Sicherheits-Leitstand
Sicherheits-Leitstand Die Zusammenführung der Daten der einzelnen heterogenen Netzwerkkomponenten und Sicherheitsmodule in einem einzigen Leitstand geht nicht von heute auf morgen. Entsprechende Systeme sind noch nicht ohne Macken und Lücken.
Protokolldaten produzieren IT-Systeme zuhauf. Schon klassische Firewalls liefern Dutzende, wenn nicht Hunderte von Einträgen in der Sekunde. Und die Hardwarebox »Security Monitoring, Analysis and Response System« (MARS) von Cisco kann bis zu 500 Vorfälle pro Sekunde erfassen. Die Aussage, dass die Unternehmen in Datenfluten ertrinken, ist dennoch eher ungenau. De facto werden die Datenmassen vielmehr meist ignoriert und landen auf der digitalen Müllhalde. Dabei enthält der vermeintliche digitale Müll viele Wertstoffe. Aus der geschickten Auswertung der Protokolldaten lassen sich Angriffe und sonstige Unregelmäßigkeiten im Netz herausdestillieren. Dabei werden die Protokolle der verschiedenen Sicherheitskomponenten – Firewalls, Einbruchssensoren, Virenscanner, Schwachstellenanalysatoren – in Echtzeit einbezogen. Betriebssysteme, Datenbanken und Anwendungsprogramme werden in der Regel als Datensätze in die Analyse integriert. Idealerweise wird man einen einzigen Leitstand anstreben, der einem »auf einen Blick« den Sicherheitszustand der Gesamt-IT zeigt. So weit das Ideal. De facto ist heute kaum ein Bereich der IT-Sicherheit so »autistisch« organisiert wie der des Sicherheitsmanagements. Selbst für große Hersteller wie Cisco bedarf es schon einer erheblichen organisatorischen und technischen Anstrengung, wenn die hauseigene Managementsoftware »Cisco Security Manager« und die Logdaten-Erfassungsbox MARS allein mit dem eigenen »Produktezoo« zurechtkommen soll. Von heterogenen Umgebungen ist da überhaupt noch nicht die Rede.
SIEM-Systeme noch wenig genutzt
Nun sind es aber gerade sehr unterschiedlich gestaltete Systemumgebungen, in denen ein einheitliches Sicherheitsmanagementsystem besonders viel bewirken könnte. Wir reden hier in der Möglichkeitsform, denn solche Systeme, die im Moment unter »Security Information und Event Management« (SIEM) – zuweilen auch als Enterprise Security Management (ESM) oder auch als Security Information Management (SIM) – gehandelt werden, gewinnen mit zunehmender Vielfalt der Datenquellen zwar ungeheuer viel Charme, haben derzeit aber auch noch viele Mucken und Macken. »SIEM-Systeme existieren zwar in einigen Unternehmen, werden aber noch wenig genutzt«, weiß Uwe Maurer, Senior Consultant bei Integralis. Maurer sieht bei einzelnen Anbietern »schwierige Preismodelle und erheblichen Anpassungsaufwand für den Kunden«. Trotzdem brächten diese Systeme schon heute »erhebliche Rationalisierungspotenziale«. Maurer nennt als Beispiel die Korrelationsregeln zur Erkennung von Störfällen. Hier könnten einige Zusammenhänge immer wieder verwendet werden. Für Maurer hat der Anbieter Intellitactics bei der automatisierten Korrelation einen gewissen Vorsprung im Markt, bei anderen Anbietern wie Arcsight oder Loglogic sei in diesem Punkt mehr externe Beratungsleistung vonnöten. Loglogic weise andererseits schon eine gute Integration in das Helpdesk-System Remedy ARS auf, hier habe wiederum Intellitactics noch Nachholbedarf.
Verfügbarkeit – aber von was?
