SIEM ist mehr als reine Kür: Es ist ein übergreifendes Sicherheitskonzept, mit dem Unternehmen zukunftsfähig bleiben – egal ob Großkonzern oder Mittelstand. Das Security Information and Event Management (kurz SIEM) gibt Ihnen einen ganzheitlichen Überblick über sicherheitskritische Ereignisse in Ihrer Infrastruktur und kann selbst verteilte Bedrohungen schnell erkennen. Mehr zu den Basics lesen Sie hier.

Schloss symbolisiert die SIEM-Sicherheit
SIEM © metamorworks /stock.adobe.com

Was ist SIEM?

SIEM ist eine softwarebasierte, systemübergreifende Lösung zur Erfassung aller Sicherheitsinformationen und -ereignisse in Ihrer IT-Architektur. Eine SIEM-Software vereint die zwei Ansätze:

  • Security Information Management (SIM): Die Hauptaufgabe von SIM ist die Erfassung und Verwaltung von Logfiles und anderen sicherheitskritischen Daten.
  • Security Event Management (SEM): Der Schwerpunkt von SEM liegt auf der Durchführung von Echtzeitanalysen und -berichten.Gartner definiert SIEM als eine Technologie zum Erkennen von Bedrohungen, Einhalten von Vorschriften und Verwalten von Sicherheitsereignissen durch die Analyse von Incidents aus unterschiedlichen Quellen. Typische Datenquellen sind neben Netzwerkgeräten wie Routern auch Cloud-Dienste, Anwendungen und Sicherheitskomponenten wie Firewalls, Intrusion Detection Systems (IDS) oder Intrusion Prevention Systems (IPS).

SIEM-Technologie aggregiert, korreliert, analysiert und interpretiert sicherheitsrelevante Daten, Benachrichtigungen und technische Protokolle (Logfiles) aller Netzwerkkomponenten. Die gewonnenen Informationen konsolidiert die Technologie an einer zentralen Stelle – dem Security Operation Center (SOC). Event-Daten werden auf Abweichungen der von Ihnen definierten Verhaltensregeln (Use Cases) untersucht und Kategorien wie „Neuer Login“ zugeordnet. Dazu nutzt SIEM-Software Regeln, Korrelationsmodelle und Verfahren der künstlichen Intelligenz (KI) sowie des Machine Learnings (ML). Abhängig von Ihrer Konfiguration lösen Abweichungen dann Alerts aus oder stoppen die auffällige Aktivität.

Welches Unternehmen braucht eine SIEM-Lösung?

In der Vergangenheit waren SIEM-Tools vorrangig in Konzernen und großen Unternehmen im Einsatz. Spätestens in Zeiten von Homeoffice und Cloudmigration, verteilten Systemlandschaften und zunehmend komplexeren Bedrohungen wird deutlich: In kleinen und mittleren Unternehmen werden sie genauso dringend benötigt. In vielen Unternehmen und Organisationen ist die IT heute die Basis zentraler Geschäftsprozesse. Das macht eine umfassende Absicherung gegen digitale Risiken umso wichtiger. Häufig verstreichen vom Einbruch in IT-Systeme bis zur Datenkompromittierung nur wenige Minuten, bis zum Datenverlust nur Stunden oder Tage. Doch bis der Angriff schließlich erkannt wird, vergehen mitunter Monate.

„Gerade mittelständische Unternehmen verfügen in der Regel nicht über ausreichende Ressourcen für einen umfassenden Kompetenzaufbau rund um die Cybersicherheit,“ so ein Bitkom-Studienbericht von 2020. Dabei sind sie mit am stärksten betroffen. Aber auch kleine Unternehmen mit 10–99 Mitarbeiter*Innen waren wegen ihrer Einbindung in die Lieferketten von Konzernen in den vergangenen Jahren verstärkt Opfer von Cyberkriminellen. Um gegen moderne Bedrohungen gewappnet zu sein, ist SIEM eine Lösung für alle Unternehmen, deren Geschäftsprozesse digital ablaufen.

