SIEM wird noch wichtiger
Im IT-Sicherheitsbereich bekommt das Konsolidieren der Log-Protokolle und das Erkennen von Unregelmässigkeiten eine immer grössere Bedeutung. Zentrales Logging bzw. Security Information Event Management (kurz SIEM) ist das Thema. Im 2018 verschärfen sich die rechtlichen Vorschriften rund um Datensammlungen und datensicherheitsrelevante Vorfälle, im Zusammenhang mit den anstehenden Veränderungen im Datenschutzgesetz (Stichwort GDPR).
Die europäische Datenschutz-Grundverordnung (DSGVO, englisch: General Data Protection Regulation GDPR) ist am 25. Mai 2018 in Kraft getreten. Zahlreiche Schweizer Unternehmen werden von der EU-DSGVO betroffen, sei es, weil sie eine Niederlassung in einem europäischen Land haben, sei es weil sie ihre Produkte und Leistungen auch europäischen Kunden anbieten. (siehe detaillierte Infos vom EDöB)
Warum braucht es überhaupt ein Security Information Event Management?
Die gesetzlich verankerte Rechenschaftspflicht verlangt von den Unternehmen etablierte Kontrollmechanismen und –systeme, um die Konformität der Bearbeitung während des gesamten Vorgangs sicherzustellen und nachweisen zu können. Dazu gesellt sich die Pflicht, der Aufsichtsbehörde Verletzungen des Schutzes personenbezogener Daten zu melden. Und damit sind wir mitten im Thema Zentrales Logging und SIEM angekommen.
Für ITpoint als Anbieterin von sicheren IT-Outsourcinglösungen und hochwertigen Managed Services ist es von zentraler Bedeutung, ein zentralisiertes Log-Management inklusive Detection- und Analyse-Werkzeugen für Sicherheitsverstösse einzusetzen. Das Ziel ist, Vorfälle möglichst schnell zu erkennen, auf ihre Relevanz zu untersuchen und die nötigen Schritte einzuleiten. Bisher war dieses Log-Management mehrheitlich von unternehmensinterner Bedeutung. Mit der neuen Datenschutzverordnung erhält das Security Information Event Management jedoch eine externe, strafrechtliche Dimension: Ein Vorfall einer Datensicherheitsverletzung muss in jedem Fall den Behörden und den Betroffenen gemeldet werden. Mit drastischen Strafmassen will die EU dafür sorgen, dass die verschärften Datenschutzbestimmungen auch umgesetzt werden.
Wie lösen wir die Logging- und Kontroll-Aufgaben bei ITpoint?
Auf dem Markt gibt es viele SIEM-Lösungen. Zu den Prominenten gehört z.B. SPLUNK, aber auch QRadar von IBM. Die Lösung von IBM ist natürlich nicht günstig, sondern spielt in der Enterprise-Klasse. Für die ITpoint-Anforderungen im Rechenzenter passt die modulare, variable und mandantenfähige Lösung aber gut. Gerade diese Mandantenfähigkeit ist für uns sehr wichtig. Wir wollen das Security Incident Event Management natürlich nicht nur für unser eigenes Unternehmen nutzen, sondern auch in hochwertiger Qualität unseren Managed Service-Kunden anbieten. Ein starkes Plus von QRadar ist die optionale Threat Protection. Sie erlaubt es, Sicherheitsverletzungen unter den Tausenden von Log-Informationen:
- in Echtzeit zu entdecken,
- zu priorisieren
- und den Ort, den Grund und die Art und Weise nachzuvollziehen.
QRadar kann also genau die Informationen aufzeichnen und auf den Schirm (oder in ein Dokument) bringen, welche die neuen Datenschutzgesetze vorschreiben.
Hat SIEM noch andere Nutzen als die Erfüllung rechtlicher Compliance?
Wer das zentrale Logging nur zur Erfüllung der gesetzlichen Vorgaben nutzt, verschenkt viel Potenzial für das eigene Unternehmen. Denn das Security Incident Event Management kann ein Unternehmen in vielerlei Hinsicht unterstützen und weiterbringen. Allem voran hilft SIEM beim Schutz der Reputation und stützt das Vertrauen der Kunden und der Öffentlichkeit in das Unternehmen.
Daneben vereinfacht ein professionelles SIEM natürlich auch die Arbeit des IT-Security-Teams. Vordefinierte «best Practice» Regeln helfen, Anomalien bzw. Vorfälle möglichst schnell zu erkennen und effizient zu behandeln. Die sprichwörtliche Suche nach der Nadel im Heuhaufen entfällt. IBM QRadar identifiziert übrigens auch zusammenhängende Events, wenn z.B. durch einen Angriff auf mehreren Systemen Security-Verletzungen generiert werden. Gerade diese Zusammenhänge sind bei einem dezentralen Logging nicht erkennbar.
Wie setzt ITpoint SIEM in Zukunft ein?
Wir beschäftigen uns zurzeit eingehend mit der QRadar-Lösung von IBM. Ein Proof of Concept (POC) für das Security Incident Event Management im Rahmen der ORIA Prime Managed Services wird in einigen Monaten vorliegen.