Compliance-Vorgaben in Unternehmen mit SIEM umsetzen

Die Compliance-Anforderungen an Unternehmen steigen, die Bedrohungen von innen und außen nehmen zu. Mit SIEM überwachen Sie die IT-Infrastruktur.

Organisationen müssen Bedrohungen identifizieren, verstehen und die Compliance sicherstellen. Gleichzeitig muss gewährleistet sein, dass Vorfälle schnell identifiziert und bearbeitet werden können. Die Entscheidung für die Initiierung eines SIEM-Projektes entspringt oftmals dieser strategischen Notwendigkeit. In Bezug auf ein SIEM-Tool gibt bestimmt Dinge zu beachten.

Kaum jemand weiß, was ich hinter Security Information und Event Management oder kurz SIEM verbirgt. Im Grunde ist SIEM eine Art IT-Version der Videoüberwachung, also ein Überwachungssystem für sämtliche Daten innerhalb einer IT-Umgebung. Mit SIEM erhalten Unternehmen einen guten Überblick über große, komplexe Infrastrukturen und die Möglichkeit zu überprüfen und zu verstehen, was vor sich geht.

Sebastian Mayer, Country Manager DACH bei LogPoint.Sebastian Mayer, Country Manager DACH bei LogPoint.

Eine moderne SIEM-Lösung kann Millionen von Log-Daten pro Sekunde und von jedem Gerät innerhalb einer Infrastruktur aus überwachen. Sie kann Log-Muster erkennen, während sie entstehen. SIEM:

  • informiert regelmäßig über allgemeine Aktivitäten und Ereignisse
  • identifiziert Engpässe und überwacht die Funktionen der Infrastruktur,
  • spielt Ereignisse im Nachhinein erneut ab, um zu identifizieren, was und wer involviert war – ein mögliches Beweismittel bei einer Strafverfolgung,
  • zeigt wie Störungen oder Fehler künftig vermieden werden können und
  • weist Administratoren auf Sicherheitsbedrohungen sowie Systemausfälle hin und das sogar, noch bevor sie auftreten.

Monitoring gegen Bedrohungen

Selbst in widrigen ökonomischen Situationen müssen kritische Anforderungen zuverlässig erbracht werden, beispielsweise:

  • Einhaltung von gesetzlichen Vorschriften
  • Schutz von Unternehmenswerten vor zunehmender Cyberkriminalität
  • Sicherheitskontrollmaßnahmen für bestehende und neue Technologien und Lösungen
  • Absicherung aller kundenrelevanten Informationen

Es wird immer schwieriger, die richtigen Entscheidungen zu treffen. Unternehmen müssen daher die notwendigen Lösungen strategisch auswählen.

SIEM ermöglicht es, rund um die Uhr Informationen der gesamten bestehenden IT-Infrastruktur zu sammeln, zu überwachen und zu analysieren. Durch die gesammelten Informationen erzielen Unternehmen wichtige Vorteile und Kosteneinsparungen. Am allerwichtigsten ist, dass durch den Einsatz einer SIEM-Lösung auf allen Ebenen eine absolute Transparenz geschaffen wird. Dadurch wird der gesamte IT-Bereich optimiert, die Systemverfügbarkeit erhöht, aber gleichzeitig die IT-Betriebskosten deutlich gesenkt.

Sollte dennoch im IT-Bereich eine Störung auftreten, ermöglicht eine SIEM-Lösung die schnelle und exakte Ursachenanalyse. Sie liefert durch die Überwachung der für die Störung in Frage kommenden Komponenten auch erste Lösungsansätze. Fehler, Ungereimtheiten oder schlechte Performance können das  Resultat eines schlecht konfigurierten Systems sein, das unter fehlenden Patches, Software- Updates, Systemveränderungen oder Unregelmäßigkeiten in der Infrastruktur leidet. All dies kann von SIEM überwacht und mit einem personalisierten Dashboard ausgewertet werden. Unternehmen können so Problemen vorbeugen statt diese eintreten zu lassen und erzielen so signifikante Verbesserungen im gesamten IT-Bereich.

Threat Management gegen externe Angriffe und Betrug von innen

Nahezu alle Unternehmen sind Ziele interner oder externer Angriffe. Die Zahl dieser Angriffe wächst stetig. Sie werden komplexer, zielgerichteter und vor allem aber immer effizienter sowie schwerer zu erkennen. Eine SIEM-Lösung kann die Folgen dieser Angriffe verhindern. Dank der eingebauten Regularien zum Datensammeln und der Korrelation von Daten lassen sich entsprechende Angriffsversuche unterbinden.

Betrug und Datenmanipulation werden anspruchsvoller und komplexer. Existieren keine notwendigen Kontrollmechanismen, sind Unternehmen nicht in der Lage, diese Vorfälle zu identifizieren. In vielen Fällen wissen die Firmen nicht, ob Bedrohungen von außen kommen oder eine interne Ursache haben.