Welche Kernfunktionen bietet SIEM?

Ein modernes SIEM-System vereint sieben Kernfunktionen, die verschiedene Anwendungsfälle in den Bereichen Sicherheit und Compliance abdecken.

1. Echtzeit-Monitoring

Von Anwender*Innen über Geräte bis zu Applikationen sollte das Monitoring jedes Element Ihrer IT-Architektur identifizieren und in Echtzeit verarbeiten. Moderne SIEM-Lösungen können sowohl kontextbezogene als auch mit Bedrohungsinformationen angereicherte Datenströme abrufen, um die entsprechenden Benachrichtigungen zu erstellen. Auf diese Weise kann die Software ein breites Spektrum an anomalem Verhalten erkennen. Die zugehörigen Sicherheitsdaten werden direkt in den Workflow zur Risikobewertung eingebunden. Alle Erkenntnisse sollten in ein intuitives Dashboard fließen, das die laufenden Sicherheitsaktivitäten in Echtzeit visualisiert.

2. Benutzer-Monitoring

Um Sicherheitsverstöße frühzeitig zu erkennen, ist ein kontextspezifisches Monitoring aller Benutzeraktivitäten nötig. Das Tool sollte zum einen die Zugriffs- und Authentifizierungsdaten analysieren und zum anderen den Benutzerkontext erfassen und ungewöhnliche Vorgänge oder Richtlinienverstöße melden können. Auch privilegierte Benutzer*Innen gilt es zu beobachten: Gerade diese Accounts sind ein attraktives Ziel für Angriffe mit hohem Schadenspotenzial.

3. Incident-Response-Strategie

Eine anwenderspezifische Reaktion auf Incidents hilft, potenzielle Sicherheitsvorfälle zu managen und den Schaden inklusive Wiederherstellungsaufwand möglichst gering zu halten. Mit dieser Funktion lassen sich unterschiedliche Sicherheitsvorfälle erkennen, verfolgen und kategorisieren. Im Idealfall kann Ihre SIEM-Lösung Events manuell und automatisch aggregieren und unterstützt mehrere Anwendungsprogrammierschnittstellen (APIs) für Datenfeeds von und zu Drittsystemen. Die mitgelieferten Playbooks und Autoresponse-Funktionen können bei der Abwehr von Cyberangriffen viel Zeit und Aufwand sparen.

4. Threat Intelligence

Je konkreter die Informationen zu Bedrohungen, umso leichter kann Ihr Team Anomalien aufdecken, deren Risiken präzise einschätzen und Reaktionen priorisieren. Ein wichtiger Teil der Threat Intelligence sind aktuelle Informationen über Indicators of Compromise (IOC), Reaktionsmaßnahmen und Kontext für verschiedene Arten von Incidents und Aktivitäten. Darüber hinaus sollte Threat Intelligence Rückschlüsse auf die Asset-Kritikalität, Konnektivität, Nutzung, Inhaberschaft und Daten der Benutzer*Innen erlauben. Dieser zusätzliche Kontext hilft Ihrem Team dabei, die Risiken und potenziellen Konsequenzen eines Incidents schneller zu erfassen.

5. Komplexe Analysen

Wie gewinnt ein SIEM-System aus massiven Datenvolumen relevante Erkenntnisse? Die Lösung sind automatisierte Analysen auf Basis von ML-Algorithmen. Intelligente quantitative Methoden wie Data Mining, Machine Learning, Statistik und Simulation können selbst hohe Datenvolumen verarbeiten. Auch Analysemethoden wie Anomalieerkennung und Peer-Gruppen-Profiling spielen eine wichtige Rolle. Eine übersichtliche Datenvisualisierung per Heat Maps oder kategorisierter Events zum Nachvollziehen der Alarmkette (Kill Chain Events) vereinfacht die Untersuchung auf Incidents.

