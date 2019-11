Darauf sollten Sie bei einem SIEM-Werkzeug achten

Um IT-Umgebungen umfassend abzusichern, verfügen Unternehmen heute über mindestens eine Firewall an jedem Punkt, an dem das Netzwerk mit dem Internet verbunden ist. Auf Workstations, auch auf Servern, kommen Lösungen zum Erkennen und Beseitigen von Malware und Viren zum Einsatz. Weitere Werkzeuge verwalten die Zugriffsberechtigungen auf interne Ressourcen. All diese Systeme sammeln und produzieren Daten, was einige Herausforderungen darstellt. Der Fachartikel erklärt, warum es sich lohnt in eine SIEM-Lösung zu investieren und was dabei zu beachten ist.

SIEM-Werkzeuge – hier der SolarWinds Log & Event Manager - sollen für mehr Übersicht sorgen.

Die schiere Menge an Daten kann schon zum Problem werden. Auch wenn der Begriff Big Data oft inflationsartig und nicht immer korrekt Verwendung findet, können durch sicherheitsrelevante Informationen einige GByte am Tag zusammenkommen. Nach einem Monat sind Unternehmen dann schon im TByte-Bereich. Das andere Problem ist das Format der Daten: Logquellen senden unter Umständen recht kryptische Daten, die nicht einfach zu verstehen sind. Darüber hinaus ist es nahezu unmöglich, verschiedene Dateien in Relation zu setzen, sofern kein geeignetes Werkzeug vorhanden ist.



Tools sammeln und ordnen Daten

An dieser Stelle kommen Werkzeuge ins Spiel, deren Aufgabe es ist, die Daten zu sammeln und zentral abzulegen. Die einfachste Variante ist ein Syslog-Server, der unter Umständen auch Unterstützung für Windows-Eventlogs bietet. Damit ist es möglich, sämtliche Logs zu archivieren und im Bedarfsfall nach ihnen zu suchen. Syslog-Server sind üblicherweise relativ günstig, schnell eingerichtet und einfach zu verstehen. Leider bieten sie jedoch keine speziellen Features, um die Bearbeitung von sicherheitsrelevanten Daten zu vereinfachen.



Es empfiehlt sich daher, in ein Tool zum Security Information and Event Management, kurz SIEM, zu investieren. Diese Werkzeuge sind genau zu dem Zweck entwickelt worden, Logs von verschiedenen Quellen zu visualisieren und zu korrelieren. SIEMs nutzen verschiedene Technologien, um Logs zu verstehen und zu normalisieren, vergleichbar mit Babelfisch. Diese Komponenten zerlegen nicht nur die Formatierung eines Syslog – um bei dem Beispiel zu bleiben – sondern erkennen zudem den Inhalt des Message-Feldes. Damit sind wir direkt beim ersten Kriterium zur Auswahl der korrekten Software: Es ist natürlich vorab sicherzustellen, dass die im Unternehmen bereits eingesetzten Geräte beziehungsweise Anwendungen unterstützt werden.



Bedienungsfreundlichkeit gleicht Zeit- und Kompetenzmangel aus

IT-Sicherheit ist kein einfaches Thema. Bei größeren Unternehmen gibt es dedizierte Security-Advisors oder Administratoren. Das ist sehr praktisch, aber für ein KMU leider nicht zu realisieren. Hier übernimmt häufig jemand die Sicherheitsaufgaben, der aus einem ganz anderen Fachbereich kommt, für das Thema also nicht unbedingt die nötigen Kompetenzen hat, und kaum Zeit mitbringt.



Häufig wird diese Aufgabe dem Netzwerkadministrator aufgebürdet. Sicher hat dieser Kenntnis von Security-Themen. Ein Experte ist er aber vermutlich nicht. Auch hat er in der Regel andere Prioritäten – nämlich das Netzwerk und somit das Unternehmen am Laufen zu halten. In KMUs ist es nicht möglich, wochenlang mit der Konfiguration eines SIEMs zu verbringen oder darüber hinaus Zeit für permanente Wartungsarbeiten zu verschwenden. Bedienungsfreundlichkeit ist daher ein weiteres Merkmal bei der Auswahl einer SIEM-Lösung.



In der Evaluierungsphase eines SIEMs werden in der Regel nur ein paar Geräte eingepflegt, was allerdings ausreicht, um den Gesamtaufwand einzuschätzen. Nachdem das SIEM installiert ist, empfiehlt es sich, zumindest eine Firewall und einen Domaincontroller einzubinden, um ein Gefühl für die Bedienbarkeit zu bekommen. Wenn der IT-Verantwortliche erst ein Studium beginnen muss, um die Bildschirmanzeige zu verstehen, ist es vielleicht nicht das richtige Werkzeug. Im Ernstfall kann sich kein Unternehmen leisten, Antwortzeit durch komplexe Bedienung zu verschwenden.