Manche SIEM-Anbieter bieten den Unternehmen “Early Warnings” sobald irreguläre Transaktionen im IT-System oder in Datenbanken auftreten. So wird sowohl internem als auch externem Betrug vorgebeugt.

Forensik, Analyse und Nachvollziehbarkeit

Jedes Unternehmen benötigt ein zentrales Log-Data-Warehouse. Sobald alle Log-Daten einer Organisation an einer zentralen Stelle vorgehalten werden, ist so die umfassende Analyse der gesamten Log-Daten möglich. Alle Anforderungen zur Benachrichtigung sowie Alarme für besondere Ereignisse können über die gesamte IT-Infrastruktur hinweg erfüllt werden. Gleichzeitig müssen aber alle Log-Daten in Übereinstimmung mit den gesetzlichen Vorgaben gespeichert werden können.

Jede Firma muss in der Lage sein, unternehmenskritische Systeme oder Ereignisse zu priorisieren. So lässt sich die Zahl von falschen Fehlermeldungen auf ein Minimum reduzieren.

Den Behörden und Auditing-Organisationen können somit im Falle einer Untersuchung alle notwendigen Dokumentationen in Form einer Ereignisanalyse übergeben werden.

Die gesetzlichen Compliance-Vorgaben wachsen

In den letzten Jahren sind die Vorgaben zur Compliance in allen Unternehmen signifikant gestiegen. Die Liste dieser Vorgaben ist lang und die Strafen für Compliance-Verstöße sind hoch.

Viele dieser Vorgaben wie PCI-DSS werden permanent weiterentwickelt und beeinflussen alle Organisationen nachhaltig. Die Strafen für die Nichteinhaltung variiert von Branche zu Branche.

Auch der gesunde Menschenverstand gebietet es, transparente Kontrollmechanismen einzuführen, um alle IT-Assets – und damit alle unternehmenskritischen Daten – bestmöglich zu schützen. Compliance basiert auf der Einhaltung oftmals flexibler Regeln und Vorgaben. SIEM bietet:

  • Nachvollziehbarkeit der Verantwortung (Accountability): Nachweis, wer, was und wann getan hat.
  • Transparenz (Transparency): Darstellung der Sicherheitskontrollen für geschützte Geschäftsapplikationen und IT-Assets.
  • Messbarkeit (Measurability): Kennzahlen und Risiko-Reports für das Unternehmen.

Eine Monitoring- und Management-Lösung, die sich über das ganze Netzwerk erstreckt, sowie entsprechende Sicherheitstechnologien in der IT-Umgebung spielen eine Schlüsselrolle bei der Durchführung und Validierung von Compliance-Maßnahmen.

Erweiterte Kontrollmöglichkeiten

Bei SIEM werden Kontrollmechanismen implementiert, die sich in der Regel automatisieren lassen. Prinzipiell definiert jedes Unternehmen für sich, welche Kontrollen es einsetzt. Erfahrungsgemäß beinhalten die Kontrollmechanismen folgende Punkte:

  • fehlgeschlagene Anmeldung
  • erfolgreiche Anmeldung
  • Systemverhalten
  • Anwenderverhalten
  • Verhalten privilegierter Anwender
  • Eskalation von Anwenderrechten
  • Dateizugriff
  • File Up / Download (File Up/Download)
  • Änderungen in der Konfiguration
  • Transaktionen
  • Fehler

Fazit

Eine zuverlässige SIEM-Lösung zeichnet sich dadurch aus, dass sie auch positive finanzielle Auswirkungen hat: von verringerten Risiken und eingeschränkter Haftung zu minimierten Betrugsfällen, aufgedecktem Missbrauch und der allgemeinen Gewissheit, dass das operative Tagesgeschäft wie gewohnt stattfinden kann.

Über den Autor: Seit April 2014 fungiert Sebastian Mayer als Geschäftsführer DACH bei LogPoint. Der 42-jährige Münchner ist seit 20 Jahren in der IT-Security-Branche tätig. Vor seinem Wechsel zu LogPoint war er als Regional Manager für Deutschland, Österreich und die Schweiz bei Clearswift beschäftigt, wo er für die strategische und taktische Entwicklung der Region sowie das gesamte regionale Team verantwortlich war. Zuvor war Sebastian Mayer als Key Account Manager bei Symantec im Enterprise-Team für Automotive, Telco und Industrie tätig und dort für die Cloud- und Gateway-Sicherheit verantwortlich. Eine weitere Station führte ihn zu Infinigate.

Das in Kopenhagen ansässige Unternehmen LogPoint ist vor allem auf das Geschäft mit mittelständischen und großen Unternehmen sowie den öffentlichen Sektor ausgerichtet. Es liefert bereits SIEM-Lösungen an eine Reihe von Kunden in der DACH-Region.

Artikel wurde zuletzt im Oktober 2014 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Enterprise-Compliance

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close