6. Erkennung komplexer Bedrohungen

Monitoring, Analysen und die Bedrohungserkennung sind nur mit Tools möglich, die sich an dynamische Sicherheitsrisiken anpassen können. Eine Kernkompetenz analysegestützter SIEM-Tools ist deshalb die kombinierte Implementierung von Network-Security-Monitoring, Reaktions-Sandboxes, Endpunkterkennung und Verhaltensanalysen. Damit kann Ihr Team den konkreten Umfang von Risiken erkennen, etwa wohin sich eine Bedrohung ausgebreitet hat und wie sie zu behandeln ist. So hilft SIEM, gegenüber Advanced Persistent Threats (APT) verschiedene Abwehrmaßnahmen systemübergreifend zu korrelieren.

7. Use-Case-Bibliothek

Eine weitere Kernfunktion moderner SIEM-Software ist eine Bibliothek, die Ihre gesamten Anwendungsfälle umfasst. Eine solche Datenbank kann während der Datenerfassung automatisiert neue Use Cases erkennen und hilft Ihnen dabei zu ermitteln, welche in Ihrer IT-Umgebung anwendbar sind. Damit lassen sich Incidents bei bestehenden, aber auch bei neuen Bedrohungen schneller identifizieren und beheben.

Welche Probleme drohen bei veralteten Systemen?

Ob wegen Digitalisierungsmaßnahmen, Umstrukturierungen oder aus Budgetgründen: Die Gründe für die Nutzung eines veralteten Systems sind vielfältig. Das Erfassen und das Protokollieren von isolierten Angriffen und anomalen Schemata sind mit Insellösungen vielleicht noch durchführbar. Schwierig wird es aber spätestens bei APT und Bedrohungen, die über mehrere Systeme hinweg verteilt zusammenarbeiten.

Probleme, die bei veralteten SIEM-Systemen drohen:

  • Lückenhafte Sicherheit: Die erforderlichen Daten lassen sich häufig nur eingeschränkt erkennen, untersuchen und bei Bedrohungen nutzen.
  • Keine effiziente Datenerfassung: Bei veralteten SIEM-Produkten kann die Datenerfassung mit einem hohen Arbeits- und Kostenaufwand verbunden sein.
  • Langsame Untersuchungen: Selbst einfache Aktivitäten wie Suchabfragen in Logfiles können je nach Datenvolumen Tage dauern.
  • Eingeschränkte Stabilität & Skalierbarkeit: Mit zunehmender Größe der SQL-Datenbank steigt auch deren Instabilität. Im Geschäftsalltag führt das zu einer schlechteren Performance oder regelmäßigen Serverausfällen.
  • Ungewisse Entwicklung: Werden die Provider traditioneller SIEM-Tools aufgekauft, leiden häufig Forschung und Entwicklung darunter. Bei APT-Bedrohungen bietet das lahmende Sicherheitskonzept dann womöglich keinen Schutz mehr.
  • Geschlossenes Ökosystem: Häufig lassen sich ältere SIEM-Lösungen nicht mit moderneren Tools integrieren. Kunden müssen sich dann mit einem geschlossenen Funktionsangebot begnügen oder zusätzliches Budget investieren.
  • Nur lokal implementierbar: In hybriden Umgebungen bieten lokal implementierte SIEM-Produkte nur begrenzt Schutz.

Tipps zur Auswahl einer neuen SIEM-Lösung

Machen Sie keine Abstriche bei der Auswahl Ihrer SIEM-Lösung – erst recht nicht in einem mittelständischen Unternehmen. Um Ihre Infrastruktur bestmöglich abzusichern, sollte Ihre SIEM-Lösung analysegestützt auf Basis von KI und ML arbeiten und alle oben genannten Kernfunktionen mitbringen. Achten Sie bei der Toolauswahl insbesondere auf die Schnelligkeit und Genauigkeit des Systems. Um zukunftsfähig zu bleiben, sollte Ihr Team mit der Lösung täglich Milliarden von Ereignissen sehen, analysieren und bewerten können. Vor diesem Hintergrund lohnt sich ein SIEM-Produkt, das selbst entscheiden kann, was anomal ist und nachverfolgt werden muss und welche Aktivitäten harmlos sind. Je flexibler und lernfähiger Ihr Setup ist, umso höher sind Ihre Chancen, Rechtsstreitigkeiten, ein finanzielles Fiasko oder Imageschäden zu vermeiden.

