Die Herausforderung beginnt bereits damit, dass viele Unternehmen zunächst nur eine grobe Vorstellung ihrer Anforderungen haben. Sie suchen nach einfachen Lösungen, die ihren komplexen Sicherheits- und Compliance-Anforderungen genügen. Der Idealfall? Automatisierte, schnelle und über alle heterogenen Systeme hinweg arbeitende Programme, die Fehler, Probleme und bösartige Angriffe sichtbar machen.
Unternehmen evaluieren dafür Lösungsansätze aus dem Bereichen LM (Log Management) respektive SIM (Security Information Management), SEM (Security Event Management) und SIEM (Security Information and Event Management). Pikant: Alle Anbieter interpretieren die Begrifflichkeiten unterschiedlich; der Produktvergleich findet also unter erschwerten Bedingungen statt. Unternehmen müssen die Lösungen noch genauer auf die individuellen Bedürfnisse hin abstimmen:
1. Welche Lösungen werden bereits eingesetzt?
2. Welche Schwächen haben diese Lösungen?
3. Welche dieser Schwächen sollte eine neue Lösung beheben?
- Security-Sünde Nr.1
Portable Geräte werden allzu häufig vernachlässig. Leider kommen Lösungen zur Kontrolle dieser Endgeräte, wie die hier gezeigte Möglichkeit, Berechtigungen einzuschränken, immer noch viel zu selten zum Einsatz. (Quelle: DeviceLock). - Auch das fällt noch unter den großen Sicherheitsirrtum, dass sich alle Daten einfach im Rechenzentrum isolieren lassen
Die wenigsten Anwender verwenden auf ihren Smart-Phones eine Sicherheitslösung, die Daten auf diesem Gerät schützen könnte. (Quelle: Bär/Schlede) - Das eindrucksvollste Beispiel für nicht kontrollierte Wechselmedien/USB-Sticks
Die Verbreitung des Stuxnet-Wurms im Jahr 2010, hier in der geografischen Verteilung, wie sich das Malware Protection Center von Microsoft aufzeichnete. (Quelle: Microsoft Threat Research & Respond Blog). - Ein großer Irrtum bei den Sicherheitsmaßnahmen – die zweite große Security-Sünde
Mitarbeiter kennen das Risiko und verhalten sich entsprechend: Eine repräsentative Emnid-Studio im Auftrag von Symnatec zeigt, dass beispielsweise viele Mitarbeiter auch im Urlaub auf ihre Firmen-Mail via Mobil-Phone zugreifen, mit allen damit verbundenen Risiken (Quelle: Emnid/Symantec). - Die sozialen Netzwerke und die Sicherheit
Security-Sünde Nr. 3 in der täglichen Praxis. Kaum ein Anwender und nur wenige Administratoren befassen sich ernsthaft mit den Sicherheitsproblemen der Social Networks oder setzen wie hier, entsprechende Schutzlösungen ein (Quelle: Bär/Schlede). - Die Security-Sünden und die sozialen Medien
Kontrollieren wirklich alle Mitarbeiter, welchen Anwendungen sie Zugriff zu ihren dienstlich genutzten Twitter-Accounts gewähren oder kann ein Administrator darauf überhaupt einen Einfluss haben? (Quelle: Bär/Schlede) - Neue Medien und neue Netze bedeuten neue Herausforderungen
Durch die Einführung von Google+ stellt sich für viele Administratoren in Hinblick auf die Sicherheit die Frage, wie sollen sie damit umgehen – ein Sperren der Domäne „google.de“ oder „google.com“ dürfte eher kontraproduktiv sein. (Quelle Bär/Schlede). - Hier kann nur Schulung der Anwender (Security-Sünde Nr. 3) helfen, eine Gefährdung zu erkennen und zu vermeiden
Eine verkürzte URL führt den Nutzer auf eine Malware-Seite, obwohl er meint, sich auf einer Seite seiner Bank zu befinden. (Quelle: Symantec Intelligence Report July 2011). - Eine der verbreiterten Formen des „Social Engineering“ ist bereits in den Betreff-Zeilen von Spam-Nachrichten zu finden
Die Nutzer werden direkt und persönlich angesprochen. Auch hier kann Aufklärung und Schulung helfen, die Anwender von Schaden zu bewahren. (Quelle: Symantec Intelligence Report July 2011) - Warum Antivirus-Software und Firewall definitiv nicht genügen können
Diese Grafik zeigt sehr anschaulich, wie der Anteil an Web-basierter Schadsoftware beziehungsweise Malware stetig steigt – auch hier können viele Probleme durch aufmerksame und geschulte Anwender minimiert werden. (Quelle: Symantec Intelligence Report July 2011) - Welche Anwendung darf im Firmennetz welche Verbindung aufbauen und vor allen Dingen auch Daten übertragen?
Eine Lösung wie die gezeigte Software von DeviceLock stellt den Systemverwaltern dafür fein granulierte Kontrollmöglichkeiten zur Verfügung (Quelle: DeviceLock). - Security-Sünde Nr.5
Vielfach übersehen Unternehmen und die verantwortlichen IT-Fachleute, dass Sicherheit nur im ganzheitlichen Ansatz wirklich funktionieren kann: Dazu gehört neben so „normalen Dingen“ wie Patch- und Update-Management doch auch die Überwachung der Drucker – in den heutigen vernetzten Zeiten wichtiger denn je… (Quelle: Devicelock).
Klärung der Begriffe
Log Management entspricht dem Begriff SIM (Security Information Management) und steht für die zentrale Sammlung, Übertragung, Speicherung, Analyse und Weiterleitung von Log-Daten aus Netzwerk-Komponenten, Betriebssystemen und Applikationen. Typische Funktionen sind Richtlinien-orientierte Analysen auch zu Trends, periodische Berichte und Basisfunktionen für Alarm-Meldungen. Damit ist es die Grundlage für die IT-Forensik und das Service Level Management. Je nach Anbieter bietet Log Management die revisionssichere Log-Daten-Speicherung und berücksichtigt bei der Datendarstellung die Richtlinien des Datenschutzes.
SEM (Security Event Management) übernimmt die Korrelation von Logs anhand definierter Richtlinien, gleicht sie automatisiert mit Standards wie ITIL, COBIT, SOX oder ISO ab und verfügt über leistungsfähige Echtzeit-Alarmfunktionen. SEM deckt sich teilweise mit IDS/IPS (Intrusion Detection und Intrusion Prevention System). Netzwerk-basierend überwachen diese die Auslastung und Kommunikation im Netz sowie Ports und erkennen Muster respektive Abweichungen im Netzwerkverkehr. Als Host-basierende Lösungen kontrollieren sich Manipulationen von Dateien und überwachen beispielsweise Gruppenrichtlinien und Benutzerkonten.
SIEM (Security Information and Event Management) vereint die Funktionen von SIM und SEM als Management-Lösung. Es basiert auf unternehmensspezifischen Anforderungen - also auf klaren und umfassenden Definitionen, welche Ereignisse sicherheitsrelevant sind und wie und mit welcher Priorität darauf zu reagieren ist. Es zielt darauf ab, anhand eines Regelwerks kontinuierlich die Standards für Sicherheit, Compliance und Qualität des IT-Betriebs zu verbessern.