Definition

Security Information and Event Management (SIEM)

Security Information and Event Management (SIEM) ist ein Ansatz des Sicherheits-Managements, der darauf abzielt, eine ganzheitliche Sicht auf die Sicherheit der Informationstechnologie (IT) eines Unternehmens zu haben.

Dem SIEM-System liegt das Prinzip zugrunde, dass relevante Daten über die Sicherheit einer Firma an verschiedenen Stellen anfallen und es wesentlich einfacher ist, Trends und Muster zu erkennen, die vom gewohnten Schema abweichen, wenn man alle diese Daten an einer zentralen Stelle betrachten kann. SIEM fasst Funktionen von SIM (Security Information Management) und SEM (Security Event Management) in einem Security-Management-System zusammen. Wenn zum Beispiel ein potentielles Problem erkannt wird, kann eine SIEM-Lösung zusätzliche Informationen protokollieren und eine Warnmeldung erzeugen sowie andere Sicherheitslösungen zu Aktionen veranlassen.

Auf dem einfachsten Level kann ein SIEM-System auf Basis eines regelbasierten Systems oder eines statistischen Korrelationsmodells die Beziehungen zwischen Einträgen in einem Ereignisprotokoll herstellen. Weiterentwickelte Systeme beziehen die Analyse des Nutzerverhaltens ein (User Behaviour Analytics, UBA) oder auch weitergehende Analyseverfahren wie UEBA (User and Entity Behavioral Analytics). Und die Verbindung oder gar Integration von SOAR (Security Orchestration, Automation and Response) spielt eine wichtige Rolle.

Als einer der ursprünglichen Treiber des SIEM-Bereichs kann die Konformität mit PCI-DSS (Payment Card Industry Data Security Standard) gelten. Dies hat die SIEM-Einführung in großen Unternehmen voran getrieben und nach wie vor sind auch Vorschriften wie die DSGVO (Datenschutz-Grundverordnung) ein hilfreiches Argument für die Einführung entsprechende Lösungen. Aber die Besorgnis hinsichtlich moderner Bedrohungen (Advanced Persistent Threats, APT) hat auch kleinere Unternehmen dazu veranlasst, sich mit dem Thema SIEM auseinander zu setzen. Dies gilt sowohl für die SIEM-Lösungen selbst, als auch für die Möglichkeiten, die über Managed Security Service Provider (MSSPs) im Hinblick auf SIEM zur Verfügung stehen. Die Möglichkeit, alle sicherheitsbezogenen Daten aus einem einzigen Blickwinkel zu betrachten, erleichtert es Unternehmen jeglicher Größe, ungewöhnliche Muster zu erkennen.

Die meisten SIEM-Systeme arbeiten durch die Verteilung verschiedener Softwareagenten in einer hierarchischen Art und Weise, um sicherheitsrelevante Ereignisse bei Endgeräten, Servern sowie Netzwerkgeräten und sogar bei spezieller Sicherheitsinfrastruktur wie Firewalls, Virenschutz- oder Intrusion-Prevention-Systemen (IPS) zu protokollieren. Die Softwareagenten leiten Ereignisse an eine zentralisierte Managementkonsole weiter, welche diese inspiziert und Anomalien feststellt. Um dem System die Identifizierung ungewöhnlicher Ereignisse zu ermöglichen, ist es wichtig, dass der SIEM-Administrator zuerst ein Profil des Systems erstellt, wie es sich unter normalen Umständen darstellt.

Bei einigen Systemen erfolgt die Vorverarbeitung bereits an der Stelle, an der die Daten eingesammelt werden. Dies bedeutet, es werden nur bestimmte Ereignisse an die zentrale Verwaltungskonsole weitergeleitet. Auf diese Weise kann das Volumen der zu übermittelnden und zu speichernden Daten verringert werden. Dank des Einsatzes von maschinellem Lernen können Systeme Anomalien zunehmend genauer erkennen. Dennoch ist meist eine kontinuierliche Rückkoppelung mit dem Security-Team und den Analysten erforderlich.

