Was ist ein SIEM und wieso ist es wichtig?

Das Thema IT-Sicherheit spielt eine immer wichtigere Rolle. Jedes Unternehmen benötigt heutzutage eine Sicherheitsstrategie. Darin müssen alle potenziellen Gefahren berücksichtigt und abgesichert sein. Wichtig ist zudem ein permanenter Schutz, also auch ausserhalb der Betriebszeiten. Eine wichtige Komponente bei der Umsetzung dieser Anforderungen ist das SIEM.
Was bedeutet der Begriff SIEM?

Die Abkürzung steht für «Security Information and Event Management». Dies ist eine Kombination der beiden Konzepte Security Information Management (SIM) und Security Event Management (SEM).
Die Kernaufgabe ist es, IT-Systeme in Echtzeit zu überwachen und verdächtige Aktivitäten per Alarm zu melden. Dies gelingt mit der Kontrolle aller Vorgänge im Netzwerk. In diesem Punkt ähnelt das Security Information and Event Management dem Konzept der Endpoint Detection and Response.
Mit welchen Methoden arbeitet SIEM in der Praxis?

Für die Umsetzung dieses Sicherheitskonzepts stehen Ihnen spezielle Software-Lösungen zur Verfügung. Ebenfalls gibt es IT-Dienstleister, die Security Information and Event Management as a Service wie eine Cloud-Dienstleistung anbieten.
Software für das Security Information and Event Management greift auf zentrale Punkte in Netzwerken zu und kontrolliert dort die Aktivitäten. Dies geschieht in Echtzeit. Unter anderem werden folgende Systeme in Netzwerken kontrolliert:
- Logs von Datenbanken, Betriebssystemen und Anwendungen
- Protokolle von Switches, Routern und anderen Netzwerkkomponenten
- Ereignisdaten von Firewalls, Workstations, Antiviren-Software und ähnlichen Plattformen
Moderne SIEM-Lösungen setzen dabei auf künstliche Intelligenz. Dies hilft bei der Bewertung und Identifizierung von aussergewöhnlichen Vorgängen. Durch die künstliche Intelligenz lernt die Software recht schnell, welche Aktivitäten in Ihrem Netzwerk normal sind. Dadurch gelingt die Identifizierung von ungewöhnlichen Vorgängen, die nicht in das reguläre Verhaltensmuster passen, noch präziser.
Welche Arten von Aktivitäten erkennt SIEM?
Im Fokus stehen beim Security Information and Event Management einzelne Ereignisse im Netzwerk. Dies sind alle Vorgänge, die auf irgendeine Art und Weise protokolliert werden. Dann erfolgen eine Prüfung dieser Aktivitäten und eine Bewertung, ob es sich um einen legitimen Zugriff handelt.
Aus diesem Grund ist das Security Information and Event Management in die Arbeit eines Security Operations Center eingebunden. Grosse Unternehmen betreiben solche SOCs mit eigenem Personal. Kleine Unternehmen können dies hingegen nicht leisten. Ein SOC muss rund um die Uhr besetzt sein und fokussiert sich komplett auf die Analyse von Netzwerkaktivitäten.
Ein Beispiel für unbefugte Aktivitäten sind Logins in einer Anwendung. Sie werden in Protokollen – den sogenannten Logfiles – festgehalten. Zu den Daten solcher Logs gehören der Zeitpunkt des Zugriffs, die IP-Adresse und das Konto. Kommt der Zugriff von einer unbekannten IP-Adresse, die noch nie im Netzwerk aktiv war? Dann kann dies als verdächtige Aktivität einen Alarm auslösen.
Andere Sicherheitssysteme würden hier nicht anschlagen, solange der Angreifer das korrekte Passwort eingibt. Dieses haben Hacker vielleicht per Phishing erbeutet. Auch führt der Angreifer möglicherweise keine offensichtlich gefährlichen Aktionen durch. Eventuell kopiert er nur Dateien – eine Aktion, die alltäglich ist. Das Security Information and Event Management erkennt jedoch, dass diese Aktivität nicht zum normalen Verhalten passt, und alarmiert Sie.
Warum verbessert SIEM die Sicherheit im Netzwerk?

Das Security Information and Event Management schliesst eine Lücke in der IT-Sicherheit, die viele andere Lösungen nicht abdecken. Dies sind vor allem gezielte Aktivitäten von Hackern. Sie finden im Rahmen von sogenannten Advanced Persistent Threats, also fortgeschrittenen, andauernden Bedrohungen, statt.
Von dieser Form der Angriffe geht für Sie eine besonders hohe Gefahr aus. Cyberkriminelle wählen hier gezielt Unternehmen und Netzwerke aus. Angriffe werden oft über Wochen oder sogar Monate vorbereitet. Die Hacker kompromittieren Konten und weiten Schritt für Schritt die Zugriffsrechte im Netzwerk aus.
Klassische Sicherheitslösungen entdecken diese Form der Angriffe nicht, denn die Hacker setzen keine bekannte Schadsoftware ein. Die Angreifer legen zudem Wert darauf, möglichst unentdeckt zu bleiben. Erst wenn sie die gewünschten Ziele identifiziert haben, schlagen die Hacker zu. Am Ende vom Advanced Persistent Threat steht beispielsweise der massive Datendiebstahl oder der Angriff per Verschlüsselungstrojaner im Rahmen einer Ransomware-Attacke.
Wie setze ich als KMU in der Praxis SIEM um?

Als kleines und mittleres Unternehmen bietet es sich an, auf ein Managed SIEM zurückzugreifen. Dies ist eine Cloud-Dienstleistung, die über das Internet alle Systeme in Ihrem Netzwerk kontrolliert.
Im Falle einer verdächtigen Aktivität erhalten Sie sofort eine Alarmierung. Dann ist eine Reaktion durch Ihre IT-Sicherheit möglich. Die eigentliche Analyse der Netzwerkaktivitäten läuft vollkommen automatisch ab und wird vom Dienstleister kontrolliert. Auf diese Weise bietet Ihnen ein Managed SIEM ein hohes Sicherheitsniveau bei minimalem Aufwand. Diese Vorteile bietet ein Managed SIEM:
- Schutz rund um die Uhr
- keine Installation auf den lokalen Systemen erforderlich
- transparente Kosten
- Zugang zu modernen SIEM-Lösungen
- kein Aufwand mit der Administration
Gerade für KMU sind diese Lösungen sinnvoll. Die Umsetzung mit eigenen Ressourcen ist oftmals nicht möglich oder zu kostspielig. Wir von Authentix bieten Ihnen hingegen moderne SIEM-Systeme mit transparenten Kostenmodellen und permanentem Schutz.
Haben Sie noch weitere Fragen zum Thema SIEM oder suchen Sie nach einer Lösung für Ihr Unternehmen? Über die Kontaktaufnahme zu uns erhalten Sie mehr Informationen und auch konkrete Angebote.
Bereit, loszulegen?
Buchen Sie eine Beratung oder nehmen Sie Kontakt mit uns auf, um Ihre Fragen zu beantworten.