Datensicherheit ist in aller Munde. Themen wie Prism, die Panama Papers oder die Vorratsdatenspeicherung sind bekannt. Dabei geht das größte Verlust- oder Manipulationsrisiko von einer stark unterschätzten Zielgruppe aus: den eigenen Mitarbeitern.
Ob mit oder ohne Vorsatz – wer Zugriff zu sensiblen Informationen hat, kann dem Unternehmen und seinen Kunden erheblich schaden. Natürlich verbietet es sich, die Mitarbeiter unter Generalverdacht zu stellen. Trotzdem werden seit einiger Zeit intelligente Systeme aufgesetzt, welche sicherheitsrelevante Ereignisse aus den Systemmeldungen des Rechenzentrums aufzeichnen und herausfiltern, sogenannte SIEM-Systeme. Die Abkürzung steht für Security Information and Event Management.
Im Wesentlichen handelt es sich um die Sammlung und Auswertung von Log-Daten, die aufgrund von gesetzlichen und aufsichtsrechtlichen Vorgaben zu einem unverzichtbaren Teil der IT geworden sind. Jedes SIEM-Verfahren umfasst dabei drei Schritte:
- Zentrale Sammlung und Speicherung von Log-Daten aus unterschiedlichen Datenquellen. Die Daten werden dabei nicht verändert, um später für juristische Verfahren einsetzbar zu sein. „Gerichtsverwertbar“ heißt das Zauberwort.
- Analyse der Daten auf Basis von definierten Regeln. Hierüber wird entschieden, ob ein Zugriff auf ein System berechtigt erfolgt oder nicht. Die Regeln steuern, für welche Fälle ein Event überprüft werden sollte und für welche nicht. Alle neuen Daten werden anhand der Regeln geprüft.
- Anwendung von Regeln zur Erkennung von Mustern und Trends, um daraus abzuleiten, welche Fälle vom gewohnten Schema abweichen.
Kernstück jedes Security Information and Event Management sind also die Regeln, über die kritische Zugriffe auf Daten identifiziert werden, sowie die Bereitstellung dieser gefilterten und aufbereiteten Informationen an die Verantwortlichen.
In der Regel erfolgt dies über zyklisch generierte Reports. Für besonders kritische Events werden zusätzlich Echtzeitalarme ausgelöst. Nach der Beurteilung durch den Verantwortlichen leitet dieser anschließend entsprechende Sicherheitsmaßnahmen ab.
Ein großer Teil der Bewertung von sicherheitsrelevanten Daten kann durch das SIEM-System auf Basis der definierten Regeln erfolgen. Doch ersetzt dies die menschliche Analysefähigkeit und Urteilskraft nicht vollständig. Trotz weitgehend automatisierter Verfahren obliegt häufig einem Spezial-Team die erste Einschätzung der als kritisch eingestuften Events, bevor diese den Verantwortlichen zur Prüfung übergeben werden.
Die Herausforderung im SIEM liegt darin, die Event-Daten aus verschiedenen Quellen sinnvoll auszuwerten, damit die Verantwortlichen nur noch die wirklich relevanten Events zu bewerten haben und dennoch kein kritisches Event unentdeckt bleibt. Keine leichte Aufgabe bei mehreren Terabyte Daten und mehreren Millionen Events pro Tag.
Vorgehensweise
In der Praxis definieren die Verantwortlichen der Datenquellen zuerst die Regeln nach einem standardisierten Verfahren.
Dabei sind vor allem folgende Fragen von Belang: Für welche Systeme sind die Mitarbeiter verantwortlich? Wo liegen die kritischen Daten? Wie werden die Daten und die Zugriffe darauf protokolliert? Welches sind die unkritischen Gut-Fälle und welche Fälle sollten beurteilt werden? Und: Welche Zugriffe sind derart kritisch, dass sie einen Alarm in Echtzeit auslösen?
Auch für die Mustererkennung werden Regeln definiert. Auf deren Basis ermittelt das System, ob Abweichungen von sich regelmäßig wiederholenden Vorgängen erfolgen, wie viele Zugriffe außerhalb der Norm stattfinden oder ob sie von einem ungewöhnlichen System aus ablaufen. Alle Anomalien werden im System als Abweichungen vom Regelfall hinterlegt, die eine vordefinierte Folgeaktivität nach sich ziehen. Wesentliche Fragen der Muster-Erkennung sind zum Beispiel: Finden die Zugriffe außerhalb des regulären Zeitfensters statt? Folgt ein Nutzer einem ungewöhnlichen Profil? Werden Notfall-Accounts genutzt?
