalist in München.
Die RSA Conference 2013 rückte das Hype-Thema Big Data in den Mittelpunkt. Es ging dabei aber nicht um den Schutz großer Datenmengen. Vielmehr sollen sich die riesigen Log-Datenbestände mit Big-Data-Analysemethoden schneller und besser auswerten lassen. Kunden wie SAP bestätigen, dass die Anbieter auf dem richtigen Weg sind.

Für RSA-Chairman Art Coviello ist die Sache klar: "Das kontinuierliche Auswerten von Big Data ermöglicht automatische Sicherheitsinstrumente, die bisher nicht gekannten Schutz bieten", sagte er während seiner Eröffnungsrede der RSA Conference 2013. Vor allem gegen die oftmals als Advanced Persistent Threats bezeichneten Angriffe soll das Auswerten großer Datenmengen helfen. Denn die bei diesen Angriffen verwendeten Schädlinge lassen sich nicht von Antivirensoftware, Firewalls oder Intrusion Prevention/Detection-Systemen stoppen.

Security Analytics

RSA-Chairman Art Coviello erkennt in Big- Data-Analysewerkzeugen einen neuen Ansatz für die IT-Security.
RSA-Chairman Art Coviello erkennt in Big- Data-Analysewerkzeugen einen neuen Ansatz für die IT-Security.
Foto: Uli Ries

Lösungen wie das von RSA im Rahmen der Konferenz vorgestellte Produkt Security Analytics Unified Platform sollen auch solche Attacken sichtbar machen. Die Plattform ist letztendlich eine Mischung aus den vorhandenen Lösungen Produkten Envision (SIEM-Software, Log-Management) und Netwitness (Netzwerkmonitoring). Die zur Plattform gehörenden Netzwerk-Appliances erfassen strukturierte und unstrukturierte Daten im Netzwerk und legen sie zur Analyse in einem eigenen Data Warehouse ab.

Die Analyse ist es, die den Unterschied machen soll. Durch optimierte, aus dem Big-Data-Umfeld bekannte Techniken wie Hadoop sollen sich aus der Datenflut neue Erkenntnisse gewinnen lassen, die zuvor im Strom untergingen.

Ins gleiche Horn stößt auch Symantec. Im Rahmen seiner Keynote beschrieb Symantec-Manager Francis deSouza die "Big Intelligence" getaufte Idee. Big Intelligence kombiniert noch mehr Datenquellen, um IT-Sicherheitsexperten in Unternehmen ein besseres Bild der aktuellen Bedrohungslage zu vermitteln. Diese Kombination aus internen Daten, wie sie beispielsweise von RSAs Plattform ermittelt wird, und externen Bedrohungsinformationen ist in diesem Umfang ein weiteres Novum. Mit den bisher verwendeten Techniken hätten die hereinströmenden Daten nicht sinnvoll ausgewertet werden können. Symantec alleine analysiert täglich zwischen 1,5 und 3 Milliarden Sicherheitsvorfälle weltweit und nimmt alle sechs Stunden 100 Millionen URLs unter die Lupe.

Coviello zufolge sollten sich vollautomatische Systeme in der IT-Sicherheit durchsetzen. Diese Lösungen holen selbstständig anhand vorgegebener Regeln die sicherheitsrelevanten Informationen aus dem Data Warehouse und sie leiten automatisch passende Abwehrmaßnahmen ein.

SAP bestätigt Erfolge

Dass der Einsatz von Big Data im Umfeld der IT-Sicherheit schon heute Erfolge bringen kann, weiß Ralph Salomon, CISO bei SAP und Anwender von RSAs Envision-Lösung. Im Gespräch mit der COMPUTERWOCHE berichtete Salomon, dass sein Team bereits kurz nach dem Aktivieren von Envision auf weit über 1000 Sicherheitsvorfälle pro Woche - darunter Angriffe von innen und außen, Anwenderfehler oder falsch konfigurierte Infrastrukturkomponenten -im eigenen Netz aufmerksam wurde, die zuvor unbemerkt blieben.

Die Software spielt dabei eine wichtige Rolle - ohne entsprechend geschulte Mitarbeiter ist sie aber sinnlos: "Zwar weist uns die RSA-Lösung selbständig auf mögliche Sicherheitsprobleme hin. Ohne das analytische Verständnis meiner Kollegen, die mit der Software arbeiten, sind die Informationen aber quasi wertlos", sagt Salomon. Entsprechend erfahrene Mitarbeiter zu finden sei nicht leicht, so der CISO weiter. SAP lässt sich deshalb von RSA-Experten unterstützen.

Vom Wechsel auf die neue Security Analytics Unified Platform verspricht sich Salomon einiges: "In ersten internen Tests haben wir im Vergleich zur Envision-Lösung erheblich bessere Antwortzeiten beobachtet. Dieses Mehr an Leistung gibt uns die Möglichkeit, verstärkt externe Datenquellen mit in die Analyse einzubeziehen."

Roger Scheer von RSA erklärt, dass die neue Analyse-Plattform nicht nur für Großunternehmen geeignet sei. Die preiswerten Einstiegsvarianten seien demnach auch für kleine und mittlere Unternehmen interessant. Kunden müssen übrigens nicht zwingend auf RSA-Consulting zurückgreifen. Laut Scheer sei der Umgang mit der RSA-Lösung auch für interne IT-Sicherheitsexperten einfach zu erlernen. (sh)