SIEM-Trends 2021: Darauf sollten CIOs jetzt achten

Zum Glück werden nicht nur Cyberbedrohungen immer raffinierter, sondern auch die Sicherheitskonzepte. Wohin die Reise in puncto SIEM gehen wird und woran CIOs sich orientieren können, zeigen die folgenden fünf Trends.

1. Fokussierung auf risikobasierte Warnmeldungen

Um zeitaufwendiges Over-Alerting zu vermeiden, muss SIEM Attacken und Sicherheitsverletzungen noch präziser erkennen und darauf reagieren können. Mithilfe von risikobasierten Warnmeldungen lassen sich Risiken anhand von Schwellenwerten einstufen. Warnmeldungen werden dann nur beim Über- oder Unterschreiten vordefinierter Werte ausgelöst. Der Vorteil: weniger Meldungen in SOCs bei gleichzeitig höherem Anteil der True-Positive-Benachrichtigungen.

2. Cloud- und App-Security als oberste Priorität

Der Umzug in Cloud-Umgebungen und das digitale Wettrüsten bergen hohe Risiken, wenn Unternehmen in der Cloud- und Anwendungssicherheit nicht up to date sind. Verteilte Systeme bieten eine wachsende Angriffsfläche bei gleichzeitig schrumpfender Transparenz. Eine analysegestützte SIEM-Software gestaltet Ihre Migration in die Public, Private, Hybrid oder Multi Cloud effizient und sicher – zum Beispiel mit Out-of-the-Box-Lösungen für das Cloud-Security-Monitoring.

3. Gebrauchsfertiges Compliance-Reporting ist Pflicht

Aktuelle SIEM-Lösungen unterstützen Sie dabei, Compliance-Regularien einzuhalten und Security Audits ressourcensparend zu bestehen. Dafür sorgen Out-of-the-Box-Ansätze für Compliance-Reporting, mit denen sich Incidents einfach dokumentieren und die eingesetzten Kontrollmethoden validieren lassen. Der operative Arbeitsaufwand Ihres Teams sinkt dadurch erheblich, gleichzeitig steigern Sie das Sicherheitsniveau Ihres Unternehmens.

4. Flexible Bereitstellungen für maximale Funktionalität

In modernen Systemlandschaften treffen verschiedene Anwendungen und Software-Lösungen aufeinander. Damit Sie alle Komponenten in Ihre Infrastruktur integrieren können, sind bedarfsgerechte Bereitstellungen notwendig. Ob Sie Ihr SIEM-Tool dabei stufenweise aufrüsten oder direkt auf eine Kompaktlösung zurückgreifen, bleibt Ihnen überlassen. Auch Anbieter reagieren auf die zunehmend hybriden Strukturen und stellen cloudbasierte Optionen oder Software-as-a-Service-Modelle (SaaS) ihrer jeweiligen SIEM-Plattform bereit.

5. Sichtbarkeit von Bedrohungen vom Code bis in die Cloud

Um ihren Kunden ein systemübergreifendes Sicherheitskonzept zu bieten, verfolgen viele Serviceanbieter heute DevSecOps-Ansätze inklusive Observability und Incident-Response-Funktionen. Cloudbedingt ist End-to-End-Sichtbarkeit in allen Umgebungen wichtiger denn je, z. B. um Konfigurations- und Versionsabweichungen frühzeitig aufzudecken. Isolierte Tools und Silodenken bremsen die Geschwindigkeit und Agilität Ihrer Applikationen nur aus. Stattdessen braucht es eine kohärente Datentransparenz- und -verwaltung über die gesamte Softwarelieferkette – von der Codeebene bis in die Cloud.