Security-Monitoring: Was SIEM, SOAR und MDR für die Cybersicherheit bedeuten

Digitales Business

Digitales Business

Datum 27.07.2022
Lesezeit 7 Min.

Security-Monitoring: Was SIEM, SOAR und MDR für die Cybersicherheit bedeuten

Das Thema Cyber-Vorfälle ist laut einer Untersuchung der Allianz-Versicherung 2022 auf Platz 1 der Geschäftsrisiken weltweit, gefolgt von (häufig hieraus resultierenden) Betriebsunterbrechungen und Naturkatastrophen. Während letztgenannte Problematik kaum direkt beeinflussbar ist, sind Firmen Cyberattacken nicht zwingend schutzlos ausgeliefert. Einen wirksamen Abwehrmechanismus zusätzlich zu den obligatorischen Firewalls und Antiviren-Programmen bieten sogenannte Managed-Detection-and-Response-Systeme (MDR-Systeme). Doch wie funktionieren sie und welche Rolle spielen in diesem Zusammenhang „Security Information and Event Management“ (SIEM) und „Security Orchestration, Automation and Responses“ (SOAR)? Das und noch mehr klärt dieser Beitrag.

Während 2020 und 2021 die Coronapandemie den Alltag vieler Unternehmen dominiert hat, rückt 2022 das Thema Cybersicherheit wieder verstärkt in den Fokus. Kein Wunder: Ganze Gruppen von Hacker:innen bieten inzwischen mehr oder weniger unverhohlen sogar „Ransomware-as-a-Service”, also Schadsoftware aus der Cloud gegen Entgelt an und verstärken so den Druck auf Unternehmen.

Waren Sie schon einmal mit Lösegeldforderungen, Datenverlust oder Systemausfällen aufgrund von Cyberattacken konfrontiert? Dann kennen Sie vermutlich die enorme Rücksichtslosigkeit, mit der Cyber-Kriminelle heute Sicherheitslücken ausnutzen und Systeme mutwillig lahmlegen oder beschädigen. Eine wirksame Gegenmaßnahme führt über ManagedSecurity-Monitoring. Hierbei überwachen IT-Security-Analyst:innen den gesamten eingehenden und ausgehenden Netzwerkverkehr eines Unternehmens fortlaufend und suchen nach Auffälligkeiten. Im Fall der Fälle hilft eine schnelle Reaktion häufig, Schlimmeres zu verhindern.

 

Video: YouTube / Vodafone Deutschland

 

Was ist Security-Monitoring und warum ist es so wichtig?

Security Monitoring bezeichnet die kontinuierliche Überwachung der Sicherheit von IT-Systemen. Ziel ist das Erkennen von Anomalien und verdächtigen Vorgängen, die Hinweis auf eine Cyberattacke sein können.

Seit dem Beginn des Internetzeitalters und mit immer mehr vernetzten Computersystemen ist die Zahl der möglichen Bedrohungen aus dem Internet kontinuierlich mitgewachsen. Mit der Zeit griffen nicht nur Hacker:innen immer raffinierter an – auch das Ausmaß der möglichen und tatsächlichen Schäden wächst bis heute. Zu den häufigsten Herausforderungen zählen laut einer Untersuchung der US-amerikanischen Marktforscher IDC derzeit:

  • Erhöhte Komplexität der Sicherheitsanforderungen
  • Immer mehr Ransomware-/Malware-Attacken
  • Phishing-Versuche
  • Advanced-Persistent-Threats (APT)

 

Ausklappbare Informationsgrafik

Zu den größten Bedrohungen im IT-Umfeld zählten 2021 Sicherheitskomplexität, Ransomware-Attacken und Phishing.

