Was ist eigentlich ein SIEM?

G DATA Ratgeber

Wer ein komplexes Unternehmen mit einer komplexen IT betreibt, der möchte vor allem eine Sache: hohe Cybersicherheit. Um diesem Ziel näher zu kommen, setzen immer mehr Unternehmen ein SIEM-System ein. Was ein SIEM ist und welche Vorteile es bietet, lesen Sie hier.

Wofür steht SIEM?

SIEM steht für Security Information and Event Management. Es ist ein zentrales System, um je nach Konfiguration die gesamte oder ausgewählte Teile der IT-Sicherheit von Unternehmen zu überwachen. Ein SIEM sammelt ständig sensible Daten, vergleicht diese mit den Daten im „Normalbetrieb“ und erkennt bei auffälligen Abweichungen potenzielle Bedrohungen. Dieses Vorgehen ist eine Kombination aus den Konzepten SIM (Security Information Management) und SEM (Security Event Management).

Ein SIM-System (Security Information Management) speichert Log-Informationen von Betriebssystemen und IT-Security-Komponenten, wie zum Beispiel Firewalls, Intrusion-Prevention-Systemen (IPS) oder Intrusion-Detection-Systemen (IDS). Diese Log-Daten sammelt es in einer oder mehreren zentralen Datenbanken. SEM (Security Event Management) verwendet diesen Pool an gesammelten Log-Daten und korreliert sie nach festgelegten Richtlinien miteinander.

SIEM verknüpft diese Security-Informationen in einer Management Software, sodass eine zeitnahe Analyse durch einen IT-Experten möglich ist. Dank dieser Informationen können potenzielle Bedrohungen frühzeitig durch Fachpersonal erkannt und behoben werden.

Wie funktioniert SIEM?

Ein SIEM-System sammelt bei der Konfiguration definierte Daten an vorab definierten Orten. Integriert der IT-Verantwortliche klar abgesteckte Korrelations-Regeln und Richtlinien in das System, gibt es von da an vollautomatisch Warnmerldungen heraus – aber nur, wenn diese vordefinierten Parameter überschritten werden. In den meisten Fällen ist dennoch eine manuelle Analyse der potenziellen Bedrohung durch einen IT-Experten erforderlich. Je nach SIEM-Lösung unterstützen ihn dabei Tools aus den Bereichen von autonom lernenden Maschinen und der künstlichen Intelligenz. Mithilfe von Programmen, die Logfiles selbst einschätzen können und so zwischen normalen Aktivitäten und sicherheitsrelevanten Informationen unterscheiden lernen, kann eine SIEM-Software die Security in einem Unternehmen irgendwann „verstehen“. Dies ist jedoch nicht mit jeder SIEM-Lösung möglich. Zudem besteht in der "Anlernphase" ein extrem hoher Zeitaufwand durch speziell geschultes Fachpersonal, da komplexe Regeln aufgestellt werden müssen.

Je mehr Korrelations-Regeln vorab in das SIEM integiert wurden, desto sensibler reagiert es auf Unstimmigkeiten. Gibt es zum Beispiel zu einem Zeitpunkt extrem häufige Login-Versuche mit einer gehackten E-Mail-Adresse eines Mitarbeiters, kann dieses potenzielle Risiko zeitnah durch die IT-Abteilung aus den Logdaten herausgelesen und Schutzmaßnahmen eingeleitet werden.

Vorteile einer SIEM-Lösung

Ein komplexes SIEM-System im eigenen Unternehmen zu implementieren, kann bei richtiger Anwendung die IT-Sicherheit erhöhen. IT-Abteilungen werden bei der Suche nach IT-Sicherheitsrisiken im Unternehmensnetzwerk unterstützt, da SIEM-Lösungen Logfiles unterschiedlicher Quellen an zentralen Orten speichern und mögliche Gefahren anzeigen – eine zeitaufwendige Konfiguration vorausgesetzt. Auch wenn eine SIEM-Lösung nicht direkt eine entsprechende Gegenmaßnahme parat hat, gibt sie Anhaltspunkte für mögliche Sicherheitsrisiken, die durch Fachpersonal gelöst werden können.

Gerade der Diebstahl von sensiblen Daten kann zu einer erheblichen Betriebsschädigung führen – vom Reputationsschaden ganz zu schweigen. Auch bei dieser Problematik bieten SIEM-Lösungen einen entscheidenden Vorteil: Alle Überwachungen werden isoliert gespeichert und die Protokolle können im Nachgang nicht mehr verändert werden. Damit kann jedes Unternehmen beweisen, dass es sich an Datenschutzrichtlinien (wie DSGVO, BSDG, SOX) gehalten und sofort reagiert hat.

Einschränkungen einer SIEM-Lösung

Bis ein SIEM-System die IT-Sicherheit eines Unternehmens erhöht, müssen einige Hürden überwunden werden. Denn: Bevor ein SIEM-System funktioniert, muss es richtig in das IT-System des Unternehmens integriert und Richtlinien erstellt werden. Wird ein SIEM-Tool falsch konfiguriert, entstehen sogar weitere Gefahren: Es suggeriert eine "falsche Sicherheit", während es wichtige Sicherheitsereignisse übersieht. Was daher bei der ersten Konfiguration sowie dem laufenden Betrieb in jedem Fall benötigt wird, ist umfangreiches IT-Security Know-How. Speziell ausgebildetes Fachpersonal muss nicht nur dafür sorgen, dass eine SIEM-Lösung korrekt integriert ist, sondern Meldungen des Systems richtig einordnen können. Erst wenn das Personal potenzielle Angriffe aus der Vielzahl an Logdaten herauslesen und bei Gefahr passende Handlungen ableiten kann, steigt die IT-Sicherheit.

Sprengen Aufwand und Kosten die Möglichkeiten eines Unternehmens, besteht alternativ die Option, die IT-Sicherheit durch darauf spezialisierte Dienstleister überwachen zu lassen. Bei Services wie Managed EDR übernimmt der Dienstleister nicht nur die Analyse, sondern stoppt auch Cyberangriffe für den Kunden.

Fazit

Security Information and Event Management (SIEM) ist eine fortschrittliche Security-Lösung, die IT-Betrieben große Vorteile in der Erkennung und Abwehr von Cyberbedrohungen verschafft – aber auch Zeit und geschultes Personal erfordert. Auch andere Branchen machen sich diese Technik zu Recht immer häufiger zu Nutze.