Stellen Sie sich vor, Sie würden ihr Haus oder Ihre Wohnung gegen Einbrüche absichern wollen. Was würden Sie tun? Nun, zunächst wahrscheinlich ein oder mehrere Sicherheitsschlüsse an der Eingangstür anbringen. Dann vielleicht abschließbare Fenster mit einbruchhemmendem Glas verbauen. Zusätzlich könnten Sie den Eingangsbereich mit einer Videokamera überwachen. Alle diese Maßnahmen haben eines gemein: Sie sollen den Einbrecher daran hindern hineinzukommen. Hat ein Dieb aber einmal diese Hindernisse überwunden, haben Sie kaum noch eine Chance mitzubekommen, dass gerade ein Einbruch stattfindet und was dabei gestohlen oder zerstört wird.
Ähnlich verhält es sich für die meisten Unternehmen und öffentlichen Einrichtungen mit ihrer IT-Infrastruktur. Es gibt Firewalls, Zugangsschutz durch Kennwörter oder sogar Mehr-Faktor-Authentisierungen, Antivirenprogramme und andere Überwachungsmaßnahmen an den Zugangspunkten des eigenen Netzwerkes. Die meisten der ergriffenen Maßnahmen sollen ein unerlaubtes Eindringen verhindern oder zumindest erkennbar machen. Sind die Angreifer aber erstmal im Netzwerk drin, können Sie sich meistens ungehindert und unerkannt ausbreiten. In der Regel ist nur sehr schwer festzustellen, dass gerade ein Angriff stattfindet, geschweige denn, worauf es die Angreifer abgesehen haben. Meistens wird erst im Nachhinein erkannt, dass große Mengen an Daten abgezogen oder eine Schadsoftware hinterlassen wurde. Und auch das ist zuweilen schwierig.
Um Transparenz in die Netzwerk-internen Abläufe zu bekommen, gibt es Monitoring-Möglichkeiten. Eine davon – und mit Abstand die umfassendste und effektivste Methodik – ist das sogenannte „Security Information und Event Monitoring“ (SIEM). Vereinfacht dargestellt, werden mit dieser Methodik eine Vielzahl an „Events“, sowohl technischer als auch fachlicher Natur, auf Ebene der Infrastruktur sowie der Systeme gelogged und durch ein SIEM-Tool anhand von festgelegten Regeln korreliert. Greift so eine Regel, erzeugt das Tool einen Alarm, der dann in einer nachgelagerten Incident-Erkennung und -bearbeitung behandelt wird.
Ein Beispiel: Das SIEM-Tool stellt fest, dass es an einem der Systeme einen gescheiterten Anmeldeversuch von einer bestimmten IP-Adresse gab. So weit, so gewöhnlich. Nun folgen aber in kurzer Zeit mehrere weitere gescheiterte Anmeldeversuche von der gleichen IP. Und zwar einhundert Stück innerhalb einer Minute. Dies würde das SIEM-Tool als Auffälligkeit erkennen und einen Alarm erzeugen, da das höchstwahrscheinlich kein menschliches Unvermögen, sondern ein computergestützter Angriff ist. Genauso erkennt das Tool größere Datenbewegungen innerhalb des Netzwerks oder unerlaubte Änderungen an kritischen Files.
Die Möglichkeiten mit SIEM sind vielfältig und bei richtiger Umsetzung heben Sie Ihre IT-Sicherheit auf die nächste Stufe. Was zu beachten ist, wenn Unternehmen ein eigenes SIEM aufsetzen wollen und wie ein gelungener Start aussehen kann, können Interessierte bei der Syncwork AG erfahren. Hierfür bietet das mittelständische Beratungshaus unter anderem einen kostenlosen eintägigen Workshop an, bei dem beispielsweise die „SIEM-Readiness“ eines Unternehmens eingeschätzt wird.
Diese Pressemeldung wurde auf dem Presseverteiler openPR veröffentlicht.
Sarah Rothe
PR & Communication Manager
Lietzenburger Str. 69
10719 Berlin
Die Syncwork AG ist eine unabhängige Gesellschaft für Managementberatung und Informationstechnologie. Das mittelständische Unternehmen unterstützt private und öffentliche Kunden bei der Entwicklung ihrer Geschäftsprozesse, der Optimierung ihres IT-Einsatzes und der Begleitung von Veränderungsprozessen. Dabei liegt die Kernkompetenz in der kundennahen und ganzheitlichen Beratung von der Konzeption bis zur Umsetzung. Branchenschwerpunkte sind: Öffentlicher Sektor, Finanzdienstleister, Life Science, Industrie und Telekommunikation.
KOSTENLOSE ONLINE PR FÜR ALLE
Jetzt Ihre Pressemitteilung mit einem Klick auf openPR veröffentlichen
Powered by WPeMatico
Neueste Kommentare