Essential Guide

Big Data: Anwendung, Datenschutz und Technologie

Eine umfassende Auswahl von Artikeln, Videos und mehr, die von unseren Redakteuren gewählt wurden.

Security ist auch ein zentrales Big-Data-Thema

Sicherheit ist auch ein Big-Data-Problem. Um Angriffe zu erkennen, müssen Firmen große Datenbestände schnell sichten und Gegenmaßnahmen ergreifen.

Die meisten Unternehmen haben eingesehen, dass das Errichten hoher Mauern rund um kritische Daten nicht ausreicht, um das Netzwerk umfassend zu schützen. Es geht vielmehr um die intelligente Überwachung und Analyse aller Aktivitäten in allen Bereichen der IT-Infrastruktur, um Bedrohungen zu identifizieren.

Unternehmen erzeugen aber jeden Tag Terabytes an sicherheitsrelevanten Daten. Damit belasten sie das bereits sehr beschäftigte IT-Security-Team mit zusätzlicher Arbeit für die Analyse und das Reporting der Daten. Dies wird durch steigende Anforderungen von Regulatoren, Compliance-Teams und Auditoren verstärkt, die den Nachweis effizienter Sicherheitskontrollen fordern.

Die erste Generation von Technologien für Security Information und Event Management (SIEM) waren mit der schieren Menge der Daten überfordert. SIEM fasst Ereignis-, Bedrohungs- und Risikodaten zusammen, liefert fundierte Sicherheitsinformationen und ermöglicht schnelle Reaktionen auf Sicherheitsvorfälle. Über eine zentrale SIEM-Lösung ist es möglich, die Sicherheitsrisiken adaptiv zu verwalten und zu kontrollieren. Grundsätzlich gilt aber: Datensicherheit hat sich mittlerweile selbst zu einem Big-Data-Problem entwickelt.

Ein Beispiel ist der Finanzdienstleister Barclays. Laut Stephen Gailey, dem ehemaligen Gruppenleiter Security Services bei Barclays, dokumentiert die Bank zwischen 44 und 65 Milliarden Sicherheitsereignisse pro Monat. Diese Datenmenge überschreite ganz klar die Kapazitäten eines konventionellen SIEM-Systems, sagt Gailey den anwesenden Experten für IT-Sicherheit beim Treffen des CW500 Security Club von Computer Weekly.

„Unser SIEM-System war für eine bestimmte Zeit eine sehr gute Lösung. Wir sammelten darin Daten aus vielen unterschiedlichen Quellen mit Informationen zu Sicherheitsvorfällen, die ein spezielles IT-Team auswertete. Damit waren wir in der Lage, in Echtzeit zu reagieren“, erläutert Gailey.

Aber als die Anwender im Laufe der Zeit analytischere Fragen an die SIEM-Daten stellten und das Netzwerk um neue Technologien wie Domänencontroller und Proxy-Server ergänzt wurde, verloren die gesammelten Daten ihren Nutzen. „Diese Daten wurden plötzlich weniger wertvoll für uns, wir speicherten sie nur noch ab. Daher trennten wir uns von der SIEM-Lösung und implementierten vor drei Jahren eine Big-Data-Lösung“, sagt Gailey.

„Das SIEM war nicht mehr in der Lage, etwa 500 Millionen Ereignisse pro Tag zu bewältigen. Es war eine große Herausforderung, neue Datenquellen zu integrieren, da ich den SIEM-Anbieter jedes Mal um Hilfe bitten musste und wir die verteilten und archivierten Daten nicht abfragen konnten.“ Daher implementierte Gailey Software von Splunk.

Compliance: Einhaltung gesetzlicher Vorschriften

Barclays erkannte, dass die Echtzeit-Analyse von Daten mit Splunk eine SIEM-Lösung unnötig machte. „Mit Splunk konnten wir Datenquellen integrieren, die wir mit SIEM nicht nutzen konnten. In einem regulierten Umfeld ist es nicht möglich, das Gros dieser Daten zu löschen“, sagt Gailey. Splunk brachte viele Vorteile für das Compliance-Team des Unternehmens, das sich um die Einhaltung gesetzlicher Vorschriften kümmert. Die Bank muss nachweisen, dass alle Kontrollen effizient ablaufen – allein der Investmentbereich von Barclay muss die Anforderungen von 176 Regulierungsbehörden weltweit erfüllen.

Für echte Transparenz benötigen Unternehmen fortschrittliche Analyse-methoden. 