Bei der Bewertung von SIEM-Lösungen sollte man einige wichtige Merkmale einbeziehen:

  • Die Integration mit anderen (Sicherheits)-Lösungen. Kann das SIEM-Produkt andere Sicherheitslösungen im Unternehmen veranlassen, Aktionen auszuführen, um Angriffe zu verhindern oder gar zu stoppen?
  • Künstliche Intelligenz (KI). Kann das System seine eigene Genauigkeit durch maschinelles Lernen (Machine Learning) oder Deep Learning verbessern?
  • Threat Intelligence Feeds. Lassen sich wahlfrei Bedrohungs-Feeds an das System anbinden oder muss man einen bestimmten Feed verwenden?
  • Umfassende Berichtsmöglichkeiten. Enthält das System vorgefertigte Berichtsvorlagen für die gängigen Compliance-Anforderungen und kann man einfach angepasste oder neue Berichte erstellen?
  • Forensische Fähigkeiten. Kann das System zusätzliche Informationen über Sicherheitsereignisse erfassen, die im Fall eines wirklichen Vorfalles bei der nachträglichen Betrachtung und Analyse helfen?

Wie funktioniert eigentlich eine SIEM-Lösung?

SIEM-Systeme sammeln Ereignis- und Protokolldaten von unterschiedlichsten Systemen ein. Dazu können beispielsweise folgende Kategorien gehören: Hostsysteme, Anwendungen, Sicherheitslösungen wie Antivirusprodukte oder Firewalls. Die Daten werden in der gesamten Infrastruktur eines Unternehmens eingesammelt. Die SIEM-Tools identifizieren und sortieren die Daten in Kategorien wie erfolgreiche und fehlgeschlagene Anmeldungen, Malware-Aktivitäten und andere wahrscheinlich bösartige Aktivitäten.

Werden potenzielle Sicherheitsprobleme identifiziert, generiert die SIEM-Software dann entsprechende Sicherheitswarnungen. Über vordefinierte Regeln können Admins diese Warnungen als hohe oder niedrige Priorität festlegen.

Erfolgen beispielsweise auf ein Benutzerkonto 25 fehlgeschlagene Anmeldeversuche in 25 Minuten, kann dies als verdächtig vermerkt werden. Es kann aber mit einer niedrigen Priorität versehen werden, wenn davon ausgegangen wird, dass die Anmeldeversuche wahrscheinlich von dem Benutzer unternommen wurden, der seine Anmeldedaten vergessen hat.

Ein Benutzerkonto, bei dem hingegen innerhalb von fünf Minuten 130 fehlgeschlagene Anmeldeversuche registriert werden, würde als Ereignis von hoher Priorität gekennzeichnet. Hierbei könnte es sich um einen laufenden Brute-Force-Angriff handeln.

Warum ist SIEM wichtig?

Der Einsatz einer SIEM-Lösung ist für Unternehmen von großer Bedeutung, da es das Sicherheitsmanagement massiv erleichtert. Ein SIEM-Produkt filtert die großen Mengen an Sicherheitsdaten und sortiert die generierten Sicherheitswarnungen nach Priorität.

SIEM-Software erlaubt es Organisationen, Vorfälle zu erkennen, die andernfalls möglicherweise unentdeckt geblieben wären. Die Software analysiert Protokolldaten, um Anzeichen für böswillige Aktivitäten zu entdecken. Da das System Ereignisse aus unterschiedlichsten Quellen in der IT-Umgebung einsammelt, ist es so möglich eine Zeitachse eines Angriffs zu erstellen. Über diese Informationen können Sicherheitsverantwortliche auch die Art des Angriffs und die Auswirkungen auf den Geschäftsbetrieb bestimmen.

Zudem hilft ein SIEM-System Unternehmen bei der Erfüllung von Compliance-Anforderungen. Eine SIEM-Lösung kann automatisch Berichte erstellen, die alle protokollierten Sicherheitsereignisse aus den eingebundenen Quellen enthalten. Ohne entsprechende Software müssten Unternehmen diese Protokolldaten manuell zusammentragen und die Berichte anfertigen.