 

Gerade die im Fall der Fälle überaus unangenehmen Lösegeldforderungen bei Ransomware-Angriffen verdeutlichen die Bedeutung eines wirksamen Security-Monitorings: Laut einer Analyse der britischen Security-Spezialisten von Sophos haben Unternehmen 2021 im Schnitt ganze 1,85 Millionen US-Dollar pro Vorfall aufgewendet, um die Schäden von Cyberattacken zu beheben. Demgegenüber scheint die durchschnittlich gezahlte Lösegeldsumme mit im Schnitt knapp 200.000 US-Dollar vergleichsweise gering zu sein – kann aber ebenfalls siebenstellige Werte erreichen Außerdem sind immer mehr Cyberattacken erfolgreich, finden organisiert statt und beschränken sich nicht auf den reinen Versuch der Systemübernahme (Stichwort „Ransomware as a Service”). Die durchschnittliche Zeit bis zur Wiederaufnahme des regulären Serverbetriebs betrug laut einer Studie des Cybersecurity-Unternehmens Coveware ab dem Zeitpunkt des Angriffs im Schnitt 21 Tage.

Hierbei gilt: Je früher Unternehmen die Bedrohung erkennen, umso eher können sie Gegenmaßnahmen ergreifen. Das reduziert im Fall der Fälle zum einen die Ausfallzeit der betroffenen Systeme, senkt aber gleichzeitig auch die mit dem Angriff verbundenen Kosten – laut einer IBM-Untersuchung um bis zu 30 Prozent.

Wer nun glaubt, solche Attacken beträfen vor allem Großunternehmen, Regierungs-Webseiten und Behörden, der irrt. Laut Bitkom haben insbesondere Angriffe auf Unternehmen mit 10-99 Mitarbeitenden von 2017 auf 2021 von 52 auf 88 Prozent zugenommen. Ein Grund hierfür: Gerade kleine(re) Unternehmen verfügen oftmals weder über die Zeit, noch über die personellen Ressourcen oder die Expertise, um sich mit den immer ausgefeilteren Attacken von außen zu beschäftigen und ein wirklich sicheres internes Firmennetzwerk einzurichten.

 

Ausklappbare Informationsgrafik

Cyberangriffe haben bei 86 Prozent der von Bitkom befragten Unternehmen im vergangenen Jahr Schäden angerichtet.

 

Wie funktioniert Security-Monitoring?

Es kommt nicht selten vor, dass Geschäftspartner:innen oder Endkund:innen und nicht die hauseigene IT-Abteilung Unternehmen auf ein vorhandenes Sicherheitsproblem hinweisen. Das ist beispielsweise dann der Fall, wenn ein unzureichend geschütztes Unternehmen plötzlich anfängt, E-Mails mit verdächtigen Dateianhängen zu verschicken.

Doch diese Art von „Security-Monitoring” ist nicht sinnvoll – nicht nur hinsichtlich des möglichen Imageschadens. Abgesehen davon, dass es in einem solchen Fall oft schon „zu spät“ ist und beispielsweise wertvolle Daten des Unternehmens sowie von Kund:innen und Geschäftspartner:innen längst in fremde Hände gelangt sein können. Besser also, wenn eine vertrauenswürdige Stelle das Unternehmen fortlaufend auf mögliche Schwachstellen untersucht und dessen Schnittstellen überwacht.

Hier kommt das sogenannte Security-Monitoring ins Spiel: Es stellt Cybersicherheit nicht nur von innen heraus über Firewalls, Virenscanner und Policy-Vereinbarungen sicher, sondern auch durch Beobachtung und Testen auf Schwachstellen „von außen“. Insbesondere letzteres Vorgehen – auch als „friendly hacking“ bekannt – weist Unternehmen auf Sicherheitslücken hin, bevor Cyber-Kriminelle diese ausnutzen. Insofern gibt es verschiedene Komponenten des Security-Monitorings, die grundsätzlich voneinander unabhängig arbeiten, jedoch miteinander Daten austauschen.