Amar Singh, CISO, News International

Eine der Vorschriften zum Thema Betrug und Unterschlagung empfiehlt, dass die Händler jedes Jahr einen obligatorischen zweiwöchigen Urlaub antreten, in dem sie sich bei keinem System anmelden dürfen, um zu verhindern, dass sie betrügerische Aktivitäten verbergen, die in ihrer Abwesenheit aufgedeckt werden könnten. 

Der betrügerische Wertpapierhändler Jerome Kerviel, der bei der französischen Bank Société Générale einen Schaden von 4,9 Milliarden Euro verursachte, ging nie in den Urlaub, damit seine kriminellen Machenschaften nicht aufflogen.

Die Compliance-Teams von Barclays müssen beweisen, dass sich die Händler während ihres Urlaubs nicht in die Systeme einloggen. Da die Firma kein spezielles Buchungssystem für Urlaube einsetzte, um dies zu überprüfen, nutzte Gailey eine Lösung von Splunk für die Analyse der Login-Daten. Damit konnte er durch einen Abgleich mit dem relevanten Personal in Echtzeit alle Mitarbeiter identifizieren, die sich innerhalb eines Zeitraums von zwei Wochen nicht beim System anmeldeten. 

Da sich einige Händler potenziell an Dutzenden von verschiedenen Systemen anmelden müssen, erzeugen sie eine Menge Sicherheitsvorfälle, die das alte SIEM-Tool nicht mehr verwalten konnte. „Jetzt können wir all diese Fragen in Echtzeit beantworten. Vorher war das nicht möglich“, sagt Gailey.

Barclays verwendet zudem ein Tool von FireEye, um versteckte Bedrohungen im Netzwerk zu erkennen. Die Kombination der Ergebnisse von FireEye mit Splunk erlaubt dem Compliance-Team der Bank, bisher unbekannte Probleme zu entdecken und zu lösen, ohne eine große Zahl von FireEye-Geräten kaufen zu müssen.

„Über den Bereich Sicherheit hinaus verwendet Barclays seine Big-Data-Lösung zum Beispiel noch für Compliance, Audits und Regulierung. Damit erweitert sich das Aufgabengebiet für die mit Informationssicherheit befassten Teams – es geht nicht mehr nur um die Konfiguration von Firewalls und andere technische Herausforderungen, sondern auch um Compliance. Die Einhaltung rechtlicher Vorgaben stellt in einem regulierten Umfeld eine große Herausforderung dar. Wir leben in einer Welt, in der Sicherheitskontrollen allein nicht genügen. Wir müssen nachweisen, dass sie allgegenwärtig sind und effizient arbeiten“, ist Gailey überzeugt.

„Sicherheit ist heute ein Big-Data-Problem, da Daten immer in einem Sicherheitskontext gesehen werden müssen. Dabei geht es nicht nur um eine Sammlung von Sicherheits-Tools, die Daten produzieren, sondern um das Unternehmen als Ganzes. Wenn man nur einen Teil dieser Daten ignoriert oder nicht analysieren kann, bleiben die Sicherheitsbemühungen lückenhaft. Jede noch so kleine Sache, die Sie verpassen oder ignorieren, kann den Unterschied für Ihr Unternehmen machen.“

Angriffe auf das IT-System erkennen

Amar Singh, Chief Information Security Officer (CISO) bei News International, sieht in der Analyse von Sicherheitsereignissen (Security Events) ein wichtiges Instrument, um die Aufdeckung von Angriffen auf das IT-System zu verbessern. „Es geht darum, zu verstehen, was normal ist, und zu wissen, was nicht“, sagt er. 

Forschungen zeigen, dass die meisten Sicherheitsverletzungen durch Dritte festgestellt werden und nicht vom betroffenen Unternehmen selbst – obwohl bei 84 Prozent der Verstöße Systemprotokolle zur Verfügung standen, um den Verstoß zu entdecken.

„Das Gros der Sicherheitsmaßnahmen ist immer noch reaktiv“, erklärt der CISO. „Für echte Transparenz benötigen Unternehmen fortschrittliche Analysemethoden. Dazu müssen sie in Lösungen und vor allem in Menschen investieren, die diese Fähigkeiten besitzen.“ Eine wesentliche Aufgabe besteht laut Singh in der Definition des Normalzustands im Unternehmen, um Abweichungen vom Muster zu erkennen. Dies umfasst viele Bereiche wie zum Beispiel die Identität der Nutzer, Klassifizierungen der Vermögensbestände (Assets) und Bedrohungen sowie Informationen zum Kontext der Sicherheitsereignisse.

