SIEM, SOC und Co.: Eine Lösung für alle gibt es nicht

SIEM, SOC und Co. sind in aller Munde, weil sie einen Beitrag zur IT-Sicherheit im Unternehmen leisten sollen. Die Umsetzung in der Praxis ist jedoch meistens ernüchternd, denn es gibt keine "One size fits all"-Lösung. Das liegt daran, dass ein Security Information and Event Management (SIEM) kein Produkt ist, das einmal installiert wird und dann im weiteren Verlauf alles vollautomatisch erledigt. Gute Dienstleister berücksichtigen dies und erarbeiten mit dem Kunden eine individuelle Lösung.

Sicherheitsprozesse benötigen Ressourcen

Ob mit oder ohne Dienstleister, bei IT-Sicherheit braucht es in erster Linie Zeit und qualifiziertes Personal. Das sollte beim Planen für einen neuen Sicherheitsprozess berücksichtigt werden. Ein SIEM führt beispielsweise die Informationen zusammen, die für eine Bewertung des Status quo essenziell sind. Damit dieser Prozess reibungslos funktioniert, wird eine initiale Einarbeitungs- und Trainingsphase benötigt. Denn jedes Unternehmen hat ein einmaliges Netzwerk mit charakteristischen Eigenschaften, die bei der Filterung und Bewertung von Informationen zu berücksichtigen sind. Sicherheitsverantwortliche lernen mit der Zeit, auf welche Benachrichtigungen es ankommt.

Bis ein SIEM nur noch relevante Informationen mit akutem Handlungsbedarf ausgibt, braucht es neben Zeit auch personelle Ressourcen. Im Idealfall kümmern sich mehr als zwei Fachkräfte um das "Anlernen" und die spätere Betreuung eines SIEM – ganz unabhängig davon, ob es intern oder extern verwaltet wird. Das Fatale: Die damit verbundenen Personalkosten bleiben oftmals in der Kalkulation unberücksichtigt. Diese Fehlplanung macht ein eigenes SIEM für viele kleine und mittelständische Unternehmen schnell zu einem Kostengrab.

Adäquate Lösungen mit den passenden Dienstleistern ­umsetzen

Das Gleiche gilt für alle anderen Dienstleistungen und Produkte. Egal ob ein eigenes oder gemanagtes Security Operations Center (SOC) – hier ist ebenso wichtig, dass kompetentes Personal die Systeme überwacht und dass diese Fachleute auch in einer für den Kunden verständlichen Art und Weise Informationen übermitteln. Und zwar dann, wenn konkreter Handlungsbedarf besteht. Liegen die Auswertung und Interpretation ausschliesslich beim Kunden, ist umfangreiches Fachwissen zur Informationsbewertung notwendig. Das klassische SIEM ist erfahrungsgemäss für kleine und die meisten mittelständischen Unternehmen ungeeignet. Hier braucht es eine für das Unternehmen anwendbare und wirtschaftlich adäquate Lösung sowie einen zuverlässigen, erfahrenen Partner für die Umsetzung.

----------

Wer gezielt kritische Systeme überwacht, stärkt seine IT signifikant

Viele Unternehmen scheuen den Einsatz von SIEM und SOC und suchen nach Alternativen. Cornelia Lehle, Head of ­Sales DACH, G Data Cyberdefense, erläutert im Interview, wie Unternehmen mit Security Monitoring ihre kritischen Systeme überwachen lassen und frühzeitig Angriffe abwehren können. Interview: Coen Kaat

Wozu braucht ein Unternehmen überhaupt ein SIEM oder ein SOC, wenn es schon reichlich in IT-Schutzkomponenten ­investiert?

Cornelia Lehle: SIEM und SOC sind keine Schutzkomponenten im klassischen Sinne. Ein Security Information and Event Management (SIEM) ist vielmehr die zentrale Informationsstelle, um alle relevanten Informationen, welche die IT-Sicherheit eines Unternehmens betreffen, zu sammeln und auszuwerten. Es sorgt also für Sichtbarkeit und Transparenz aller Aktivitäten im Netzwerk. Ein Security Operation Center (SOC) ist im Unternehmen die zentrale Leitstelle, die sich um die IT-Sicherheit im Unternehmen kümmert. Gerade für kleine und mittelständische Unternehmen ist die Einführung eines SIEM oder SOC jedoch mit grossen Herausforderungen verbunden. Denn solche Sicherheitsmassnahmen erfordern nicht nur regelmässige Investitionen, sondern auch fachkundiges Personal. Wer also überlegt, ein SIEM oder SOC im eigenen Unternehmen aufzubauen, sollte vorher genau die Wirtschaftlichkeit prüfen und auch mögliche Alternativen in Betracht ziehen.

Was für Alternativen gibt es zu einem eigenen SIEM?

Mit Security Monitoring bieten wir beispielsweise ein Dienstleistungsangebot zur zielgerichteten Überwachung der IT-Infrastruktur an. Wer gezielt kritische Systeme überwacht, stärkt seine IT signifikant. Dabei werden die kritischen Systeme mithilfe einer speziell von uns entwickelten Software überwacht und ausgewertet. Hier lassen sich frühzeitig Hinweise auf einen Angriff finden, denn die Mehrzahl der Angriffe hat klare Charakteristika, die sie eindeutig und unmissverständlich machen. Ergänzt wird die Überwachung durch einen Alert, wenn akuter Handlungsbedarf besteht. Dann erhält der Kunde eine verständliche Einschätzung und klare Handlungsweisungen. Der grosse Vorteil ist, dass wir dem Kunden unser Fachpersonal für die oben beschriebene Dienstleistung zum Fixpreis zur Verfügung stellen.

Wie tief geht Security Monitoring?

Bei Security Monitoring liegt der Fokus auf den kritischen Systemen wie beispielsweise File Servern, die für das Daily Business unerlässlich sind. Dabei arbeitet ein Agent im Hintergrund, was das Monitoring ressourcenschonend macht. Hinzu kommt: Jedes Unternehmen erhält von uns eine massgeschneiderte Lösung, die unabhängig von den eingesetzten Security-Lösungen funktioniert und die im Bedarfsfall auch schnell erweiterbar ist.

Was passiert im Ernstfall?

Wenn eine Handlungsempfehlung kommt, ist klar: Unternehmen müssen umgehend aktiv werden. Dabei kann es sich etwa um eine kritische Fehlkonfiguration handeln oder um Prozesse, die nicht legitim sein können, weil es vermehrte Anfragen gibt. Auch das Vorhandensein bestimmter Programme, die von Angreifern oft genutzt werden, kann ein eindeutiger Indikator für unerwünschte Aktivitäten sein.

Wie weiss ein Unternehmen, dass die eigenen Daten sicher sind, wenn Externe sich um die Sicherheit kümmern?

IT-Security ist immer Vertrauenssache. Für Security Monitoring von G Data gilt: Die Server stehen in Deutschland und erfüllen somit strengste Datenschutzvorschriften. Die Daten bleiben also im deutschen Rechtsraum. Wichtig ist aber auch, dass Menschen mit Erfahrung und Know-how die Systeme analysieren. Unterstützt werden sie dabei natürlich von automatisierten Tools. Aber die Handlungsempfehlungen kommen immer direkt von Analysten.