49. BremSec-Forum gab Überblick über intelligente SIEM-Systeme
Anfang März fand das bereits 49. BremSec-Forum statt. Dieses Mal allerdings nicht im BITZ, sondern in der Professional School der Hochschule Bremen, die gegenüber dem M-Trakt neu eröffnet wurde. Bei dieser Veranstaltung wurden sogar zwei Themenschwerpunkte nacheinander behandelt: neue Weiterbildungsangebote der Hochschule Bremen für IT-Fachkräfte und IT-Frühwarnsysteme, die auch SIEM genannt werden, von der Firma Basys GmbH. SIEM steht dabei für Security Information and Event Management und wird von der DECOIT® GmbH bereits seit 2013 in verschiedenen Forschungsprojekten thematisiert. Grund genug also ein weiteres Mal am interessanten BremSec-Forum teilzunehmen.
Den Anfang machte Prof. Dr. Evren Eren von der Hochschule Bremen, der neue Weiterbildungsangebote für Erwachsene vorstellte. Zielgruppe sind hierbei Berufstätige mit entsprechender Berufserfahrung, die sich auf Hochschul-Niveau weiterqualifizieren wollen. Dabei müssen diese nicht zwingend einen akademischen Abschluss vorweisen. Speziell das Programm IT-Sicherheit und Datenschutz für den Mittelstand wurde auf der Veranstaltung hervorgehoben, was natürlich optimal zur Zielgruppe passte. In einem dreigeteilten Seminar werden die theoretischen Grundlagen bis hin zur betrieblichen Umsetzung bzw. Selbstevaluierung vermittelt. So lassen sich auch Zertifizierungen für IT-Sicherheit und Datenschutz begleiten bzw. erlernen.
Bei dem Vortrag von Dirk Menz von Basys Bartsch EDV-Systeme stand dann die Praxis endgültig im Vordergrund. Er stellte fest, dass Computerkriminalität inzwischen zu einem Wirtschaftsfaktor geworden ist. Während früher Skript-Kiddies versucht haben in bestimmte Systeme einzudringen, dann aber meistens freiwillig dies in der Vergangenheit veröffentlicht haben, sind nun Organisationen und Staaten mit Informatiker-Wissen im Internet unterwegs, die ein eigenes Geschäftsmodell verfolgen. Die BITKOM beziffert den jährlichen Schaden durch Cyberkriminelle auf ca. 102 Milliarden Euro. Mitverursacher sind u.a. eine Zunahme von Cloud-Prozessen und der Zwang zur Digitalisierung. Die Angriffe werden dabei immer mehr automatisiert über Cloud-Kapazitäten mit entsprechender Rechenleistung vorgenommen. Jedes Unternehmen ist daher inzwischen ein Ziel, weil ein wirtschaftliches Interesse besteht die Firmen-Daten zu stehlen oder Geld mit verschlüsselten Daten zu erpressen.
Als Hauptangriffsmethoden lassen sich DDoS-Angriffe aus Botnetzen oder der Cloud, Ausnutzen von Applikationsschwachstellen und Social Egineering nennen. Diese Methoden lassen sich mit den üblichen Virenscannern oftmals nicht erkennen bzw. aufhalten. Einzige Lösung des Problems ist es aber, solche Angriffe zu erkennen, zu isolieren und auflaufen zu lassen. Allerdings ist dabei die Hauptschwierigkeit den Angriff als solchen überhaupt auszumachen. Denn man erkennt erst einmal noch nicht, dass man infiziert ist, da alle IT-Systeme zunächst normal arbeiten. Um ein Unternehmen daher abzusichern ist es nicht damit getan eine beliebige Hersteller-Lösung zu implementieren. Es müssen auch die organisatorischen Bedingungen darauf abgestimmt werden.
Daher sollte man sich am IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik (BSI) orientieren sowie alle Logs und Protokolle sammeln bzw. auch auswerten. Hierfür bieten sich SIEM-Lösungen an, die Attacken über einen längeren Zeitraum mitverfolgen können. Die proprietären Herstellersysteme haben dabei allerdings eines gemeinsam: sie sind für den Mittelstand nicht bezahlbar und bieten auch nicht alle Leistungsdaten an, die das BSI fordert. Daher sollte man aus Sicht der DECOIT® GmbH auch nach Open-Source-Derivaten Ausschau halten. Als Herstellerbeispiele wurden Cisco DNA und Fortinet Security Fabrics genannt, die ihre Verkehrs- und Logdateien zu zentralen Punkten im Netz schicken und versuchen diese mit Künstlicher Intelligenz (KI) auszuwerten. Dabei stehen die Kosten dafür aber in keinem Verhältnis, weil auch teilweise die Netzwerk-Infrastruktur dafür ausgetauscht werden muss. Oftmals wird aber auch eine Cloud vom Hersteller zum Datensammeln und -auswerten genutzt, was hinsichtlich des Datenschutzes wiederum fragwürdig ist.
Abschließend kam das BremSec-Forum zu dem Schluss, dass KI-Ansätze noch nicht soweit sind, um automatisiert Sicherheitsvorfälle abwickeln zu können. Daher sollte ein manueller Ansatz verfolgt werden: Segmentierung, Zugangskontrolle und Rechtemanagement. Die Datenmengen einer SIEM-Lösung werden dadurch auch kleiner, wodurch Anomalien besser erkennbar sind. Als Fazit kam der Referent zu dem Schluss, dass eine Log-Auswertung und -Korrelation über SIEM-Systeme heute bereits unverzichtbar ist. KI-Mechanismen helfen bereits bei der Auswertung und Alarmierung, können aber einen IT-Administrator und manuelles Eingreifen nicht ersetzen.
Das Thema SIEM, welches die DECOIT® GmbH bereits seit 2013 in verschiedenen Forschungsprojekten bearbeitet hat, kommt daher langsam aber sicher in den Unternehmen an. Aus diesem Grund wird bei der DECOIT® GmbH auch mit Hochdruck an einer Open-Source-basierten SIEM-Lösung gearbeitet, die bezahlbar und für den Mittelstand einsetzbar ist. Fragen Sie uns zum Thema SIEM oder IT-Sicherheit: wir helfen Ihnen gerne weiter!