Kontakt Cyber Defence

Sie wollen mehr wissen? Unsere Cyber-Defence-Kollegen erreichen Sie hier:

cyber-defence@dacoso.com

Schließen

Cyber Security einrichten

Angreifer sind gut organisiert und einfallsreich. Mitunter kombinieren sie mehrere Arten von zielgerichteten Angriffen, die zu unterschiedlichen Zeiten und an verschiedenen Punkten innerhalb des Netzwerks durchgeführt werden. Obwohl dagegen bereits zahlreiche Maßnahmen wie z. B. IDS/IPS (Intrusion-Prevention-/Intrusion-Detection-Systeme), Firewall- und Virenschutz-Lösungen implementiert sind, fehlt – bedingt durch die massenhaft anfallende Flut von Statusmeldungen – vielfach der Überblick über den aktuellen Zustand aller IT-Systeme. So dauert es nicht selten mehrere Monate, bis überhaupt ein Sicherheitsvorfall erkannt wird. Die Folgen sind lahmgelegte Netzwerke, die nicht-autorisierte Nutzung von Ressourcen und Datendiebstahl. Um das zu verhindern, müssen Netzwerkverantwortliche und Sicherheitsteams in der Lage sein, einen Angriff bzw. Datensabotage schnell und präzise zu erkennen.

Compliance-Richtlinien einhalten

Von Unternehmen wird erwartet, dass sie in Echtzeit auf aktuelle sicherheitsrelevante Bedrohungen reagieren und IT-Ereignisse auch nachträglich nachweisen können. Zu den wichtigsten Richtlinien gehören die Datenschutz-Grundverordnung der Europäischen Union (DSGVO), das Bundesdatenschutzgesetz (BDSG) und in vielen Fällen zusätzlich ausländische Gesetze (z. B. SOX). Aber auch bei Zertifizierungen wie z.B. ISO und Basel II etc. müssen regulatorische Standards eingehalten und regelmäßig in Form von Reports dokumentiert werden. 

Technische und organisatorische IT-Sicherheit mittels SIEM

Für die unternehmensweite Cyber Security ist es zwingend, einen vollständigen Überblick über das Verhalten und den Zustand aller IT-Endgeräte zu haben. Die daraus gewonnenen Erkenntnisse sind umso aussagekräftiger, je mehr detaillierte Informationen gesammelt und ausgewertet werden können. Realisiert wird das durch das SIEM, das als organisatorische IT-Sicherheits-Lösung die Auswertungsergebnisse gleichzeitig zur Dokumentation nutzen kann, um die Einhaltung der Compliance-Richtlinien nachzuweisen.

Eigener Betrieb einer SIEM-Lösung

Sowohl für den Aufbau als auch für den Betrieb werden unterschiedliche Fachkenntnisse benötigt wie z. B.:

  • technisches Know-how: Netzwerke (Router, Switches, Topologien, Protokolle), Firewalls, Virenscanner, IDS/IPS, Datenbanken, Anwendungen/Applikationen, Betriebssysteme (Windows, Linux) etc.
  • organisatorisches Know-how: Regularien (DSGVO, BDSG, BAFIN), Prozesse (ISO, PCI DSS, SOX, HIPAA), Standards (IT-Grundschutz) etc.

Es ist wichtig, alle relevanten technischen und organisatorischen Anwendungsfälle zu identifizieren und zu dokumentieren. Dann gilt es, aus den flutartig eintreffenden Events der unterschiedlichen Systeme die entscheidenden Ereignisse herauszufiltern und zu bewerten. Nur so können dann z. B. neue Angriffsmuster erkannt und zeitnah die richtigen Schritte eingeleitet werden. 
Außerdem müssen die Events für einen definierten Zeitraum gespeichert werden, um z.B. eine Beweissicherung hinsichtlich rechtlicher Verwertbarkeit vorweisen zu können. Dafür ist sowohl eine ausreichend große Speicherumgebung als auch eine entsprechende Verwaltung der Datenmengen notwendig. Je nach Anforderung und Größe des Unternehmens muss zudem ein 24/7-Betrieb gewährleistet sein. In der Summe sind das Aufgaben, die große personelle Ressourcen erfordern und Kosten verursachen. Aus diesen Gründen greifen Unternehmen auf professionelle Managed-SIEM-Lösungen zurück.

Mehr zu Managed SIEM >>