News | IT-Security | Künstliche Intelligenz

Was ist SIEM? Security Information & Event Management verständlich erklärt

Illustration Absmeier

Potenziell gefährliche Prozesse, Sicherheitsbedrohungen und Angriffsvektoren erkennen, noch bevor diese in einem Unternehmen wirtschaftlichen Schaden anrichten können: Das soll Security Information & Event Management (kurz: SIEM) sicherstellen – unter anderem dank fortlaufenden Echtzeit-Überprüfungen auf anomale Aktivitäten und einer entsprechenden Sicherheitsantwort der IT.

 

Warum SIEM für Unternehmen so essenziell ist?

Der englische Begriff Security Information & Event Management gibt auf die Frage »Was ist SIEM?« bereits eine konkrete Antwort: Durch die Verknüpfung von Sicherheitsinformationen, die in Echtzeit verwaltet und analysiert werden, mit vordefinierten und neuen Sicherheitsereignissen, können sich Unternehmen präventiv gegenüber dem Ernstfall, also einer digitalen Sicherheitsbedrohung, schützen.

SIEM-Tools verwenden hierfür vielmals auch Prozesse des Machine Learnings und der künstlichen Intelligenz, um Anomalien frühzeitig zu identifizieren und diese zu kategorisieren beziehungsweise zu protokollieren. Manuelle Prozesse ergänzen automatisierte Abläufe, um einen verlässlichen Schutz gegenüber einer Reihe von Angriffsvektoren zu ermöglichen. In den letzten Jahren fanden bei diesen Protokollverwaltungstools, wie sie im deutschsprachigen Raum manchmal schlicht genannt werden, aufgrund der Fortschritte im maschinellen Lernen und der künstlichen Intelligenz erhebliche Effizienz- und Leistungssteigerungen statt.

Essenziell wird SIEM gleich aus mehreren Gründen: Einerseits steigen Quantität und Qualität von IT-Sicherheitsbedrohungen aus Unternehmenssicht kontinuierlich an. Es kommt also nicht nur zu mehr Angriffen, auch werden diese durch technologische Fortschritte konsequent versierter. Gleichermaßen stehen Unternehmen in der Pflicht, unterbrechungsfrei die Vorgaben des Gesetzgebers zur Datensicherheit und Berichterstellung zu erfüllen – beides kann ein leistungsstarkes SIEM-Tools Unternehmen abnehmen.

 

Vorteile einer leistungsstarken SIEM-Suite

Die Bedrohungen, die in digitalen Welten und solchen der Informationstechnologie leider unvermeidbar sind, sind weder in der Privatwirtschaft noch auf Staatsebene unbekannt oder neu. Erst kürzlich wappnete sich die Bundesrepublik, sowohl auf Bundes- als auch Länderebene, gegen den Ernstfall eines Cyberangriffs, der die eigenen Systeme lahmlegt. Derartige fiktive Szenarien sollen sich idealerweise nie in der Realität manifestieren, obgleich es natürlich jederzeit sinnvoll ist, mit entsprechenden Konzepten auf solche Ernstfälle vorbereitet zu sein.

SIEM-Tools setzen mit ihrer Arbeit schon in einer vorherigen Phase, der der Prävention, an. In der Praxis entstehen dadurch verschiedene Vorteile:

  • Bedrohungserkennung ist stets zeitgemäß und findet immer in Echtzeit statt
  • es lässt sich fortlaufend durch die SIEM-Tools prüfen, ob aktuelle gesetzliche Rahmenbedingungen erfüllt sind
  • durch künstliche Intelligenz lassen sich SIEM-Tools stärker automatisieren, um wiederum Mitarbeiter im Unternehmen zu entlasten
  • generell führen SIEM-Tools zu einer Verbesserung des Transparenzgrades von IT-Infrastrukturen und Netzwerken

Speziell die Identifizierung und Berichterstattung über fortschrittliche Bedrohungen bildet das Herzstück von Software für Security Information & Event Management. Heutzutage sehen sich Unternehmen nicht mehr nur ausschließlich mit bereits bekannter Schadsoftware konfrontiert: Der große Bereich der IT-Sicherheit ist in diesem Kontext mehr oder minder ein ständiges Katz-und-Maus-Spiel, bei dem Cyberkriminelle neue Konzepte für Angriffe und neue Schadsoftware entwickeln, auf die Unternehmen wiederum reagieren müssen, bis die Cyber-Attacken durch ihre Bekanntheit so ineffizient wurden, dass der Entwicklungsprozess wieder von Neuem beginnt.