Video: YouTube / Dr. Michael Gorski – IT-Security

 

Ein Security-Operations-Center (SOC) betreibt und steuert üblicherweise ein solches Security-Monitoring-System. Dessen Hauptaufgabe besteht darin, eine Datenbank mit bekannten und neuen Bedrohungen zu pflegen – die so genannte SIEM-Datenbank, zu der Sie weiter unten mehr erfahren. Außerdem muss das SOC Maßnahmen zur Abwehr von Cyberangriffen in die Wege leiten. Durch sogenannte Korrelation, also die Feststellung von Zusammenhängen zwischen auffälligen Aktivitäten, identifiziert das SOC fortlaufend typische Angriffsmuster und kann somit mögliche Attacken zeitnah abwehren.

Im Idealfall beeinträchtigt der Angriff den Geschäftsbetrieb des Unternehmens nicht oder nur geringfügig. Ähnliches gilt bei Fehlalarmen, wie sie in herkömmlichen Security-Umgebungen häufig vorkommen: Anstatt beispielsweise einen Webshop vorübergehend umzuleiten oder gar abzuschalten, weil ein:e Kund:in mehrfach das Passwort falsch eingegeben hat, stuft das SOC den speziellen Fall nach eingehender und manueller Prüfung vielleicht als nicht verdächtig ein und ergreift keine weiteren Maßnahmen. Dazu ist es allerdings notwendig, den gesamten Kontext des Vorgangs zu betrachten. Das ist nur mithilfe detaillierter Informationen zu den internen und externen Prozessen sowie zu den IT-Strukturen möglich.

Diese Rund-um-die-Uhr-Aufgabe des Cyber-Security-Monitoring ist etwas für Cyber-Spezialist:innen und zumindest bei kleinen und mittelgroßen Unternehmen nicht für die hausinterne IT-Abteilung. Dazu ist die Bedrohungslage zu dynamisch und die Anforderungen an die Cybersicherheit sind zu komplex.

 

Vodafone mobile Security

Vodafone mobile Security

Ransomware, Phishing, Smishing oder APT-Angriffe: Die möglichen Bedrohungen im IT-Umfeld sind sowohl was mobile als auch stationäre Geräte angeht, nicht zu unterschätzen.

Unser vierteljährlich erscheinendes eBook „Cyber Insights” liefert Ihnen alle neuesten Erkenntnisse und Innovationen zum Thema mobile Sicherheit.

 

Die Rolle von SIEM bei Cyber-Bedrohungen

Wann immer von einem professionellen Security-Monitoring die Rede ist, taucht früher oder später der Begriff „SIEM” auf. Dabei handelt es sich um die Abkürzung für den englischen Begriff „Security Information and Event Management“, übersetzt in etwa „Sicherheitsinformations- und Ereignisverwaltung“.

Gemeint ist ein Ansatz im Security-Monitoring, der eine ganzheitliche Sicht auf die IT-Sicherheit in einem Unternehmen bietet. Eine wesentliche Aufgabe des SIEM ist es, sicherheitsrelevante Informationen aus verschiedenen Quellen zusammenzutragen, diese miteinander in Verbindung zu bringen und mögliche Cyber-Gefahren zeitnah zu erkennen. Als regelbasiertes System, meist unterstützt durch statistische Korrelationsmodelle, stellt das SIEM mögliche Verbindungen zwischen Ereignissen in Ereignisprotokollen her.

Dabei werden auch Analysen des typischen Nutzungsverhaltens durchgeführt, die teils sogar hierbei typisches Systemverhalten mit einbeziehen. Ein Beispiel für eine solche kontextbezogene Beurteilung ist ein Ticketshop, bei dem es kurz nach Vorverkaufsstart für ein Konzert mit hoher Nachfrage naturgemäß vorübergehend zu einer hohen Auslastung kommt. Dass dabei Kund:innen häufiger die Seite neu laden, weil der Ladevorgang länger dauert und das Buchungssystem an seine Grenzen gerät, ist in einem solchen Fall erwartbar. Anders verhält es sich, wenn eine solche Situation „aus dem Nichts“ heraus auftritt: Dann ist möglicherweise eine DDoS-Attacke die Ursache.

