computerwoche.de

Archiv

Mit Checkliste fürs IT-Management

Compliant aus reinem Selbstschutz

06.04.2009
Von 
Dipl. Inform. Johann Baumeister blickt auf über 25 Jahre Erfahrung im Bereich Softwareentwicklung sowie Rollout und Management von Softwaresystemen zurück und ist als Autor für zahlreiche IT-Publikationen tätig. Sie erreichen ihn unter jb@JB4IT.de
Alle Posts des Autors Email:

Die besondere Herausforderung im Umgang mit den Log-Daten liegt aber in der Korrelation der Daten. Erst durch die Verknüpfung unterschiedlicher Informationsmerkmale offenbaren manche Ereignisse ihre Brisanz. So mag beispielsweise der Kauf oder Verkauf von Aktien des eigenen Unternehmens im Prinzip keine Besonderheit darstellen. Fällt er aber mit dem Bekanntwerden von Umsatzänderungen oder wichtigen Kooperationen zusammen, so liegt der Verdacht des Insiderhandles nahe.

Durch Korrelation der Daten zu besseren Aussagen

Etwas konkreter auf die IT bezogen könnte beispielweise die Anmeldung eines Benutzers, zusammen mit den Änderungen von Dateien oder der Versand von Emails mit kritischen Anhängen außerhalb der Geschäftszeiten auf Datendiebstahl verweisen. Diese Protokollierung der Ereignisse und deren Korrelation ist die Aufgabe des Compliance Log Warehouse (CLW) von HP. Dabei handelt es sich um eine Appliance, die ohne aufwändige Konfiguration sehr schnell in Betrieb zu nehmen ist. Einem Data Warehouse gleich sammelt es laufend alle wichtigen Ereignisse ein und stellt diese in Bezug zueinander.

Trigger und Schwellwerte zur Compliance-Überwachung

Werden Schwellwerte über- oder unterschritten, so generiert das CLW selbständig Alarme oder stößt weitere Aktionen an. Da einfache Schwellwertabweichungen oftmals aber irreführend sind, ermöglicht das Monitoring-Tool auch eine wahlfreie Kombination der überwachten Paramater. So lassen sich beispielsweise die Statusmeldungen einer Firewall mit denen eines Intrusion Detection System zu besseren Aussagen kombinieren. Um einen umfassenden Überblick zu allen sicherheitsrelevanten Geschehnissen zu gewinnen, ist es notwendig, auch vollständig darüber informiert zu sein.

Daher ist das CLW mit über 180 Adaptoren für alle gängigen Softwaresysteme ausgestattet. Die unterstützte Palette reicht von diversen Betriebssystemen, über Applikationssysteme, Datenbanken bis hin zu den Netzwerkkomponenten wie Firewalls oder IDS. Wenn notwendig, so kann das Unternehmen auch eigene Adaptoren erstellen.

Echtzeitverarbeitung für Ad hoc-Abwehr

Eingeschlossen ist ferner eine Echtzeitverarbeitung (Real Time Event Correlation) der Ereignisse mit anschließender Alarmierung. Damit lassen sich bei Angriffen oder sonstigen Gefahren unmittelbar Abwehrreaktionen einleiten. Alle Aktionen und Schwellwerte sind durch den Anwender zu bestimmen und können auch nach eigenen Anforderungen justiert werden.