SIEM als Management-Tool
Der SIEM-Ansatz greift bei strategischen Anforderungen für IT-Security und Compliance. So steht das SIM - Security Information Management - für klassisches Log Management, um IT-Forensik zu ermöglichen. Die Voraussetzung dafür ist eine hundertprozentige Log-Daten-Speicherung unterschiedlichster Plattformen, Applikationen und Protokoll-Ebenen. Anhand dessen sind beispielsweise nahezu in Echtzeit Anomalien im Log-Aufkommen sowie Bruteforce- und DDoS-Angriffe zu erkennen. Über SEM-Korrelationen aus der Log-Sammlung gelingt die Kontrolle von Benutzerkonten anhand definierter IT-Sicherheitsrichtlinien. So folgt etwa bei einer doppelten Anmeldung von Benutzern oder deren Anmeldung von weit voneinander entfernten Standorten aus direkt eine Alarm-Meldung.
Foto: LogLogic
Entscheidend ist, dass die Alarme auch unmittelbar einen Prozess auslösen: Wer ist für sofortiges Handeln verantwortlich und welche Maßnahmen sind zu ergreifen? Kritisch werden organisatorische Fragen insbesondere bei Vorfällen wie Port Scans: Sind dafür auch am Wochenende die verantwortlichen IT-Mitarbeiter definiert? Was ist zu tun, wenn der Mitarbeiter auf dem Server keine Ursache findet? Wird der Server pauschal neu installiert oder vom Netz genommen? Schließlich könnte es ein Trojaner sein, der von der Anti-Viren-Software noch nicht erkannt wird. Welche Prozesse sind einzuhalten, wenn unternehmenskritische Systeme wie Active Directory oder der Exchange Server angegriffen werden? Ist überhaupt definiert, was zu den Kernsystemen eines Unternehmens zählt?
Diese Fragestellungen zeigen zwei Aspekte auf: Selbst die ausgefeiltesten Echtzeit-Systeme führen nur dann zu höherer Sicherheit und Leistung im IT-Betrieb, wenn die Unternehmensorganisation in ihrer Handlungsfähigkeit diszipliniert darauf abgestimmt ist. Das gilt sowohl hinsichtlich der Arbeitsabläufe als auch der Verantwortlichkeiten. Zum zweiten ist wesentlich, das Leistungsspektrum der einzelnen Sicherheitslösungen im Detail zu kennen und abzugleichen. Nur dann greifen sie ineinander und sorgen tatsächlich für eine lückenlose Überwachung der Ereignisse im IT-Netz.
Fazit
Modernes Log Management unterstützt Unternehmen nicht nur bei der Einhaltung von Compliance-Vorgaben und der Absicherung der Netze. Es kann auch dabei helfen, die IT besser zu steuern, vorausschauend zu kontrollieren und ein kontinuierliches Qualitätsmanagement zu etablieren. Die wichtigsten Kriterien dafür: Sämtliche Log-Daten müssen revisionssicher erfasst werden, die Auswertung der Logs muss die Richtlinien des Datenschutzes berücksichtigen, die Lösung muss unbegrenzt erweiterbar sein, die Verarbeitung von mehreren Terabytes an Logs darf zu keiner Überlastung führen und sie muss auch Cloud-Umgebungen abdecken.
System-Event-Monitoring-Systeme hingegen funktionieren über die Definition gezielter Anwendungsfälle. Projektverantwortliche müssen zudem klären, welche Alarme in welcher Konstellation erfolgen sollen. (sh)
- Platz 6: Logfiles manipulieren
15 Prozent der befragten IT-Verantwortlichen haben schon einmal die Spuren ihrer verbotenen Aktionen beseitigt. - Platz 5: E-Mails von Kollegen lesen
Was hat der Mitarbeiter XY denn so im Posteingang? Das Briefgeheimnis gilt zwar auch für E-Mail, dennoch konnten 16 Prozent der über 200 Interviewten der Versuchung, in fremden Mailkonten zu stöbern, nicht widerstehen. - Platz 4: Vertrauliche Dokumente lesen
Gehaltslisten, Personalunterlagen oder kritische Geschäftsunterlagen - 25 Prozent der Befragten hatten ihre Augen schonmal in Akten, die nicht für sie bestimmt waren. - Platz 3: Interne Infos "absaugen"
Dass vertrauliche und allgemein firmeninterne Dokumente und Informationen in der Firma bleiben, ist Usus. Dennoch missachteten 29 Prozent der befragten IT-Mitarbeiter diese Regelung (die meist sogar mit dem Arbeitsvertrag oder zumindest per Betriebsvereinbarung/Policy geregelt ist) mindestens einmal in ihrem beruflichen Alltag. - Platz 2: Sich selbst zuviele Rechte zuweisen
Firewall-Einstellungen abändern oder sich selbst Zugriffsrechte einräumen, die einem nicht zustehen: 48 Prozent der befragten europäischen IT-Mitarbeiter nutzten ihren Status aus, um mehr zu können, als sie eigentlich gedurft hätten. - Platz 1: Content illegal herunterladen
Musik, Filme, Software: Was auch privat selten gestattet ist, wird über die Unternehmensleitung nicht legaler. 54 Prozent der Befragten gaben an, den Internetzugang der Firma schonmal für den unerlaubten Download von Inhalten aus dem Web missbraucht zu haben.