Eine besondere Bedeutung haben SIEM-Systeme erstmals im Zusammenhang mit Kreditkartenbetrug und der Datenschutzgrundverordnung (DSGVO) erhalten. Früher waren Cyberattacken häufig Einzelfälle und die Compliance-Anforderungen für Unternehmen überschaubar(er). Heutzutage hingegen ist ein umfassendes, wirksames Sicherheitsmanagement wesentliche Voraussetzung für den dauerhaften wirtschaftlichen Erfolg von (Online-)Unternehmen.

Bis vor einigen Jahren standen das „Security Information Management“ (SIM) und „Security Event Management“ (SEM) separat voneinander als eigene Konzepte zur Echtzeitanalyse von Sicherheitsrisiken bereit. Sie beziehen bis heute ihre wesentlichen Informationen aus den Anwendungen und den Netzwerkkomponenten, arbeiten aber inzwischen zusammen als Basis für intelligente Entscheidungen zu möglichen IT-Sicherheitsvorfällen. Das erwähnte SIEM ist somit auch begrifflich eine Kombination aus SIM und SEM.

Zu den wesentlichen Aufgaben eines mittlerweile meist cloudbasierten SIEM gehören:

  • Sammlung, Analyse und Darstellung von Netzwerk- und Sicherheitskomponenten
  • Dokumentation des bisherigen oder gewünschten Umgangs mit Sicherheitslücken
  • Speicherung von Logdateien für Betriebssysteme, Datenbanken und Anwendungen
  • Erkennung und Beurteilung von externen Gefahren für die Cybersicherheit
  • Echtzeit-Systemanalyse mit dem Ziel der sofortigen Gefahrenabwehr

Ganzheitliche Lösungen wie das Security-Monitoring von Accenture, die auch die manuelle Analyse möglicher Bedrohungen einbeziehen, beinhalten dabei immer auch mindestens ein SIEM-Konzept. Ein kommerzielles SIEM-System, das mehrere Kund:innen gleichzeitig versorgt, ist proprietären Lösungen allein schon wegen der größeren Datenbasis deutlich überlegen. Die Kombination aus einem SOC und SIEM durch einen Drittanbieter wird auch als „Managed Detection and Response“ (MDR) bezeichnet. Frei übersetzt bedeutet dies in etwa „Verwaltete Erkennung und Abwehr“ (von Cyber-Bedrohungen).

Weitere Vorteile von SIEM und einer MDR-Lösung sind:

  • Aufgrund von kürzeren Reaktionszeiten können Sie Ausfälle vermeiden und mögliche Schäden begrenzen. Ein zentrales Repository (verwaltetes Verzeichnis) ermöglicht Ihnen eine ganzheitliche Sicht auf die Organisation. Das Sammeln und Analysieren sicherheitsrelevanter Daten ist zudem einfacher.
  • Sie erhalten ein breites Anwendungsfeld auch für Compliance-Anforderungen, Audits und Netzwerkoptimierung.
  • Es gibt die Möglichkeit zur forensischen Analyse vergangener Bedrohungen oder Falschmeldungen und deren Ursachen.
  • Ihre IT-Mitarbeiter:innen können sich auf andere Bereiche in Ihrem Unternehmen konzentrieren, wenn ein MDR-Anbieter sich um Ihre Cybersecurity kümmert.
  • Ein Expert:innen-Team schützt Ihre Unternehmen rund um die Uhr gegen Bedrohungen durch Cyberkriminelle.
  • Der Einsatz externer MDR-Anbieter mag auf den ersten Blick mehr Geld kosten. Warum Sie jedoch tatsächlich Geld einsparen, lesen Sie im folgenden Abschnitt.

Zu den möglichen Herausforderungen im SIEM-Umfeld gehören:

  • Eine eigene SIEM-Umgebung aufzubauen und zu betreiben, kostet unternehmerische Ressourcen und erfordert entsprechendes Know-how. Doch externe Anbieter bringen diese Fähigkeiten bereits mit und setzen sie ohne Verzögerung ein. Dies kann Ihrem Unternehmen Kosten sparen. Teure Schulungen, die Anschaffung neuer Hard- und Software sowie zusätzliche Personalkosten entfallen.
  • Der Erfolg der SIEM-Lösung hängt vor allem von der Qualität der aufgestellten Regeln ab. Es ist mitunter schwierig, hier stets auf dem neuesten Stand zu bleiben und Bedrohungen rechtzeitig zu erkennen. Auch hier unterstützen Sie externe MDR-Anbieter wie Accenture.

