Inhalt
Was ist SIEM?
Das Security Information and Event Management (SIEM) ist ein Lösungsansatz zur Detektion von IT-Sicherheitsvorfällen. Durch ein SIEM ist es möglich, Event Logdaten aus verschiedensten Quellen an einem zentralen Ort zu sammeln und in diesen Daten anhand vorher definierter Use-Cases Auffälligkeiten und Regelverstöße automatisiert zu erkennen und zu melden.
Das SIEM kombiniert Bestandteile des Security Information Managements (SIM) und des Security Event Managements (SEM). Letzteres umfasst die Sammlung, Normalisierung, Aggregation und Korrelation von Ereignissen sowie die umgehende Benachrichtigung bei der Erkennung potenzieller Sicherheitsvorfälle. Durch die SIM-Komponente lassen sich Auswertungen in Echtzeit mittels Visualisierungen oder nachgelagert mit Hilfe von Reports auf die gesammelten Daten durchführen. Diese Auswertungen können wertvolle Informationen liefern, beispielsweise über unternehmensweite Konfigurationsänderungen, Zugriffe auf sensible Daten, Benutzung von privilegierten Accounts oder auch eine Übersicht über die aktuelle Bedrohungslage des Unternehmens.
Eine SIEM-Lösung sammelt –meist mithilfe von Software-Agenten – unternehmensweit Logdaten. Zugrundeliegende Quellen sind hierfür beispielsweise Server, Endpoints, Router, Firewalls, Intrusion Detection – und Prevention Systeme (IDS und IPS) sowie Anwendungen. In einer zentralen Management-Station werden die gesammelten Daten zusammengeführt und aufbereitet sowie unter- und miteinander in Beziehung gesetzt. Auf individuell konfigurierbaren Dashboards werden die korrelierten Daten visualisiert. IT-Sicherheitsvorfälle können so frühzeitig durch Cyber Defense Analysten identifiziert werden – und zwar in Bereichen, welche konventionelle IT-Sicherheits-Lösungen überhaupt nicht berücksichtigen können.
Warum ist ein SIEM wichtig?
Die aktuelle Bedrohungslage im Bereich der Cyberkriminalität ist mehr als angespannt. Nicht nur, dass die reine Anzahl an versuchten und erfolgreich durchgeführten Cyberattacken im vergangenen Jahr einen neuen Höchststand erreichte*, auch die Professionalität der Cyberangriffe ist in den vergangenen Jahren drastisch gestiegen. Ob Ransomware-, Phishing-, Drive-By-Downloads oder Social Engineering: Hacker lassen nichts unversucht, um Netzwerke zu kompromittieren, an Unternehmensdaten zu gelangen und Lösegelder zu erpressen. Bei der Fülle an täglichen Bedrohungen müssen die Cyber-Sicherheitsteams eines Unternehmens in der Lage sein, schnell und effizient auf bestehende Bedrohungslagen reagieren zu können. Genau hier setzt SIEM an. SIEM-Systeme liefern einen entscheidenden Mehrwert für die Informationssicherheit eines Unternehmens, da sie in der Lage sind, umfassend sicherheitsrelevante Daten zu sammeln, sie in einem zentralisierten Repository zusammenzuführen und anhand vorher definierter Use-Cases automatisiert Auffälligkeiten und Regelverstöße zu erkennen. Das bietet IT-Sicherheitsteams einen entscheidenden Vorteil – denn die Zeit, die bis zur Identifizierung einer akuten Bedrohung benötigt wird (Meantime to Detect), lässt sich durch ein SIEM deutlich reduzieren. Gerade bei kritischen Angriffen auf die IT-Infrastruktur stellt dies einen entscheidenden Zeitvorteil dar.
Ein SIEM macht damit die Arbeit von IT-Sicherheitsspezialisten effektiver und erhöht das IT Security Niveau von Unternehmen entscheidend – wenn vor der SIEM Implementierung einige relevante Aspekte beachtet werden.
