mindsquare.de durchsuchen

SIEM – Security Information and Event Management

Sie brauchen einen SIEM Berater und/oder möchten, dass wir Ihnen unser Angebot in diesem Umfeld vorstellen?

Tobias Harmes
Knowhow » SAP Sicherheit » SIEM – Security Information and Event Management
 - 27. November 2019

SIEM steht für Security Information and Event Management und ist ein ganzheitlicher Ansatz aus dem Bereich IT-Sicherheit. Entsprechende Software erfasst, speichert und analysiert Logfiles und Meldungen aus den eingesetzten Systemen, um Normabweichungen und mögliche Sicherheitsvorfälle in Echtzeit zu identifizieren.

Ausführliche Definition und Einsatzzweck

SIEM ist eine Kombination aus Security Information Management (SIM) und Security Event Management (SEM).

SIM ist für die Sammlung, Speicherung und Normalisierung unterschiedlicher Log-Daten aus Anwendungen, Betriebssystemen, Hardware und IT-Security-Lösungen zuständig. Die gesammelten Daten ermöglichen es, Sicherheitsvorfälle im Nachhinein zu analysieren und forensisch zu untersuchen.

Unsere Schulung zum Thema SAP Berechtigungen und Rollenbau

In dieser SAP Berechtigungen Schulung vermitteln wir individuell auf Ihre Bedürfnisse zugeschnittenes Grundlagen Know-how zu SAP Berechtigungen und Rollenbau.

SEM sammelt und speichert ebenfalls Log-Daten aus verschiedenen Quellen, setzt diese jedoch in eine gegenseitige Beziehung. Ergibt die anschließende Analyse eine Abweichung von definierten Kriterien, schlägt SEM in Echtzeit Alarm. Auf diese Weise werden kritische Trends, außergewöhnliche Muster und Angriffe sofort sichtbar.

Visualisiert werden diese Ereignisse oftmals über Dashboards. Unternehmen können auf Basis der fundierten Informationen umgehend und zielgerichtet Gegenmaßnahmen einleiten.

Zur Erkennung auffälliger Muster nutzt die neueste Generation von Security Information and Event Management Methoden des maschinellen Lernens (Machine Learning). Hierbei erlernt eine künstliche Intelligenz den Normalzustand, um im zweiten Schritt Abweichungen eigenständig zu erkennen.

SIEM ist heute ein annähernd unverzichtbarer Baustein jeder IT-Security-Strategie. So fordert nicht nur das Bundesdatenschutzgesetz (BDSG) eine unverzügliche Reaktion auf Sicherheitsvorfälle. Auch Zertifizierungen wie ISO, SOX und Basel II formulieren entsprechende Anforderungen. Im Vordergrund steht natürlich auch das Eigeninteresse von Unternehmen und Organisationen, sensible Daten umfassend zu schützen.

Funktionsweise

Die grundlegende Idee eines Security Information and Event Managements besteht darin, alle sicherheitsrelevanten Daten in einem zentralen System zusammenzuführen. Innerhalb dieses ganzheitlichen Datenbestands ist es dann möglich, Trends und Muster zu erkennen, die auf Gefährdungen hindeuten. Datensammlung und -interpretation erfolgen hierbei in Echtzeit.

E-Book SAP Berechtigungskonzept

Wozu ein Berechtigungskonzept? Welche Elemente enthält es idealerweise & welche Tools erleichtern das Berechtigungsdesign?

Unser E-Book zum SAP Berechtigungskonzept

Wichtige Datenquellen für ein SIEM

  • Firewalls
  • Router
  • Server
  • Anwendungen
  • Active Directory
  • VPN-Gateways
  • Endgeräte
  • Intrusion-Detection-Systeme (IDS)
  • Intrusion-Prevention-Systeme (IPS)

Das Sammeln der Daten aus diesen Quellen erfolgt häufig über Software-Agenten. Diese sind rund um die Uhr im Einsatz und übernehmen auch die Datenübermittlung an eine zentrale Management-Instanz.

In dieser zentralen Station erfolgt dann die Ablage, Strukturierung, Normalisierung und Analyse der Informationen. Um die Einträge in Beziehung zu setzen und auffällige Muster zu erkennen, kommen Ansätze wie Machine Learning, KI, Regeln und Korrelationsmodelle zur Anwendung.

Integration und Betriebsmodelle

Um SIEM optimal zu nutzen, sollten die entsprechenden Tools idealerweise in die gesamte IT-Landschaft eingebunden werden. Denn insbesondere Unternehmen mit komplexen Systemlandschaften und zahlreichen Anwendungen sind anfällig für Angriffe.

Was das Betriebsmodell betrifft, stehen unterschiedliche Optionen zur Verfügung. Zunächst kann das SIEM-System lokal installiert und betrieben werden. Wichtig ist in diesem Fall, dass die Organisation über ein eigenes IT-Security-Team verfügt, dass die SIEM-Warnungen prüft und weitere Schritte einleitet. Dies muss rund um die Uhr gewährleistet sein.

Eine weitere Variante ist „Managed SIEM“. Hier wird das System zwar ebenfalls lokal gehostet, Warnmeldungen werden jedoch an externe IT-Security-Spezialisten weitergeleitet. Alternativ steht außerdem das Mietmodell „SIEM-as-a-Service“ zur Auswahl. Es handelt sich hierbei um cloudbasierte Lösungen, die sich häufig besonders schnell implementieren lassen.