Auch bei der Reaktion auf Vorfälle kann eine SIEM-Lösung hilfreiche Dienste leisten. Es wird dem Sicherheitsteam ermöglicht, den Ursprung und die Route eines Angriffs auf das Netzwerk aufzudecken. So lassen sich die Quellen identifizieren, die kompromittiert wurden. Über automatisierte Tools ist es möglich, laufende Angriffe zu stoppen oder einzugrenzen.

Was sind die Vorteile von SIEM?

Zu den Vorteilen von SIEM-Lösungen (Security Information and Event Management) gehörten folgende Punkte:

  • Die Zeit, die für die Identifizierung von Bedrohungen benötigt wird, verkürzt sich erheblich. Dadurch kann sich der durch diese Angriffe verursachte Schaden reduzieren.
  • Es wird eine ganzheitliche Sicht auf die Sicherheit einer Organisation möglich und das Sammeln und Analysieren von sicherheitsrelevanten Daten erleichtert. Alle eingesammelten Daten fließen in ein zentrales Repository, wo sie gespeichert und leicht zugänglich sind.
  • Die Anwendungsfälle von SIEM sind vielfältig und reichen von Sicherheitsüberwachung über Audit- und Compliance-Berichte, Helpdesk sowie Netzwerk-Troubleshooting.
  • SIEM-Produkte unterstützten in aller Regel große Datenmengen, so dass es kein Problem ist, wenn Unternehmen wachsen und sich vergrößern.
  • Per SIEM lassen sich Bedrohungen erkennen und Sicherheitswarnungen auslösen. Bei Sicherheitsverstößen können auch detaillierte forensische Analysen durchgeführt werden.

SIEM und die Einschränkungen

Trotz aller Vorteile, die der Einsatz einer SIEM-Lösung mit sich bringt, existieren nach wie vor einige Einschränkungen:

  • In aller Regel ist die Implementierung einer SIEM-Lösung einigermaßen aufwendig und kostet Zeit. Es ist eine erfolgreiche Integration mit den anderen Sicherheitslösungen im Unternehmen nötig, zudem müssen alle zu überwachenden Systeme ordnungsgemäß eingebunden werden.
  • Der SIEM-Einsatz kann durchaus kostspielig sein. Das kann sowohl für den Anschaffungspreis als auch die Unterhaltskosten gelten. Je nach Organisation kann es sehr komplex sein, eine SIEM-Implementierung immer auf dem aktuellen Stand zu halten.
  • Das Analysieren, Konfigurieren und Integrieren von entsprechenden SIEM-Berichten erfordern die richtigen Fachkräfte. Aus diesem Grund werden SIEM-Systeme häufig direkt einem SOC (Security Operations Center) betrieben, einer zentralen Einheit, die sich um die gesamte IT-Security eines Unternehmens kümmert.
  • Der Erfolg des Einsatzes einer SIEM-Lösung hängt unter anderem von den Regeln zur Analyse aller aufgezeichneten Daten ab. In der IT-Umgebung entstehen pro Tag eine Vielzahl an Warnmeldungen, die richtig eingeordnet werden müsse. Da es eine Vielzahl irrelevanter Meldungen gibt, ist es schwierig die potenziellen Angriffe zu identifizieren.
  • Ein falsch konfiguriertes SIEM-Tool kann wichtige Sicherheitsereignisse übersehen, was es als Sicherheitswerkzeug weniger effektiv macht.

Wie man das richtige SIEM-Produkt auswählt

Die Auswahl des passenden SIEM-Tools hängt von einer Reihe von Faktoren ab, darunter dem Budget und der Sicherheitssituation eines Unternehmens.

In jedem Fall sollten Unternehmen jedoch nach SIEM-Produkten Ausschau halten, die folgende Funktionen bieten:

  • Erstellung von Compliance-Berichten;
  • Vorfallreaktion und forensische Untersuchungsmöglichkeiten;
  • Überwachung des Zugriffs auf Datenbanken und Server;
  • Das Erkennen interner und externer Bedrohungen;
  • Echtzeitüberwachung im Hinblick auf Bedrohungen, Korrelation und Analyse über eine Vielzahl von Anwendungen und Systeme hinweg;
  • Intrusion Detection System (IDS), Intrusion Prevention System (IPS), Firewall, Ereignis-Anwendungsprotokoll und viele weitere Anwendungs- und Systemintegrationen;
  • Integrierte Threat Intelligence;
  • Die Überwachung der Nutzeraktivitäten (UAM, User Activity Monitoring), gemäß aller Datenschutzvorschriften.