„Ergebnis sind Berichte, Alarmmeldungen und Wissen über das, was in der Organisation passiert. Das hilft bei der Definition des Normalzustands“, sagt er. „Auf diese Weise können Unternehmen Benutzer identifizieren, deren Verhalten sich außerhalb der Norm bewegt. Werden sie frühzeitig erkannt, lässt sich ihr Zugang deaktivieren und eine potenzielle Sicherheitslücke verhindern.“

Jitender Arora, Senior Program Manager of Security and Risk bei GE Capital Europe, warnt aber davor, bei der Beschäftigung mit dem Buzzword Big Data und dem damit verbundenen Hype nicht die Grundprinzipien des Risiko-Managements zu vernachlässigen. „Daten sind zunächst einmal nur Daten ohne Aussagekraft“, sagt er. „Mich interessiert die Analyse von Daten, um aussagekräftige Informationen zu erhalten, mit deren Hilfe ich meine Situation verbessern kann. Wenn Daten nicht im richtigen Business-Kontext stehen, können sie völlig irrelevant sein.“

Arora befürchtet, dass die riesige Menge an Sicherheitsdaten in Kombination mit Big-Data-Tools wie Hadoop die Mitarbeiter von Unternehmen dazu verleiten könnte, bei der Verwaltung dieser Daten nachlässig zu arbeiten, da sie diese zunächst einfach speichern und erst später nutzen.

„Die Mitarbeiter denken, dass wir durch die größere Anzahl von Log-Protokollen und Dokumentationen größeren Einblick erhalten. Ich denke, das ist das falsche Konzept. Es geht nicht um große Datenmengen, sondern um relevante Daten“, erläutert er. „Big Data wird gerade als das nächste große Ding verkauft. Jedes Mal, wenn wir ein neues Modewort erhalten, denken Menschen, dass wir damit all unsere Probleme lösen können. Leider ist das nicht der Fall.“

Der Kontext ist entscheidend

Arora nennt als Beispiel den Hurrikan Sandy, der im Jahr 2012 chaotische Zustände in Teilen der Nord-Ost-Küste der USA anrichtete. Die Nutzer setzten auf Twitter rund 20 Millionen Tweets über die Katastrophe ab, mit Höchstständen jeweils kurz vor und nach dem Hurrikan. Die nachfolgende Analyse zeigte aber, dass die Mehrheit der Tweets in Manhattan entstand, also einem Ort, der nicht durch den Sturm bedroht wurde. Nur sehr wenige der Tweets stammten tatsächlich aus den betroffenen Gebieten.

Mehr zum Thema Big Data:

Big Data: Anwendung, Datenschutz und Technologie.

Die Folgen von Big Data: Wie man aus Backup- und Archivdaten neuen Nutzen zieht.

Fünf Schritte auf dem Weg zu effektiver Big-Data-Analytics.

Big-Data-Analytics: Einsatzszenarien für die (IT-) Security.

„Wenn ein Notfallteam diese Daten genutzt hätte, um seine Tätigkeit zu planen, wäre es zu Fehlern gekommen, da die Daten nicht im richtigen Zusammenhang standen“, sagt Arora. „Nicht jede Art von Daten bringt alle Erkenntnisse, die Sie brauchen. In der Zukunft geht es um die richtigen Funktionen und Fähigkeiten für die Analyse von Daten.“

Ein weiterer Mythos sei, dass Unternehmen mit Hilfe der Auswertung großer Datenmengen beim Management von IT-Sicherheit proaktiv vorgehen. Laut Arora ist die Datenanalyse im Hinblick auf die Business-Anforderungen wichtiger: „Dadurch können wir schneller reagieren. Analysten können ihre Berichte schneller erstellen, Vorfälle schneller verstehen und auch bei der forensischen Untersuchung effizienter helfen. Big Data alleine macht nicht proaktiver. Es geht, wie bereits gesagt, nicht um die Datenmenge, sondern um relevante Daten.“

Gailey hingegen kommt zu dem Schluss, dass Unternehmen über einen Big-Data-Ansatz ein besseres Verständnis über das Ausmaß der modernen Herausforderungen an die Informationssicherheit gewinnen. „Ich glaube nicht, dass irgendjemand die tatsächlichen Kosten von Datenschutzverletzungen abschätzen kann. Unternehmen sind dazu nicht oder nur schlecht in der Lage“, so Gailey. „Ist Sicherheit ein Big Data-Problem? Ja. Denn es gibt eine große Menge an sicherheitsrelevanten Daten, die Unternehmen analysieren müssen.“

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

Artikel wurde zuletzt im April 2015 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

0 Kommentare

Älteste Beiträge 

Passwort vergessen?

Kein Problem! Tragen Sie Ihre E-Mail-Adresse unten ein. Wir werden Ihnen eine E-Mail mit Ihrem Passwort schicken.

Ihr Passwort wurde an die folgende E-Mail-Adresse gesendet::

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close