Startseite > Automation > Security Intelligence als Mittel gegen Datensicherheits-Risiken

TÜV Rheinland

Security Intelligence als Mittel gegen Datensicherheits-Risiken

25. Juli 2016, 11:18 Uhr | Von Thomas Mörwald, Experte für Informationssicherheit bei TÜV Rheinland

▶ Diesen Artikel anhören

Fortsetzung des Artikels von Teil 2

Personal und Prozesse sind kritische Faktoren

Um das volle Potenzial eines SIEM auszuschöpfen, empfiehlt sich die Kopplung mit weiteren Bausteinen der Unternehmensführung – einer Governance-, Risk- and Compliance-Lösung (GRC). Kritische Systeme lassen sich auf diese Weise schneller an das SIEM anschließen und konsequenter überwachen. Während das SIEM die GRC-Informationen zur Priorisierung von Bedrohungen nutzt, liefert das GRC im Gegenzug den Entscheidern aus Management und IT über SIEM-Reports aktuelle Informationen zum IT-Sicherheitszustand des Unternehmens und eine relevante Entscheidungsgrundlage zur aktiven Steuerung der gegenwärtigen Risiken.

Unternehmen, die eine wirksame Security Intelligence betreiben wollen, sollten sich nicht nur auf die technische Lösung des SIEM konzentrieren. Wichtig für eine erfolgreiche Umsetzung sind auch Personal und die Definition von Prozessen. Spezialisten, die die gelieferten Informationen aus dem SIEM auf ihre Kritikalität analysieren und qualifizieren können, sind unentbehrlich. Steht das Know-how dafür intern nicht zur Verfügung, empfiehlt sich Expertise von außerhalb.

Um im Ernstfall, also bei Entdeckung eines Cyber-Angriffs, handlungsfähig zu sein und den Fortgang des Betriebs zu sichern, muss das Unternehmen im Vorfeld Eskalationsstufen, Prozesse und Schnittstellen zu allen relevanten Abteilungen bestimmen. Mindest-Schnittstellen im Rahmen einer SIEM-Einführung sind die Verzahnung mit den Fachbereichen und der direkte Zugang zur Rechtsabteilung, – falls es notwendig wird, die Gerichtsverwertbarkeit eines Vorfalls sicherzustellen.

Was oft außer Acht gelassen wird: Bei der Einführung eines SIEM übernehmen Unternehmen zunächst eine Vollkonfiguration bzw. die Regeln des Herstellers. Diese sind zu 90 Prozent generisch, wodurch das System möglicherweise eine 90-prozentige False-Positive-Rate produziert. Ein hohes Grundrauschen kann aber einen Vertrauensverlust in die Meldungen erzeugen, der sich mit einem zielgerichteten Customizing jedoch verhindern lässt. Am besten wäre es, das serienmäßige Regelwerk zu Beginn komplett abzuschalten und dann – den Gegebenheiten in der Organisation entsprechend – schrittweise zu aktivieren. Eine weitere Voraussetzung, überflüssige Datenmengen zu vermeiden, ist, bei der Konfiguration wichtige von unwichtigen Systemen sowie kritische von unkritischen Zonen zu unterscheiden. So wird das SIEM nur dort eingesetzt, wo es tatsächlich sinnvoll ist.