*Quelle: Bundesamt für Sicherheit in der Informationstechnik: Die Lage der IT-Sicherheit in Deutschland 2021
SIEM-Implementierung: Welche Aspekte dürfen Sie nicht außer Acht lassen?
Auch wenn es sich auf den ersten Blick anders liest: SIEM ist weit mehr als ein Produkt. Die Einführung eines SIEM-Systems muss sehr gut geplant sein, um enttäuschte Erwartungen und spätere Kostenexplosionen zu vermeiden. Hierbei ist es zunächst elementar, die spezifischen Unternehmensanforderungen und damit einhergehenden Erwartungen an ein SIEM-System zu definieren. Basierend auf diesen Anforderungen ist es sinnvoll, ein SIEM-Konzept zu erstellen, welches die Basis für die Einführung und den Betrieb eines SIEM bildet.
Unsere Cyber Defense Consultants haben nachfolgend die 5 wichtigsten Aspekte zusammengestellt, die Sie nicht außer Acht lassen sollten, bevor Sie sich für die Implementierung eines SIEM entscheiden.
Punkt 1: Der Aspekt der Integrierbarkeit
SIEM-Lösungen bringen herstellerseitig oftmals Schnittstellen für gängige Systeme mit – die aber nicht zwangsläufig auch zu den im Unternehmen verwendeten Systemen passen. Fehlen passende Schnittstellen, verlängert sich die Implementierungsdauer für die SIEM-Lösung maßgeblich, da Konnektoren für diese Systeme manuell zu entwickeln sind. Dies kostet Unternehmen wertvolle Zeit und führt zu zusätzlichen Investitionskosten. Damit ein SIEM-System einen relevanten Mehrwert im Kampf gegen Cyberbedrohungen bietet, muss die Lösung also möglichst gut auf die bestehende IT-Infrastruktur innerhalb des Unternehmens ausgerichtet und zugeschnitten sein.
Wichtig: Vor Einführung ist zu definieren, welche Logdaten eine SIEM-Lösung innerhalb der Kundenumgebung verarbeiten muss.
Punkt 2: Der Aspekt der Kosten
Die Bezahlmodelle für SIEM-Lösungen unterscheiden sich herstellerabhängig teils deutlich voneinander. Die einen Anbieter nehmen das eingehende Datenvolumen als Grundlage für die Abrechnung, die nächsten Anbieter rechnen nach der eingehenden Anzahl von Events ab oder berechnen die Kosten anhand der gespeicherten Daten. Weiterhin gibt es auch Anbieter, welche die Anzahl der angeschlossenen Systeme oder die Anzahl der benötigten SIEM-Komponenten als Grundlage für eine Preisfindung ansetzten. Für die Betreiber der SIEM-Lösung bedeutet das, dass die Details in der Abrechnungsstruktur kostentechnisch erhebliche Unterschiede ausmachen können. Dies zeigt sich besonders deutlich in Bezug auf die Unternehmensgröße. Viele Systemhersteller bieten attraktive Rabatte für umfangreiche Implementierungen ihres SIEM Produktes. Hier kann sich allerdings eine Kostenfalle auftun – vor allem für kleine und mittlere Unternehmen (KMU).
Ein kleines Beispiel: Ein KMU muss täglich 10 Gigabyte Datenvolumen in seinem SIEM-System verarbeiten und dieses Datenvolumen voll bezahlen. Großunternehmen und Konzerne hingegen profitieren von der Skalierbarkeit – wenn hier beispielsweise 250 Gigabyte Datenvolumen angesetzt werden, wird der Endpreis proportional geringer, da der Systemanbieter hier deutliche Rabatte gewährt. Auch in Bezug auf deren Umsatz- und Gewinnzahlen sollten KMUs genauesten die Kostenstruktur der angebotenen SIEM-Lösung ansehen. Hier können sich häufig ungeahnte Folgekosten verstecken.
Wichtig: Vor der Entscheidung für eine SIEM-Lösung ist detailliert zu prüfen, auf welcher Grundlage abgerechnet wird und für welche Leistungen welche Kosten anfallen.