Eine Managed-Detection-and-Response-Lösung wie die von Accenture ist hierbei in der Lage, beide Schwierigkeiten geeignet zu adressieren und Unternehmen optimal zu schützen.

 

Die Leistungen des digitalen Sicherheitspakets von Vodafone und Accenture

Safety first! Das digitale Sicherheitspaket gegen Cyberangriffe

 

So entlastet SOAR-Automation beim MDR-Security-Monitoring die Arbeit des CSIRT

Weitergehende SIEM-Konzepte unter Beteiligung von künstlicher Intelligenz und Big-Data-Analysen bezeichnen Expert:innen auch als „Security Orchestration, Automation and Responses“ (SOAR). Mehr dazu erfahren Sie weiter unten in diesem Artikel. Wie bereits erwähnt, ist eine der wesentlichen Herausforderungen im SIEM – wie bei anderen Sicherheitsmechanismen auch – die korrekte Einstufung möglicher Bedrohungen: Gibt es zu viele falsch-positive Treffer, wird unnötig Alarm geschlagen.

Im umgekehrten Fall hingegen erkennt das IT-Security-System Attacken nicht oder nicht rechtzeitig als solche – und ist im schlimmsten Fall wirkungslos. Aus diesem Grund werden SIEMs fast immer durch entsprechende Krisenteams unterstützt, die im Fall der Fälle genau wissen, was zu tun ist. Diese werden auch als Computer Security Incident Response Team (CSIRT) bezeichnet und arbeiten meist bei einem entsprechenden MDR-Dienstleister.

Dabei bedienen sich CSIRT immer mehr der erwähnten SOAR-Systeme. Diese Systeme bieten eine intelligente, cloudbasierte und meist auch KI-gestützte Analyse und Bewertung von Netzwerkereignissen, beispielsweise die Erkennung von Spyware. Sie leisten dabei wertvolle Filterarbeit für die Unterscheidung von gewöhnlichem und „schädlichem“ Traffic. Darüber hinaus können sie sogar mögliche Attacken unter bestimmten Voraussetzungen automatisch abwehren.

Hierbei kommen sogenannte Threat-Intelligence- und Incident-Response-Plattformen zum Einsatz. Diese beinhalten wertvolle Daten über vorangegangene Attacken und Informationen darüber, welche Maßnahmen bei diesen in der Vergangenheit eine wirksame Abwehr ermöglicht haben. So „lernt“ das SOAR-System, was als Bedrohung gilt und was nicht und stellt sich auf alle möglichen Arten von Cyber-Bedrohungen ein.

 

Ausklappbare Informationsgrafik

Eine MDR-Lösung bietet gegenüber einem Standalone-SIEM eine Reihe von Vorteilen.

 

Durch diese Entlastung hat das CSIRT mehr Zeit, um sich auf wirklich neuartige Bedrohungen und die Abwehr besonderer Cyberattacken zu konzentrieren, mit denen das SOAR bislang nicht zurechtkommt. Gleichzeitig stellt das System sicher, dass sämtliche Sicherheitsbedrohungen aus verschiedenen Quellen an einer zentralen Stelle im SOC bewertet und neue Erkenntnisse umgehend genutzt werden können.

 

Warum Unternehmen intelligentes Security-Monitoring benötigen

Das Potenzial an möglichen Cyber-Bedrohungen ist riesig. Dabei wird das Hauptproblem des finanziellen Risikos durch Betriebsunterbrechung, Umsatzausfall und IT-Forensik oder Ersatzbeschaffung durch die Gefahr der Rufschädigung bei längeren Ausfällen oder Datendiebstahl zusätzlich noch verschärft. Trotzdem ergreifen viele Unternehmen bis heute nur minimale Sicherheitsmaßnahmen und öffnen so Kriminellen Tür und Tor für ihre Machenschaften.