Die Vorteile einer Anbindung eines Sicherheitsmanagement-Systems an ein Helpdesk-System wie beispielsweise Remedy ARS von BMC liegen auf der Hand, da beide Systeme mit Störfällen zu tun haben. Das Sicherheitsmanagementsystem ist eher auf die Erkennung solcher Vorfälle ausgelegt – teilweise aber auch schon auf deren Behebung –, für Helpdesk-Systeme ist Störfallbehandlung das »täglich Brot«. Weniger offensichtlich sind die Vorteile, die eine Anbindung des Sicherheitsmanagements an die großen System- und Servicemanagementsysteme bringt. »Durch eine solche Verbindung bekommt man eine ganz andere, und zwar positivere Sicht, auf das Geschehen im Netz«, sagt Philippe Roggeband, Sales Business Development Manager bei Cisco, und er klärt auch warum: »Die Systemmanagement-Werkzeuge signalisieren im Fall von Problemen nur die Nichtverfügbarkeit einer Netzkomponente und die dadurch verursachte zeitweilige Nichterfüllung einer Leistungsvereinbarung. Wenn die Informationen der Komponente für das Sicherheitsmanagement integriert werden, ergibt sich ein etwas anderes Bild. Man sieht dann, dass die Leistungsvereinbarungen insofern durchgesetzt werden, als in einem Havariefall Sicherheitsfragen Vorrang vor Verfügbarkeit haben. Denn eine Verfügbarkeit von Schadprogrammen kann ja nicht im Sinn der Leistungsvereinbarungen sein.«
Keine Admin-Privilegien für SIEM-Systeme? Sicherheitsmanagementsysteme müssen ein wahrheitsgetreues Bild der Unternehmenssituation im IT-Bereich liefern. Integralis-Berater Maurer warnt deshalb davor, Systemadministratoren die Möglichkeit zu geben, im Rahmen einer Privilegienhierarchie solche Systeme beeinflussen zu können. Zum Beispiel durchlöchere ein etwaiges Universal-Passwort (SSO) auf dem SIEM-System alle Sicherheitsmaßnahmen und sei deshalb strikt abzulehnen. Markus Nispel, Director Solution Architecture, beim Netzwerkanbieter Enterasys sieht das nicht ganz so eng: »Die Regelbasis ist bei unserem System je nach Admin-Zugang modifizierbar und das muss auch so sein, damit sie an die Kundenumgebung angepasst werden kann«, bemerkt Nispel. Enterasys ist mit SIM oder SIEM verhältnismäßig neu am Markt. De facto wurde das 10-GBit/s-Einbruchspräventionssystem Dragon durch entsprechende Logdaten-Auswertungen ergänzt.
Organisierte Sicherheit
Kein Produkt kann alles, aber viele Produkte können mittlerweile eine ganze Menge. Auf Benennungen sollte weniger geachtet werden als auf Inhalte. Letztlich spielt sich Sicherheitsmanagement in dem Kraftfeld von Authentisierung und Autorisierung, Netzwerksteuerung und Schwachstellenanalyse ab. Wahrscheinlich wird man in diesem Operationsfeld die Software und Hardware verschiedener Hersteller einsetzen müssen, wenn man seine Geschäftsprozesse angriffsresistent und revisionssicher machen will. Ein Management-Produkt für das genannte Kraftfeld muss diese heterogenen Elemente zusammenführen und möglichst auch in übergeordnete Systemmanagement-Werkzeuge einbinden. Was es auch immer dabei an automatischen Hilfsmitteln gibt und geben wird: Basis eines jeden Sicherheitsmanagements muss eine organisatorische Anstrengung in den Unternehmen sein. Nötig sind zentrale Vorschriften, wie an den verschiedenen Standorten Protokolldaten einheitlich erfasst und gespeichert werden. Darüber hinaus wird eine Übersicht über die vorhandenen Systeme und deren Gewichtung innerhalb der Gesamt-IT beziehungsweise der Geschäftsprozesse benötigt. Erst wenn diese Hausaufgaben erledigt