Die Entwicklung von SIEM

Die SIEM-Technologie existiert ungefähr seit Mitte der 2000er-Jahre und hat sich zunächst mit der Verwaltung der Protolldaten beschäftigt. Dabei ging es um das Einsammeln der Logdaten sowie Richtlinien zur Übertragung, Analyse und Speicherung großer Mengen an Protokolldaten, die innerhalb einer IT-Umgebung erzeugt werden.

Die Analysten von Gartner haben den Begriff SIEM in dem Garnter-Bericht von 2005 geprägt: Improve IT Security with Vulnerability Management. In diesem Bericht schlugen die Analysten ein neues Sicherheitsinformationssystem vor, das auf SIM (Security Information Management) und SEM (Security Event Management) basiert.

Aufbauend auf älteren Verwaltungslösungen für Logdaten, führte SIM die Berichterstattung und die Langzeitanalyse für die Protokolldaten ein. Darüber hinaus integrierte SIM auch Bedrohungsinformationen (Threat Intelligence). SEM befasst sich mit der Identifizierung, Sammlung, Überwachung und Berichterstattung sicherheitsrelevanter Ereignisse in Software, Systemen oder IT-Infrastrukturen.

Durch die Kombination von SEM, das Protokoll- und Ereignisdaten in Echtzeit analysiert und Bedrohungsüberwachung und Vorfallreaktion bietet, mit SIM, das Protokolldaten sammelt, analysiert und darüber berichtet, schufen die Anbieter SIEM.

Die Zukunft von SIEM

Folgende Weiterentwicklungen gehören zu den Trends bei SIEM-Lösungen:

  • Verbesserte Orchestrierung. Aktuell bieten SIEM-Lösungen Unternehmen häufig eine grundlegende Workflow-Automatisierung. Da Organisationen jedoch häufig flexibel wachsen, müssen SIEM-Lösungen diesbezüglich neue Funktionen bieten. Durch den zunehmenden Einsatz von künstlicher Intelligenz und maschinellem Lernen können SIEM-Tools eine schnellere Orchestrierung bieten. So ist es schneller möglich, den verschiedenen Abteilungen eines Unternehmens das gleiche Schutzniveau zu bieten. Zudem wird die Anwendung der Sicherheitsroutinen schneller und effizienter.
  • Ein besseres Zusammenspiel mit MDR-Tools (Managed Detection and Response). Die Bedrohungen durch Angreifer und unbefugtem Zugriff nehmen weiter zu, daher ist es wichtig, dass Unternehmen einen mehrstufigen Ansatz zur Erkennung und Analyse von Sicherheitsbedrohungen umsetzen. Das IT-Team kann ein SIEM-System intern implementieren, während ein Managed Service Provider das MDR-Tool einrichtet.
  • Erweiterte Cloud-Unterstützung. Die SIEM-Anbieter verbessern die Cloud-Unterstützung im Hinblick auf Verwaltung und Überwachung. Damit werden sie der zunehmenden Cloud-Nutzung in Unternehmen gerecht.
  • SIEM und SOAR werden zusammenwachsen. SIEM und SOAR (Security Orchestration, Automation and Response) haben durchaus Gemeinsamkeiten und unterscheiden sich dennoch. SOAR ist der etwas neuere Ansatz und hebt die Analyse auf eine neue Ebene. Beide Ansätze ergänzen sich ganz hervorragend, es bleibt abzuwarten wie die jeweiligen Produkte sich aufeinander zu oder weiterentwickeln.
Diese Definition wurde zuletzt im April 2020 aktualisiert

Erfahren Sie mehr über IT-Sicherheits-Management