Punkt 3: Der Aspekt des Funktionsumfangs
Viel hilft viel – das gilt sicherlich auch für die Cybersicherheit und somit SIEM-Systeme – oder? Viele SIEM-Systeme sind auf den Einsatz in Großkonzernen ausgelegt und bieten eine Fülle von Funktionen, die auch nur für große Unternehmen relevant sind. Ein bekanntes Beispiel ist eine sehr granulare Rechteverwaltung. Diese ist für Konzerne absolut unverzichtbar – für KMUs hingegen häufig überdimensioniert und unnötig komplex. Ein SIEM-System innerhalb einer Konzernstruktur benötigt wegen des Datenschutzes häufig eine Mandantenteilung – sowohl für die Konzernmutter als auch die IT-Systeme der Unterfirmen. Ein KMU mit 50 Mitarbeitern ist eine Mandantenteilung unnötig – muss aber unter Umständen trotzdem mitbezahlt werden.
Viele Unternehmen nutzen in den ersten Jahren nach erfolgreicher Implementierung lediglich die absoluten Basis-Funktionen ihrer SIEM-Lösung. Wird diese vom Umfang her reduzierte Lösung genauestens auf die Anforderungen und Ziele des Unternehmens optimiert, ist dies ein wirtschaftlicher und sicherer Ansatz. Allerdings entscheiden sich Unternehmen häufig für eine SIEM-Lösung, die vom Funktionsumfang her viel zu umfangreich für die eigene Unternehmensgröße ist. Die für die Einführung des SIEM verantwortlichen IT-Spezialisten entscheiden in Ermangelung von Erfahrung häufig nach der Bekanntheit eines Produktes und vertrauen darauf, dass das Produkt ihnen die gesamte Arbeit abnimmt. Das jedoch kann kein Produkt – auch nicht das mit dem umfangreichsten Leistungsspektrum.
Wichtig: Vor der Entscheidung für eine SIEM-Lösung muss unbedingt definiert werden, welche Funktionen im Unternehmen wirklich gebraucht werden. Die Erarbeitung eines initialen SIEM-Konzepts ist hier sinnvoll.
Punkt 4: Der Aspekt der SIEM Use Cases und deren Detektionsregeln
Use Cases, als logisches Element zur Erkennung von Angriffen bzw. deren Detektionsregeln als technische Umsetzung der Logik, sind das Herzstück eines SIEM-Systems. Bei fast allen Anbietern von SIEM-Lösungen sind mitgelieferte Use Cases als praktische „Out-of-the-Box“-Lösungen das Verkaufsargument. Aus mehreren Gründen bringen die vorgefertigten Regeln jedoch zumeist nur geringen Mehrwert.
Hier ist zu nennen, dass diese Detektionsregeln meist sehr generisch gehalten sind und somit kaum zu jeweiligen IT-Landschaft oder der Bedrohungslage passen. Meist fehlen den SIEM Use Cases sowohl die Angaben, welche Logs/Events von dem IT-System benötigt werden als auch Handlungsanweisungen für die Cyber Defense Analysten. Des Weiteren wird eine Vielzahl von Regeln bereitgestellt, die entweder die SIEM-Analysten massiv überfordern, wenn sie alle aktiviert werden oder vorab sinnvoll ausgewählt werden müssen. Unter anderem ist sowohl für diesen Auswahlprozess als auch für die spätere Bearbeitung der Alarme aus den Use Cases wichtig, dass diese einen direkten Bezug zu bekannten IT Security-Frameworks wie z.B. MITRE ATT&CK haben. Damit und mit entsprechendem Expertenwissen kann das wesentlichste Ziel der SIEM Use Case-Auswahl – mit einer möglichst geringen Anzahl an qualitativ hochwertigen Use Cases die maximale Abdeckung bekannter Angriffsvektoren zu erhalten – erreicht werden.