Kaum ein Unternehmen, das bereits Opfer einer Cyberattacke geworden ist, verlässt sich anschließend nur noch auf die hauseigene Firewall oder andere isolierte Systeme der IT-Sicherheit. Es ist also mehr als lohnend, die Gefahr durch Cyber-Kriminelle auf ein Minimum zu reduzieren.

Vodafone Cyber Security Services

Vodafone Cyber Security Services

Immer mehr DDoS-Attacken, professionelle Hacker-Angriffe, hohe Compliance-Anforderungen: Nie war es wichtiger, Ihre Infrastruktur vor Risiken zu schützen. Dank der Vodafone Cyber Security-Elemente können Sie Ihre Cloud umfassend absichern: von DDoS-Mitigation über Managed Firewall bis hin zum Schutz der physikalischen Komponenten.

Mehr Sicherheit für Ihr Unternehmen: Wir beraten Sie gern über die passenden Cyber Security-Lösungen.

 

Eine gut durchdachte Sicherheitsstrategie und die sinnvolle Kombination mehrerer Cyber-Abwehrmechanismen hilft bereits in vielen Fällen, Angriffe zeitnah zu erkennen. Der MDR-Ansatz wiederum sorgt durch intelligente, lernende Systeme und manuelle Unterstützung im Idealfall dafür, dass Angriffe gar nicht erst stattfinden können. Dabei ist es wichtig, nicht nur bestimmte, sondern alle möglichen Bedrohungen in das Security-Monitoring-Konzept einzubeziehen. Auch der Faktor Mensch spielt hier eine wichtige Rolle. Nicht zuletzt finden immer wieder auch Angriffe auf Unternehmen „von innen heraus“ statt.

Laut einer Studie der Unternehmensberatung ESG fehlt 34 Prozent aller Unternehmen das nötige Personal, um im Falle eines Angriffs die Ursachen und den Ablauf der Attacke analysieren zu können. Unternehmen, die sich hierbei auf Partner wie Vodafone und Accenture verlassen, sind klar im Vorteil und für alle Eventualitäten optimal gerüstet. Denn selbst, wenn herkömmliche Sicherheitssysteme den Super-GAU mit Datenverlust, Systemausfällen und Millionenschäden verhindern: Auch eine Lösegeldforderung im sechsstelligen Bereich ist verglichen mit den laufenden Kosten für ein funktionierendes Security-Monitoring-System sehr teuer. Von dem damit verbundenen Ärger und den zu erwartenden Ausfallzeiten einmal ganz abgesehen.


Dr. Frank Sauer berät unter anderem das deutsche Verteidigungsministerium in Sicherheitsfragen. In Zeiten von künstlicher Intelligenz, automatisierten Entscheidungen und wachsenden Bedrohungen aus dem Cyberspace rückt das Thema Sicherheit immer mehr in den Fokus. In seinem Podcast „Sicherheitshalber” diskutiert Sauer mit drei weiteren Nerds sozusagen „am Küchentisch” aktuelle, hochkomplexe Themen in verständlicher Form.

Welche ethischen, rechtlichen und menschlichen Fragen dabei für Wissenschaft und Gesellschaft heute aufgeworfen werden und welche möglichen Antworten es gibt, erfahren Sie in Folge 153 des Podcasts „Digitale Vorreiter:innen” mit Christoph Burseg:

 

Welches Security-Monitoring-Konzept besitzt Ihr Unternehmen? Wir sind gespannt auf Ihren Kommentar.

 


Ihre Digitalisierungs-Berater:innen für den Mittelstand

Sie haben Fragen zur Digitalisierung? Unser Expert:innen-Team hilft Ihnen kostenlos
und unverbindlich im Chat (Mo.-Fr. 8-20 Uhr). Oder am Telefon unter 0800 5054512

Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Facebook Twitter WhatsApp LinkedIn Xing E-Mail