Die Möglichkeiten, wie Cyberkriminelle Unternehmen und Unternehmensprozesse angreifen können, häufig mit dem Ziel des Datendiebstahls, sind vielseitig:

  • Phishing-Angriffe
  • SQL-Injektionen
  • DDoS-Angriffe
  • Datenexfiltration
  • Insider-Bedrohungen
  • verschiedene genutzte Schadsoftware, von Viren, über Trojaner bis hin zu Würmern und Co.

Angriffspunkte sind dabei sowohl automatisierte Systeme als auch manuelle Eingriffe. Aus diesem Grund baut ein ganzheitliches IT-Sicherheitskonzept nicht nur auf der Softwareseite auf, sondern berücksichtigt auch Angriffe, die überhaupt erst durch menschliches Fehlverhalten erfolgreich sind.

 

Funktionen einer SIEM-Software

In ihrer Ganzheit greifen SIEM-Lösungen auf mehrere Funktionen zurück, die sich teils überschneiden beziehungsweise in Abhängigkeit zueinanderstehen.

Herzstück ist die fortlaufende Protokolldatenverwaltung: Die Software erfasst, analysiert und wertet alle innerhalb des Netzwerks stattgefundenen Prozesse unterbrechungsfrei aus. Das kann nicht nur den IT-Sicherheitsstandard in Unternehmen verbessern, ebenso könnten diese Daten Grundlage für Effizienzsteigerungsprozesse sein.

Durch die Protokollierung aller Aktivitäten, darunter auch Paketaufzeichnungen und Netzwerkflüsse, steigert sich der Transparenzgrad im Netzwerk. Schädliche Software oder beispielsweise Versuche Daten zu entwenden, fallen so weitaus früher auf und können idealerweise im Keim erstickt werden.

Parallel dazu nutzen SIEM-Tools Bedrohungsdaten, die sowohl eigens ermittelt und in das Tool gespeist werden als auch dass dafür Open-Source-Datenbanken herangezogen werden. Ziel ist, dass alle bereits bekannten IT-Bedrohungen auch dem Tool bekannt sind und dieses folglich mit seiner Echtzeitprüfung unmittelbar vor stattfindenden Angriffen warnen kann. Dafür haben diese Tools verschiedene Möglichkeiten, um Echtzeitalarme auszulösen.

Das Einhalten von IT-Vorschriften, die bekanntlich insbesondere in der Bundesrepublik Deutschland als auch auf EU-Ebene strikt sind, müssen SIEM-Tools mit ihren Funktionen ebenso sicherstellen. Dafür haben diese Tools eine Reihe von Compliance-Berichten und -Funktionen, die sowohl automatisiert als auch von menschlichen Experten im Unternehmen ausgewertet werden können.

Generell lassen sich alle diese Funktionen ebenso wie die SIEM-Software in ihrer Ganzheit in bereits bestehende Cybersecurity-Lösungen und -Prozesse integrieren. Folglich müssen und sollen SIEM-Tools andere Tools, von Firewall bis hin zu Anti-Viren-Programmen, nicht ersetzen, sondern konsequent mit diesen zusammenarbeiten, um einen ganzheitlichen und lückenlosen Schutz zu ermöglichen.

 

Effizienzsteigerungen und erhöhte Sicherheitsstandards mit SIEM

Anders als noch in den Anfangsjahren des kommerziellen Internets, ist Cyberkriminalität heute keine Randerscheinung mehr, sondern ein Milliardengeschäft. Parallel dazu wächst auch der Markt für IT-Sicherheit in den letzten Jahren mit rund 15 % jährlich. SIEM-Tools sind eine weitere Option für Unternehmen, wobei deren Stärke insbesondere in der Echtzeiterkennung, Protokollierung und Prävention liegt, während sie zugleich Effizienzgewinne durch die gesteigerte Transparenz des Netzwerks und IT-Systems erzielen können.

 

593 Artikel zu „SIEM“

NEWS | IT-SECURITY | SERVICES

Use Cases für die Cybersicherheit: Mit Auswahl und Feintuning das SIEM effizient gestalten

Use Cases sind das essenzielle Herzstück eines jeden Security Information and Event Managements (SIEM). Anhand der Use Cases werden Bedrohungen erkannt und in den Meldungen des SIEM ausgegeben. Doch eine zu hohe Anzahl oder die Auswahl der falschen Use Cases für das jeweilige Unternehmen führen häufig zu Fehlmeldungen und dazu, dass tatsächliche Bedrohungen entweder nicht…

Weiterlesen →

Zur Startseite →

← Zurück