Unsere SIEM Consultants empfehlen daher den Einsatz von Use Cases, deren Logik aus den IT Security-Frameworks heraus entwickelt ist, deren Dokumentation und Handlungsempfehlungen umfassend sind und deren Detektionsregeln auf IT-Landschaft und deren IT-System gezielt angepasst sind. Bei der Auswahl dieser achten wir auf eine breite Streuung der Detektionsmechanismen, um Angriffsverhalten früh zu erkennen. Hierbei gilt der Grundsatz: Besser wenige hochwertige Use Cases als viele fehler- und arbeitsanfällige Regeln zu implementieren. Dies ist der Schlüssel zu einem wirkungsvollen und auch wirtschaftlichen SIEM-Betrieb.
Wichtig: Mit der SIEM-Lösung initial mitgelieferte Regeln sind oft „Bauernfängerei“. Die Out-of-the-Box-Regeln müssen aufwendig an die Kundenumgebung angepasst werden und bieten damit unter dem Strich i.d.R. keinen finanziellen Mehrwert.
Punkt 5: Der Aspekt der Kompetenz
Damit ein SIEM wirkungsvoll eingesetzt werden kann, müssen die Nutzer des Systems – in der Regel SOC Analysten – Angriffsszenarien und -alarme verstehen und natürlich wissen, wie genau zu reagieren ist. Die SIEM-Lösungen übernehmen zwar die repetitive Arbeit, die Analysten müssen jedoch die daraus entstehenden Alarme in den jeweiligen Kontext setzen und das „Große Ganze“ erkennen.
Wichtig: Ist dieser Aspekt im Unternehmen gegeben? Wenn nicht, sollte sich das Unternehmen an dieser Stelle Expertenunterstützung holen. Unsere erfahrenen Cyber Defense Analysten können Angriffsmuster und komplexe Zusammenhänge zuverlässig erkennen.
Mit SIEM Consulting zum Erfolg
Wie die Ausführungen zeigen, ist es bei der Implementierung eines SIEM-Systems nicht mit der Installation von Software und dem Anschluss einiger Logquellen getan. SIEM ist ein überaus mächtiges Werkzeug im Kampf gegen Cyberbedrohungen – aber jedes SIEM-System ist immer auch nur dann effizient und wirkungsvoll, wenn es optimal an die bestehende IT-Infrastruktur des Unternehmens angepasst ist. Mit der Entscheidung für ein vorangehendes beziehungsweise projektbegleitendes SIEM Consulting sparen Sie nicht nur Zeit und Kosten, sondern vermeiden auch Probleme und Stolpersteine, die sich für Unternehmen ohne SIEM-Erfahrung auf dem Weg zu einem erfolgreichen SIEM-Betrieb häufig ergeben.
Fazit
Cyberkriminelle schlafen nicht. Im Gegenteil – im vergangenen Jahr gab es weltweit so viele Angriffe auf Unternehmen, NGOs und auch Regierungen wie niemals zuvor. Nicht nur die reine Masse an Cyberangriffen fordert uns alle heraus, sondern auch die zunehmende Professionalität, mit der die Angriffe durchgeführt werden. Ein Security Information and Event Management entlastet einerseits die Cyberabwehr von repetitiven Routine-Aufgaben, andererseits beschleunigt ein SIEM-System die Erkennung von Angriffen deutlich. Maßgeschneiderte Detektionsmechanismen in SIEM-Lösungen können die Cyber-Resilienz eines Unternehmens maßgeblich stärken – aber auch nur dann, wenn das Produkt auf den individuellen Bedarf einfach angepasst werden kann.
Die von vielen Herstellern angepriesenen Out-of-the-Box Lösungen versprechen große Leistung zum kleinen Preis, sind allerdings im Nachhinein meist die teurere Alternative. Um wirtschaftliche Fehlentscheidungen zu vermeiden und gleichzeitig die Funktionalität des SIEM-Systems zu optimieren, ist es sinnvoll, sich bereits in der Frühphase der Entscheidungsfindung Unterstützung von Experten zu holen. Nehmen Sie gerne Kontakt zu uns auf! Unsere Cyber Defense Consultants beraten Sie unverbindlich und individuell.
