Die Goldadern der IT-Security

Die meisten Firmen haben aus Compliance-Gründen bereits einen Log-Server im Betrieb, der alle relevanten Informationen von Geräten und Diensten in einem Netzwerk zentral speichert. Meistens fristet ein solcher Log-Server aber ein einsames und unbedeutendes Dasein, ausser es tritt ein Problem auf, bei dem die relevanten Informationen aus dem Server mehr oder weniger komfortabel extrahiert werden können.

Informationen sind ja bekanntlich das Gold der Informatik. In einem Log-Server ruhen aus Sicht der Security grosse und wertvolle Goldadern, die eigentlich nur noch richtig ausgewertet werden müssen, um eine zeitnahe, umfassende und individuelle Sicht auf die IT-Security bieten zu können.

Aufgrund der Fülle an Informationen, die auf einem Log-Server gespeichert werden, besteht die Schwierigkeit darin, bei der Auswertung der vorhandenen Logdaten die Spreu vom Weizen zu trennen. Das heisst, aus den vielen unbedeutenden Informationen sicherheitsrelevante Informationen zu generieren. Das Werkzeug der Wahl heisst hier Security Information Event Monitoring, kurz SIEM.

Korrelation und Kompression der Logdaten

Mit einem SIEM werden vor allem die Korrelation und Kompression der Logdaten durchgeführt. Im Idealfall können so aus Millionen von Ereignissen ein paar wenige produziert werden, die dann auch mit einem vernünftigen Arbeitsaufwand manuell weiter inspiziert werden können.

Korrelation dient dazu, Ereignisse mit ähnlichem Inhalt intelligent in Verbindung zueinander zu setzen. Beispielsweise wäre die Source-IP-Adresse, die bei einem Angriff auf der Firewall detektiert wurde, mit Ereignissen innerhalb des eigenen Netzwerks in Verbindung zu setzen. Sollte dieselbe IP-Adresse, die auf der Firewall mit einem Angriff identifiziert wurde, im eigenen Netzwerk gefunden werden, kann davon ausgegangen werden, dass ein erfolgreicher Angriff stattgefunden hat.

Komprimierung hilft dabei, vor allem aus vielen gleichen Ereignissen wenige Ereignisse zu generieren und schliesslich mit der oben beschriebenen Korrelationsfunktion weiter zu verdichten. Ein gutes Beispiel dafür wäre eine Firewall, die im Millisekundentakt meldet, dass die gleiche Source-IP-Adresse die Firewall auf allen 65 000 Ports abscannt. Mit der Komprimierungsfunktion wird aus den 65 000 Ereignissen auf ein einziges Ereignis reduziert, das dokumentiert, welche Source-IP-Adresse auf welchen Ports einen Portscan durchgeführt hat.

Die Schwierigkeit besteht darin, das Ganze möglichst intelligent durchzuführen. Werden richtige Ereignisse mit falschen Korrelationsregeln verarbeitet, entsteht daraus ein falscher oder kein Alarm. Wird die Komprimierung zu intensiv oder zu wenig durchgeführt, kann das durch weitere Korrelation zu einer unvollständigen Sicht oder zu vielen Fehlalarmen führen.

Standard-Korrelations- und -Komprimierungsregeln sind zwar ein fester Bestandteil aktueller SIEM-Software, trotzdem sollte man sich nicht darauf verlassen, dass diese Regeln nie mehr modifiziert werden müssen. In Wahrheit ist ein SIEM eine recht aufwändige Angelegenheit, da die Regeln ständig auf Änderungen im Netzwerk und die Bedrohungslage angepasst werden müssen. Bevor man also eine SIEM-Software installiert und einfach mal schaut, wie man diese einsetzen kann, empfiehlt es sich, Experten mit ins Boot zu holen und zu klären, inwieweit ein externer Dienstleister einen bei dieser Aufgabe nachhaltig unterstützen kann.

Wann was verwenden?

In einer modernen, sicheren IT-Landschaft ist ein zentrales Log-Management mittlerweile ein fixer Bestandteil, der sowohl den operativen Betrieb erleichtert, als auch die Sichtbarkeit und Sicherheit erhöht. Log-Management allein ist heute jedoch nicht ausreichend, um den hohen Anforderungen an die IT-Sicherheit gerecht zu werden. Hier bietet eine SIEM-Lösung die Möglichkeit, strukturiert Anomalien oder Angriffe im Netzwerk erkennen und darauf reagieren zu können.

----------

KMUs sollten nicht versuchen, alles allein zu machen

Cyberattacken bedrohen jeden. Was die IT-Sicherheit angeht, spielen KMUs und Grossunternehmen jedoch in anderen Ligen: KMUs fehlen oft die erforderlichen Mittel. Andrew Hutchison, Cyber Security Spezialist bei T-Systems Schweiz, hat daher ein paar Tipps für KMUs. Interview: Coen Kaat

Welchen Bedrohungen sind KMUs ausgesetzt?

Andrew Hutchison: Die Bedrohungen von Cyberangriffen unterscheiden nicht zwischen grossen und kleinen Unternehmen. Jedoch ist es für KMUs ungleich schwieriger, die Sicherheit auf einem Niveau zu halten, wie es grösseren Organisationen möglich ist. Es gibt aber Strategien, die es auch kleineren Unternehmen erlauben, ihre Sicherheitslage zu kontrollieren und zu optimieren. Unternehmen müssen generell gegenüber Netzwerk­angriffen aus dem Internet, gegenüber Viren oder Trojanern sowie gegenüber Social-Engineering-Angriffen wachsam sein. Letztere sind Angriffe, die direkt auf die Mitarbeitenden zielen und sie so manipulieren, dass sie auf schädliche Links klicken oder infizierte Dateien öffnen. Unternehmen im Manufacturing müssen zudem auch ihre "Betriebstechnologie" schützen und verstehen, dass ihre Prozesssteuerungssysteme ebenso angreifbar sind wie die Informationstechnologie.