sind, kann ein technisches Managementsystem überhaupt greifen. In einem solchen gut organisierten Sicherheitskontext sind dann vielleicht auch Systeme wie »Security Lighthouse« des Bremer Anbieters Ampeg einsetzbar, die datenmäßig weit weniger tief bohren, sondern sich damit begnügen, im Rahmen der unternehmensweiten Sicherheitsrichtlinien relativ oberflächennah Soll- und Istwerte zu vergleichen und dadurch ein bestimmtes Sicherheitsniveau zu garantieren. Ampeg-Geschäftsführer Peter Graf spricht denn auch von »Security Level Management«, mit dem vor allem der Führungsebene verständliche Zahlen zum IT-Sicherheitsstand des Unternehmens geliefert werden könnten. SIEM und Outsourcing Sicherheitsmanagement ist nicht zuletzt dann unabdingbar, wenn beabsichtigt wird, einige oder alle Sicherheitsfunktionen an einen externen Dienstleister zu vergeben. »Das Management sollte so konzipiert sein, dass es sich den Vorgaben von Auftraggeber und Auftragnehmer anpassen kann und selber nur wenige Vorgaben macht«, formuliert Wieland Alge, Geschäftsführer des Innsbrucker Netzwerksteuerungspezialisten Phion die Anforderungen und fügt süffisant hinzu: »Viele Hersteller von Sicherheitsprodukten, die nicht von Anfang an Sicherheit und Management miteinander eng verknüpft haben, lassen die Dienstleister mit rudimentären Systemen allein, sodass dieser das Sicherheitsmanagement mit hohem Aufwand erst einmal entsprechend erweitern muss, damit er den Auftrag überhaupt zufriedenstellend ausführen kann.« Übrigens: auch das SIEM-System allein lässt sich natürlich an einen externen Spezialisten vergeben. Freilich sollte man bei jeder Auslagerung so viel Wissen im Hause behalten, dass man mit den externen Spezialisten auf Augenhöhe sprechen kann.
- 1. Seite: Sicherheits-Leitstand
- 2. Seite: SIEM-Systeme noch wenig genutzt
- 3. Seite: Verfügbarkeit – aber von was?
- 4. Seite: Organisierte Sicherheit
» Newsletter abonnieren
Täglich aktuelle News und Hintergründe für Fachhändler, ITK-Hersteller, Distributoren und aus der Online-Welt.
» Tipp der Redaktion
Das sind die Top-Notebooks
Auf der Suche nach neuen Notebooks sieht man oft den Wald vor lauter Bäumen nicht. Unsere Kollegen von der PC Go haben daher die besten Geräte für Sie getestet.
NEC prämiert die schönste Installation
Einen Fotowettbewerb der etwas anderen Art startet NEC Display Solutions für seine Partner. Unter dem Motto »Application Picture Competition« können NEC-Partner Bilder einsenden, die NEC-Produkte im Einsatz zeigen. Für die kreativsten Fotografen winkt als Preis ein iPhone.
SAP will den Cloud-Anbieter Ariba übernehmen
Der Softwareanbieter SAP steht vor einem weiteren großen Zukauf im SaaS-Segment: Für 4,3 Milliarden Dollar wollen sich die Walldorfer den kalifornischen Beschaffungsspezialisten Ariba einverleiben und das Cloud-Geschäft auf diese Weise ausbauen.
» Bilderstrecken
» Meistgelesene News
So sexy sind Deutschlands Bäuerinnen
Vor kurzem war es wieder soweit: Die Macher des Deutschen Bauernkalenders suchten nach den schönsten Botschafterinnen für die Landwirtschaft. Die ansprechendsten Bewerberinnen kamen zum Casting nach München und Hamburg. Wir zeigen Ihnen die besten Bilder der Vorauswahlen in unserer Bilderstrecke ...
Massenentlassungen bei HP geplant
Der Rückgang der PC-Nachfrage und die Zusammenlegung von PC-und Druckersparte haben einschneidende Konsequenzen für die Mitarbeiter von HP. Es sollen laut Medienberichten 30.000 Mitarbeiter entlassen werden.