Was ist eigentlich ein SIEM?

G DATA Ratgeber

Wer ein komplexes Unternehmen mit einer komplexen IT betreibt, der möchte vor allem zwei Dinge: Hohe Sicherheit und ein einfaches Management. Immer mehr Unternehmen setzen daher ein SIEM-System ein. Was ein SIEM ist und welche Vorteile es bietet, lesen Sie hier. 

Wofür steht SIEM?

SIEM steht für Security Information and Event Management. Es ist ein zentrales System, um die gesamte IT-Sicherheit von Unternehmen in Echtzeit zu überwachen. Ein SIEM sammelt ständig sensible Daten, vergleicht diese mit den Daten im „Normalbetrieb“ und erkennt so eine potenzielle Bedrohung. Dieses Vorgehen ist eine Kombination aus den Konzepten SIM (Security Information Management) und SEM (Security Event Management). 

Ein SIM-System (Security Information Management) speichert Log-Informationen von Betriebssystemen und IT-Security-Komponenten, wie zum Beispiel Firewalls, Intrusion-Prevention-Systemen (IPS) oder Intrusion-Detection-Systemen (IDS). Diese Log-Daten sammelt es in einer zentralen Datenbank. SEM (Security Event Management) verwendet diesen Pool an gesammelten Log-Daten und korreliert sie nach festgelegten Richtlinien miteinander.

SIEM verknüpft diese Security-Informationen in einer einzigen Management Software, die eine Analyse in Echtzeit zulässt. So können Unternehmen die Sicherheit ihrer IT-Systeme zu jedem Zeitpunkt schnell einschätzen und bewerten. Bedrohungen können sofort erkannt und behoben werden, um große Schäden zu vermeiden.

 

Wie funktioniert SIEM?

Ein SIEM-System sammelt alle wichtigen Daten an einer zentralen Stelle. Durch Analysen erkennt es bestimmte Muster, die auf gefährliche Aktivitäten hindeuten. Zum Einsatz kommen dabei Lösungen aus den Bereichen von autonom lernenden Maschinen und der künstlichen Intelligenz. Mithilfe von Programmen, die Logfiles selbst einschätzen können und so zwischen normalen Aktivitäten und sicherheitsrelevanten Informationen unterscheiden lernen, kann eine SIEM-Software die Security in einem Unternehmen irgendwann „verstehen“.

Hierzu wird dem SIEM-System zunächst der „Normalbetrieb“ beigebracht. Dazu zählen zum Beispiel die täglichen Anmeldeinformationen, die Mitarbeiter an ihrem Arbeitsplatz eingeben, und deren Häufigkeit pro Tag. Aber auch Informationen zur Anwendung der Firewall-Richtlinien bei der Serverkommunikation werden ins System eingespeist. Hinzu können noch viele andere Komponenten an das System herangetragen werden, um die Auswertung und die forensische Analyse zu verfeinern. Zum Beispiel können auch Protokolle beziehungsweise Antworten von einer Antiviren-Software in das Event Management eingearbeitet werden.

Jeder Faktor, der zum Nachweis bei der Untersuchung auf Bedrohungen angewendet werden kann, macht den Alarm sensibler. Gibt es zum Beispiel zu einem Zeitpunkt extrem häufige Login-Versuche mit einer gehackten E-Mail-Adresse eines Mitarbeiters, schlägt SIEM Alarm und die IT-Abteilung wird auf einem Dashboard über die Vorfälle informiert. 

 

Vorteile einer SIEM-Lösung

SIEM im eigenen Unternehmen zu implementieren, kann die IT-Sicherheit drastisch erhöhen. Dabei ist vor allem die übersichtliche Darstellung der Bedrohungsanalyse in Echtzeit das Hauptargument für eine SIEM-Lösung. Sie wissen immer sofort, wo und wie jemand versucht, Ihre IT-Infrastruktur anzugreifen. Auch wenn eine SIEM-Lösung nicht direkt eine entsprechende Gegenmaßnahme parat hat, können Sie schnell und effektiv nach einer Lösung suchen, bevor jemand tiefer in Ihrem Betrieb Schaden verursachen kann. 

Gerade der Diebstahl von sensiblen Daten kann zu einer erheblichen Betriebs- und Imageschädigung führen. Auch bei dieser Problematik bietet SIEM einen entscheidenden Vorteil: Alle Überwachungen werden isoliert gespeichert und die Protokolle können im Nachgang nicht mehr verändert werden. Damit kann jedes Unternehmen beweisen, dass es sich an Datenschutzrichtlinien (wie DSGVO, BSDG, SOX) gehalten und sofort reagiert hat. So werden Brute-Force-Angriffe oder die direkte Infiltration durch den VPN-Tunnel nicht zum Alptraum Ihrer Datenschutzbeauftragten.

Zudem kann jedes SIEM-System individuell auf das jeweilige Unternehmen zugeschnitten werden. Der Datenumfang, benötigte Rechenleistung und damit verbundene Kosten können modelliert werden und sind so einfach zu skalieren.

Managed SIEM

Die Überwachung mittels SIEM kann auch an einen Profi ausgelagert werden. Managed Service Provider, kurz MSP, bieten dies oft ihren Kunden an. Der Vorteil von Managed SIEM ist, dass Unternehmen selbst kein Personal einstellen oder extra für ihr SIEM-Tool schulen müssen. Auf der anderen Seite hat die On-PremisesVariante aber den entscheidenden Vorteil, dass das Unternehmen selbst schnell Konfigurationen vornehmen kann. Dafür muss der Betrieb das eigene System aber vollständig verstehen. Eine gute und fähige IT-Abteilung ist dafür also unumgänglich.

Security Information and Event Management (SIEM) ist eine fortschrittliche Security-Lösung, die IT-Betrieben große Vorteile in der Erkennung und Abwehr von Cyberbedrohungen verschafft. Auch andere Branchen machen sich diese Technik immer häufiger zu Nutze. Das hat auch seine Berechtigung. 

Die besten Beiträge per E-Mail

  • Aktuelle Beiträge
  • Jederzeit kündbar