Was ist ein SIEM und wieso ist es wichtig?

Im Fokus stehen beim Security Information and Event Management einzelne Ereignisse im Netzwerk. Dies sind alle Vorgänge, die auf irgendeine Art und Weise protokolliert werden. Dann erfolgen eine Prüfung dieser Aktivitäten und eine Bewertung, ob es sich um einen legitimen Zugriff handelt.

Aus diesem Grund ist das Security Information and Event Management in die Arbeit eines Security Operations Center eingebunden. Grosse Unternehmen betreiben solche SOCs mit eigenem Personal. Kleine Unternehmen können dies hingegen nicht leisten. Ein SOC muss rund um die Uhr besetzt sein und fokussiert sich komplett auf die Analyse von Netzwerkaktivitäten.

Ein Beispiel für unbefugte Aktivitäten sind Logins in einer Anwendung. Sie werden in Protokollen – den sogenannten Logfiles – festgehalten. Zu den Daten solcher Logs gehören der Zeitpunkt des Zugriffs, die IP-Adresse und das Konto. Kommt der Zugriff von einer unbekannten IP-Adresse, die noch nie im Netzwerk aktiv war? Dann kann dies als verdächtige Aktivität einen Alarm auslösen.

Andere Sicherheitssysteme würden hier nicht anschlagen, solange der Angreifer das korrekte Passwort eingibt. Dieses haben Hacker vielleicht per Phishing erbeutet. Auch führt der Angreifer möglicherweise keine offensichtlich gefährlichen Aktionen durch. Eventuell kopiert er nur Dateien – eine Aktion, die alltäglich ist. Das Security Information and Event Management erkennt jedoch, dass diese Aktivität nicht zum normalen Verhalten passt, und alarmiert Sie.

Warum verbessert SIEM die Sicherheit im Netzwerk?

Das Security Information and Event Management schliesst eine Lücke in der IT-Sicherheit, die viele andere Lösungen nicht abdecken. Dies sind vor allem gezielte Aktivitäten von Hackern. Sie finden im Rahmen von sogenannten Advanced Persistent Threats, also fortgeschrittenen, andauernden Bedrohungen, statt. 

Von dieser Form der Angriffe geht für Sie eine besonders hohe Gefahr aus. Cyberkriminelle wählen hier gezielt Unternehmen und Netzwerke aus. Angriffe werden oft über Wochen oder sogar Monate vorbereitet. Die Hacker kompromittieren Konten und weiten Schritt für Schritt die Zugriffsrechte im Netzwerk aus.

Klassische Sicherheitslösungen entdecken diese Form der Angriffe nicht, denn die Hacker setzen keine bekannte Schadsoftware ein. Die Angreifer legen zudem Wert darauf, möglichst unentdeckt zu bleiben. Erst wenn sie die gewünschten Ziele identifiziert haben, schlagen die Hacker zu. Am Ende vom Advanced Persistent Threat steht beispielsweise der massive Datendiebstahl oder der Angriff per Verschlüsselungstrojaner im Rahmen einer Ransomware-Attacke.

Wie setze ich als KMU in der Praxis SIEM um?

Als kleines und mittleres Unternehmen bietet es sich an, auf ein Managed SIEM zurückzugreifen. Dies ist eine Cloud-Dienstleistung, die über das Internet alle Systeme in Ihrem Netzwerk kontrolliert.

Im Falle einer verdächtigen Aktivität erhalten Sie sofort eine Alarmierung. Dann ist eine Reaktion durch Ihre IT-Sicherheit möglich. Die eigentliche Analyse der Netzwerkaktivitäten läuft vollkommen automatisch ab und wird vom Dienstleister kontrolliert. Auf diese Weise bietet Ihnen ein Managed SIEM ein hohes Sicherheitsniveau bei minimalem Aufwand. Diese Vorteile bietet ein Managed SIEM:

• Schutz rund um die Uhr
• keine Installation auf den lokalen Systemen erforderlich
• transparente Kosten
• Zugang zu modernen SIEM-Lösungen
• kein Aufwand mit der Administration

Gerade für KMU sind diese Lösungen sinnvoll. Die Umsetzung mit eigenen Ressourcen ist oftmals nicht möglich oder zu kostspielig. Wir von Authentix bieten Ihnen hingegen moderne SIEM-Systeme mit transparenten Kostenmodellen und permanentem Schutz.

Haben Sie noch weitere Fragen zum Thema SIEM oder suchen Sie nach einer Lösung für Ihr Unternehmen? Über die Kontaktaufnahme zu uns erhalten Sie mehr Informationen und auch konkrete Angebote.