Vorteile

Korrekt eingesetzt, liefert das SIEM einen Überblick über alle sicherheitsrelevanten Ereignisse in IT-Umgebungen. Es hilft Unternehmen und Organisationen außerdem dabei, Gesetzesvorgaben und Compliance-Richtlinien umzusetzen.

Ein wesentlicher Vorteil ist die Möglichkeit der Echtzeit-Reaktion auf Security Events. Doch auch im Nachhinein liefert SIEM wichtige Nachweise zu entsprechenden Ereignissen, da es Vorfälle manipulations- und revisionssicher dokumentiert. Nicht zuletzt sorgt das Security Information and Event Management für einen optimierten Einsatz personeller Ressourcen, indem es das IT-Security-Team gezielt alarmiert und Vorschläge für Maßnahmen unterbreitet. Allgemein sorgt die Automatisierung für SIEM für einen geringeren Personalbedarf.

E-Book SAP Security und Berechtigungen

Über 200 Fachartikel aus rund neun Jahren auf rund 800 Seiten - Tipps, Tricks und Tutorials mit Screenshots aus echten SAP Systemen.

Unser E-Book zum Thema SAP Security & Berechtigungen

Grenzen und Nachteile

Nicht jede SIEM-Lösung ist in der Lage, alle relevanten Datenquellen zu integrieren. Dies gilt beispielsweise für ERP-Systeme wie SAP und für hybride Infrastrukturen, die sich aus lokalen Systemen und Cloud-Komponenten zusammensetzen. Weiterhin stoßen einige SIEM-Systeme aufgrund der stetig zunehmenden Datenmengen (Big Data) an die Grenzen ihrer Leistungsfähigkeit.

Insbesondere bei SIEM-Lösungen, die auf statischen Regeln basieren, kann es darüber hinaus zu einer erhöhten Rate an Fehlalarmen kommen. Bereits kleinste Abweichungen können diese Alarme auslösen, wodurch das IT-Personal unnötig belastet wird.

Die Nachteile treffen überwiegend auf traditionelle SIEM-Lösungen zu. Im „Next Gen SIEM“, dem SIEM der neuesten Generation, bestehen entsprechende Schwachstellen kaum noch.

Typische Anwendungsfälle

Das SIEM kann verschiedene verdächtige Vorgänge in einem Netzwerk aufdecken. Versucht ein Anwender beispielsweise mehrfach vergeblich, sich bei unterschiedlichen Anwendungen anzumelden, ist dann aber plötzlich erfolgreich, kann dies auf einen kritischen Vorfall hinweisen. Auch das Einwählen in ein Netzwerk von verschiedenen Standorten via VPN innerhalb kurzer Zeit kann das Security Information and Event Management als verdächtig einstufen.

Ein SIEM fokussiert sich jedoch nicht nur auf die Analyse von Ereignissen. Zahlreiche Lösungen enthalten mittlerweile „User and Entity Behavior Analytics“ (UEBA), um das Nutzerverhalten auf Basis künstlicher Intelligenz zu überwachen. In diesem Fall erstellt das SIEM Verhaltensprofile, die unter anderem Netzwerkaktivitäten, Logins und Dateizugriffe beinhalten können. Erkennt das System beispielsweise, dass ein Anwender versucht, sensible Daten zu versenden, ist das ein Hinweis auf einen möglichen Datendiebstahl. Werden auf einem Endgerät ungewöhnliche Aktivitäten durchgeführt, kann vermutet werden, dass es gehackt wurde.

Verwandte Know-Hows

SAP Single-Sign-On (SSO) ermöglicht Benutzern den zentralen Zugriff auf alle am SSO beteiligten sowie vernetzten Systeme durch einen einzigen Log-In.
Remote-Function-Call-Schnittstellen (RFC) für die Kommunikation zwischen SAP-Systemen und einem SAP- und Nicht-SAP-System sind ein unterschätztes Sicherheitsrisiko. Abhilfe schafft unter anderem die restriktive Vergabe von RFC-Berechtigungen.
Das SAP Change Request Management umfasst und steuert alle Schritte, die für die Umsetzung von Verbesserungswünschen und Behebung von Programmfehlern im SAP-System erforderlich sind.

Passende Angebote zum Thema

Sie sind zuständig für die Informationssicherheit in Ihrem Unternehmen, beziehungsweise sind Entwickler oder Administrator und wollen Ihre SAP Systeme nach dem aktuellen Stand absichern? Sie möchten Ihre Daten und Ihre […]
Überwachen Sie die Einhaltung Ihres aufgebauten Berechtigungskonzeptes regelmäßig, um Ihr System nachhaltig sicher zu halten. Ein internes Kontrollsystem für Ihr SAP-System unterstützt dabei, indem es Abweichungen von den definierten Regelungen […]
Sie möchten mithilfe eines Penetration Tests eine kontrollierte Überprüfung des Sicherheitszustandes Ihres SAP-Systems durchführen? Sie wissen nicht genau, wie Sie einen solchen Pentest durchführen und wünschen sich professionelle Unterstützung?
Kontakt aufnehmen
Ansprechpartner
Laura Feldkamp Kundenservice