Wie können KMUs wachsam bleiben?

Die Infrastruktur muss in Bezug auf Sicherheit aktiv gemanagt werden, damit ein gewisser "Basisschutz" gewährleistet ist. Systeme und Anwendungen sollten entsprechend den Anweisungen ihres Lieferanten laufend aktualisiert und im Bedarfsfall "gepatcht", also mit Updates zur Fehlerbehebung bespielt werden. Systeme, die Maschinen, Roboter oder ganze Produktionsprozesse steuern, sollten ebenfalls proaktiv geschützt werden. Die Unternehmen können hierbei auf bestehende Informationen zurückgreifen, wie beispielsweise Log-Daten, in denen nachvollzogen werden kann, ob es relevante Sicherheitsvorfälle gab. Bei der Verwendung von cloudbasierten Diensten kann eine professionell verwaltete Infrastruktur mit der Option auf Security-Management von Vorteil sein. Dies eröffnet KMUs die Möglichkeit, nach Bedarf zu skalieren. Auch bei on-premise respektive dezidierter Infrastruktur kann mit einem spezialisierten ICT-Security-Provider zusammengearbeitet und das Security-Management von besonderes kritischen Systemen und Infrastrukturen ausgelagert werden.

Welchen Rat geben Sie KMUs, die sich um ihre ­Cybersecurity sorgen?

Sie sollten nicht versuchen, alles allein zu machen. Das können nur grosse Unternehmen mit tiefgehender Sicherheitsspezialisierung. Ganz wichtig ist, sicherzustellen, dass Back-ups und Desaster-Recovery-Pläne vorhanden sind und im Ernstfall auch funktionieren, wenn eine Systemrekonstruktion erforderlich ist. Die technologische Seite der Betriebssicherheit ist wichtig, aber darüber sollte die Nutzeraufklärung nicht vergessen gehen. Insbesondere bei Phishing- oder Social-Engineering-Angriffen sind Sensibilisierungsprogramme – sogenannte User-Awareness-Programme – für den Schutz der Organisation entscheidend. Der Endpunktschutz kann einen grossen Beitrag zum Geräteschutz leisten und die Angriffspunkte für schädliche Codes einschränken. Für die zentrale organisatorische Konnektivität bleibt eine Firewall-Lösung unabdingbar – idealerweise als Managed Service, um die Wirksamkeit dieser Investition sicherzustellen. Intrusion-Detection- und Protection-Module können hinzugefügt werden, oder es können auch "Next-Gen-Firewall" implementiert werden, um den Sicherheitsschutz zu erhöhen. In einigen Fällen, in denen viele Zweigstellen vorhanden sind oder Mitarbeiter an mehreren Standorten arbeiten, könnte auch ein cloudbasierter Sicherheitsperimeter-Service in Betracht gezogen werden, anstatt den gesamten Datenverkehr zur Inspektion an den zentralen Breakout-Punkt des Unternehmens zu transferieren.

Was ist der wichtigste Teil einer Cyberverteidigung?

Es ist wirklich eminent wichtig, einen Sicherheitsplan zu haben und explizit über die kritischsten organisatorischen Risiken und die entsprechend erforderlichen Schutzmassnahmen nachzudenken - insbesondere über geistiges Eigentum und Kundendaten, die gespeichert werden. Die Mitarbeiter, Prozesse und Technologien der Organisation sollten an den identifizierten Sicherheitsanforderungen ausgerichtet sein. Mit einer Security Roadmap können Organisationen feststellen, worin investiert und welche Prioritäten gesetzt werden sollten. Zum Beispiel befinden sich einige Unternehmen, mit denen wir zusammenarbeiten, in einer Konsolidierungsphase, etwa nach einer Akquisition, während andere die Mobilität, oder digitale Kundenkanäle ermöglichen. Daher müssen sich die Sicherheitsanforderungen an die Fokusbereiche anpassen. Am einfachsten und effizientesten kommt ein Unternehmen zu einer massgeschneiderten Security Roadmap durch einen Workshop mit externer Unterstützung. Relevante zu berücksichtigender Aspekte der Sicherheit sind effektives Identitätsmanagement, Authentifizierung, Vertraulichkeit und Integrität, die bereits bei der Entwicklung digitaler Kanäle mitgedacht werden müssen und so als Unterscheidungsmerkmal im Markt dienen können.

Was müssen KMUs insbesondere im Auge behalten?

Im Idealfall bringen die KMU bereits ein grundlegendes Verständnis der Infrastruktur-Architektur und der Nutzergewohnheiten mit. Protokolle wurden als mögliche Quelle für sicherheitsrelevante Informationen bereits erwähnt, doch deren Umfang und vor allem deren Interpretation können herausfordernd sein. Systeme mit künstlicher Intelligenz und Machine Learning können in zunehmendem Masse eingesetzt werden, damit Organisationen schneller und effizienter erkennen können, ob in der technischen Umgebung anomale Muster auftreten. Es gibt Cloud-basierte oder Big-Data-Tools, die KMU effektiv und kostengünstig Zugang zu leistungsstarken, aber erschwinglichen Lösungen zu verschaffen. Der Einsatz eines Incident-Response-Plans (und möglicherweise eines Incident-Response-Retainers bei einem spezialisierten Security-Services-Anbieter) kann auch dazu beitragen, dass KMU auf mögliche Sicherheitsereignisse vorbereitet sind.