Die aus der Regel-Definition gewonnenen Erkenntnisse werden im SIEM-System als Such- und Filter-Algorithmen hinterlegt. Die auf Basis dieser Algorithmen ermittelten Events werden in Reports zusammengefasst und den Bearbeitern des speziell geschulten Teams zur Verfügung gestellt werden.
Dieses sortiert zumeist die unkritischen Fälle aus, indem es die in den Reports enthaltenen Events vorbewertet und nur die Fälle herausfiltert, die durch die Verantwortlichen abschließend beurteilt werden müssen. Letztlich leiten die Verantwortlichen dann auf Basis ihrer Beurteilung weitere Maßnahmen in die Wege, was aber nur bei einem sehr kleinen Anteil der Events zum Tragen kommt.
Toolaufbau
SIEM-Systeme besitzen häufig eine dreigeteilte Architektur:
Auf der unteren Ebene werden die Log-Einträge der angeschlossenen Systeme gesammelt. Hierbei kann sowohl die selbständige Übermittlung durch diese Systeme erfolgen als auch ein periodisches Abholen der Meldungen durch das SIEM-System von der Quelle konfiguriert werden.
Auf der mittleren Ebene erfolgt die Vorverarbeitung der gesammelten Daten. Dabei werden die unterschiedlichen Meldungen nicht nur in ein einheitliches und lesbares Format umgewandelt, sondern zusätzlich kategorisiert, korreliert und mit zusätzlichen Informationen angereichert. Außerdem werden sie oft durch Indizierung für eine beschleunigte Suche vorbereitet. Nach Abschluss der Vorverarbeitung bezeichnet man die aufbereiteten Log-Meldungen als Events.
Auf der oberen Ebene werden die Such- und Filteralgorithmen auf die eingehenden Events angewendet und dadurch die kritischen Events herausgefiltert. Die Reports werden nach Zuständigkeitsbereichen zusammengestellt und in aufbereiteter Form versendet. Auch die Alarme und sofortigen Benachrichtigungen werden durch die Anwendung umgesetzter Regeln auf dieser Ebene erzeugt.
Datenschutz
Zur Wahrung des Datenschutzes werden die Daten strikt nach Bereichen getrennt. Das Rollen- und Rechtekonzept des SIEM-Systems ermöglicht den Zugriff auf die jeweiligen Daten nach dem Need-to-know-Prinzip nur dem Verantwortlichen oder der von ihr beauftragten Kontrollinstanz.
Die Daten werden oft soweit anonymisiert oder pseudonymisiert, dass sie nicht vernetzt und zu Bewegungsprofilen zusammengefasst werden können. Diese Methode beugt einem sogenannten falschen Verdacht vor. Allen Verantwortlichen ist eine erweiterte forensische Untersuchung erst nach Genehmigung möglich. Zudem sind ihnen Suchmöglichkeiten nur innerhalb begrenzter Vorgaben erlaubt. Eine Freitextsuche über den gesamten Datenbestand ist ihnen nicht möglich. Die gezielte Analyse der Daten eines Mitarbeiters darf dabei nur mit Zustimmung von Instanzen wie Personal- oder Betriebsrat erfolgen.
Ist ein Anfangsverdacht berechtigt und die Genehmigung eingeholt, dürfen anschließend die Pseudonyme in Klarnamen aufgelöst und die Events für den verdächtigten Mitarbeiter mit erweiterter Berechtigung in einem ausgewählten Zeitraum tiefer analysiert werden.
Fazit
Auch wenn die Fälle, die vertieft untersucht werden, im Vergleich zur Gesamtmenge aller Events sehr gering ausfällt, ist SIEM kein kostspieliger „Anti-Snowden“. SIEM-Maßnahmen sind in erster Linie als Prävention konzipiert, die schon durch ihr Vorhandensein zu einem risikobewussteren Arbeitsverhalten führen.
Außerdem können die Daten mehrere Jahre rückwirkend eingesehen und bei etwaigen Ermittlungen fallaufklärend verwendet werden. Dabei führen sie oftmals zu einem positiven Verfahrensende. Durch exakte Nachweisbarkeit der Zugriffe kann ein Anfangsverdachts aufgeklärt und damit zur Entlastung des verdächtigten Mitarbeiters beigetragen werden.
