Warum SIEM allein nicht ausreicht, um Cyberangriffe zu erkennen
Mächtige SIEM-Lösungen (Security Information and Event Management) warnen Unternehmen, wenn in ihren Netzwerken Verdächtiges passiert. Potenzielle Angriffe lassen sich damit frühzeitig erkennen. Das sorgt für deutlich mehr Sicherheit im Betrieb. Aber der Einsatz der Security-Lösung hat auch seine Tücken.
Ransomware und andere Schad-Software, Diebstahl geschäftskritischer Daten: Fast die Hälfte aller Unternehmen in Deutschland erlebte laut Statista 2022 eine Cyberattacke. Trotzdem ergreifen fast zwei Drittel aller kleinen und mittleren Unternehmen in Deutschland (KMU) keinerlei Maßnahmen, um Angriffe zu erkennen – und das, obwohl Attacken aus dem Netz zunehmen. Das ist ein Ergebnis des DsiN-Praxisreports 2022. Sicherheitsrelevante Vorfälle führten demnach bei 75 Prozent der angegriffenen Firmen zu Schäden oder erheblichem Aufwand.
Netzwerke bieten viele Einfallstore, zugleich setzen Cyberkriminelle immer neue einfallsreiche Methoden ein, um sich Zutritt zu verschaffen. Unternehmen müssen darum potenzielle Bedrohungen frühzeitig erkennen und akute Gefahren umgehend und effektiv abwehren. Das ist nur möglich, wenn sie wissen, was im eigenen Netzwerk passiert. Mächtige Security-Management-Systeme verschaffen einen umfassenden Überblick.
Wie ein SIEM-System verdächtige Muster im Netzwerk aufspürt
SIEM-Lösungen überwachen ein Netzwerk kontinuierlich. Dabei sammeln sie in Echtzeit sämtliche für IT-Security relevanten Daten aus unterschiedlichen Quellen. Das sind zum Beispiel Logfiles von Firewalls, Daten- und Mailservern, Netzwerkknoten, Endpoints, Anwendungen oder auch Intrusion Detection Systemen (IDS).
Ein SIEM-System visualisiert die Daten anschließend in einem zentralen Dashboard. In der Regel wird es diese zudem auswerten und korrelieren. Die Software spürt mithilfe von Maschinellem Lernen automatisch ungewöhnliche Muster wie auffällige Anmeldeversuche auf. Unter anderem vergleicht sie dazu Daten mit vorherigen Angriffen und aufgezeichneten Informationen. Bei erkannten Unregelmäßigkeiten versendet sie Alarmmeldungen.
IT-Security-Teams werden somit zeitig auf potenzielle Sicherheitsvorfälle aufmerksam gemacht. Sie entscheiden dann, wie auf den Vorfall reagiert werden soll (Incident Response). Um Angriffe abzuwehren, sind zwar in der Regel andere Tools nötig, doch lässt sich die Mean Time To Detect (MTTD) mithilfe einer SIEM-Lösung deutlich reduzieren.
Unternehmen können in die Überwachung mit einem SIEM-System auch schrittweise einsteigen: Zu Beginn binden sie beispielsweise die wichtigsten Prozesse und geschäftskritische Anwendungen an, so wie Firewall, E-Mail-System und Active Directory, um die Lösung dann später zu erweitern.
Die Fallstricke beim Einsatz einer SIEM-Lösung
Allerdings können sich Firmen nicht beruhigt zurücklehnen, nur weil sie ein SIEM-System im Einsatz haben, denn der Einsatz dieser Sicherheitslösung ist mit einer Reihe von Herausforderungen verbunden: Gerade in kleinen und mittleren Firmen fehlt häufig IT-Personal. Fast 75 Prozent der deutschen Unternehmen klagen laut Bitkom über fehlende IT-Fachkräfte. Damit die SIEM-Software wirkungsvoll arbeiten kann, sind jedoch Security-Experten erforderlich, die Alarme auswerten können und herausfinden, was dahintersteckt.
Aber selbst wenn ausreichend Sicherheitsanalysten im Einsatz sind: Häufig sind sie mit der Aufgabe, die Flut an Daten und Meldungen des SIEM zu sichten, überfordert. Ein Teil davon sind False-Positive-Alarme, denn nicht alle Warnmeldungen sind tatsächlich relevant: Die Sicherheitslösung kann Anomalien zwar entdecken, weiß aber nicht, inwieweit sie tatsächlich bedrohlich sind. IT-Mitarbeiter müssen Alarme dennoch prüfen, also etwa Aktivitäten von Nutzern nachverfolgen oder Log-Daten durchsuchen. Das frisst Zeit. Dadurch und durch die schiere Masse an Alarmen kann es zur sogenannten Alert Fatigue kommen: Analysten übersehen oder ignorieren Warnungen vor drohenden Angriffen zwischen den vielen Fehlarmen, so dass Attacken im schlimmsten Fall unbemerkt bleiben.
Ein SIEM-System muss außerdem an die Bedürfnisse des Unternehmens und seine Infrastruktur angepasst und kalibriert werden. Das ist eine komplexe Aufgabe: Dafür gilt es Use Cases, Parameter und komplexe Korrelationsregeln zu definieren, bei denen die Security-Lösung reagieren soll. Bei Bedarf müssen sie nachjustiert werden. Das alles ist nur möglich, wenn Security-Teams wissen, welche Angriffe drohen und wie sie aussehen könnten. Der Aufwand für den Betrieb einer SIEM-Lösung ist also groß.
Die Lösung für das Problem: SOAR, XDR und Managed Services
Um Sicherheitsteams im Unternehmen zu entlasten, helfen zusätzliche Tools, die mit der SIEM-Software kombiniert werden. Mit ihnen erfolgt etwa eine automatische Reaktion auf zuvor definierte Ereignisse. Eine SOAR-Lösung (Security Orchestration, Automation, and Response) minimiert mit einem mehrstufigen System die Notwendigkeit manueller Eingriffe. Allerdings setzt diese komplexe Security-Lösung voraus, dass Playbooks, passende Warnstufen und Reaktionsmuster festgelegt werden. Das erfordert ein eigenes SOC (Security Operation Center). Auch eine XDR-Lösung (Extended Detection & Response) kann das SIEM-System ergänzen, zudem gibt es SIEM-Software mit XDR-Funktionen. Sie soll mithilfe von Künstlicher Intelligenz (KI) die Situation selbstständig beurteilen und im Problemfall reagieren, ohne dass ein IT-Mitarbeiter eingreifen muss.
Den geringsten Aufwand haben Unternehmen, wenn sie die Angriffserkennung als Managed Service beziehen. Das SOC mit SIEM sowie eventuell SOAR oder XDR wird dann rund um die Uhr von externen Spezialisten betrieben. Diese überwachen Systeme, analysieren Alarme und werten Hinweise auf mögliche Gefahren aus. IT-Teams im Unternehmen können sich somit auf ihre Kernaufgaben konzentrieren – und der Firmenbetrieb läuft sicher ab.
Fazit: Eine SIEM-Lösung schützt die IT-Infrastruktur – aber nicht allein
Eine SIEM-Lösung beschleunigt die Erkennung von Cyberattacken deutlich. Doch damit die Lösung größtmögliche Sicherheit bietet und „Alert Fatigue“ nicht zum Problem wird, muss das SIEM-System an den individuellen Bedarf und die Compliance-Vorgaben des Unternehmens angepasst werden. Gerade für kleine und mittlere Unternehmen bieten sich oft Managed Services an.