Wer ein komplexes Unternehmen mit einer komplexen IT betreibt, der möchte vor allem eine Sache: hohe Cybersicherheit. Um diesem Ziel näher zu kommen, setzen immer mehr Unternehmen ein SIEM-System ein. Was ein SIEM ist und welche Vorteile es bietet, lesen Sie hier.
SIEM steht für Security Information and Event Management. Es ist ein zentrales System, um je nach Konfiguration die gesamte oder ausgewählte Teile der IT-Sicherheit von Unternehmen zu überwachen. Ein SIEM sammelt ständig sensible Daten, vergleicht diese mit den Daten im „Normalbetrieb“ und erkennt bei auffälligen Abweichungen potenzielle Bedrohungen. Dieses Vorgehen ist eine Kombination aus den Konzepten SIM (Security Information Management) und SEM (Security Event Management).
Ein SIM-System (Security Information Management) speichert Log-Informationen von Betriebssystemen und IT-Security-Komponenten, wie zum Beispiel Firewalls, Intrusion-Prevention-Systemen (IPS) oder Intrusion-Detection-Systemen (IDS). Diese Log-Daten sammelt es in einer oder mehreren zentralen Datenbanken. SEM (Security Event Management) verwendet diesen Pool an gesammelten Log-Daten und korreliert sie nach festgelegten Richtlinien miteinander.
SIEM verknüpft diese Security-Informationen in einer Management Software, sodass eine zeitnahe Analyse durch einen IT-Experten möglich ist. Dank dieser Informationen können potenzielle Bedrohungen frühzeitig durch Fachpersonal erkannt und behoben werden.
Ein SIEM-System sammelt bei der Konfiguration definierte Daten an vorab definierten Orten. Integriert der IT-Verantwortliche klar abgesteckte Korrelations-Regeln und Richtlinien in das System, gibt es von da an vollautomatisch Warnmerldungen heraus – aber nur, wenn diese vordefinierten Parameter überschritten werden. In den meisten Fällen ist dennoch eine manuelle Analyse der potenziellen Bedrohung durch einen IT-Experten erforderlich. Je nach SIEM-Lösung unterstützen ihn dabei Tools aus den Bereichen von autonom lernenden Maschinen und der künstlichen Intelligenz. Mithilfe von Programmen, die Logfiles selbst einschätzen können und so zwischen normalen Aktivitäten und sicherheitsrelevanten Informationen unterscheiden lernen, kann eine SIEM-Software die Security in einem Unternehmen irgendwann „verstehen“. Dies ist jedoch nicht mit jeder SIEM-Lösung möglich. Zudem besteht in der "Anlernphase" ein extrem hoher Zeitaufwand durch speziell geschultes Fachpersonal, da komplexe Regeln aufgestellt werden müssen.
Je mehr Korrelations-Regeln vorab in das SIEM integiert wurden, desto sensibler reagiert es auf Unstimmigkeiten. Gibt es zum Beispiel zu einem Zeitpunkt extrem häufige Login-Versuche mit einer gehackten E-Mail-Adresse eines Mitarbeiters, kann dieses potenzielle Risiko zeitnah durch die IT-Abteilung aus den Logdaten herausgelesen und Schutzmaßnahmen eingeleitet werden.
Security Information and Event Management (SIEM) ist eine fortschrittliche Security-Lösung, die IT-Betrieben große Vorteile in der Erkennung und Abwehr von Cyberbedrohungen verschafft – aber auch Zeit und geschultes Personal erfordert. Auch andere Branchen machen sich diese Technik zu Recht immer häufiger zu Nutze.