Abschluss des SIMU-Projekts mit SIEM-Demonstrator
Das BMBF-Projekt SIMU (www.simu-project.de) mit einer Laufzeit von zwei Jahren wurde Ende September erfolgreich beendet. Das Projektmanagement wurde von der DECOIT GmbH durchgeführt. Im letzten Konsortialtreffen am 30. September an der Hochschule Hannover wurden letzte Aufgaben besprochen und Arbeiten verteilt. Resultat des F&E-Projektes ist ein Demonstrator, der die Arbeiten aller Partner vereint. Zudem lassen sich einige prototypische Ansätze gut in IT-Sicherheitsprojekten für Unternehmen verwerten. Abschließend wird jetzt noch an einem Best-Practice-Report und den Schlussberichten gearbeitet.
Alle Arbeitspakete und entsprechende Berichte konnten bis Ende September, mit Ausnahme von Kleinigkeiten, abgeschlossen werden. Dieses Ziel wurde trotz der Präsentation des Projektes auf verschiedenen internationalen Konferenzen (D.A.CH Security und IDAACS 2015) erreicht. Speziell die Inbetriebnahme des Demonstrators im Testbed des Fraunhofer-Instituts stand dabei auf der Tagesordnung, um eine finale Analyse vornehmen zu können. Dabei wurde auf die Kompatibilität der verschiedenen SIEM-Komponenten sowie ihre Handhabung und Performance Wert gelegt. Das Ziel, jeden Partner mit seinen Komponenten im Testbed unterzubringen, wurde erreicht. Ein erstelltes Demonstrator-Video zeigt dies eindrucksvoll und ermöglicht auch späteren Interessenten einen Einblick in das Projekt (siehe Video im DECOIT-YouTube-Channel).
Für die DECOIT GmbH stand neben dem Projektmanagement, die Entwicklung im Vordergrund. So wurden die IF-MAP-Clients, die bereits im ESUKOM-Projekt (www.esukom.de) entwickelt wurden, für die SIEM-Umgebung weiter entwickelt. Daher kann jetzt auf eine Vielzahl von Open-Source-Tools (z.B. Snort, Nagios, iptables, LDAP, OpenVPN) in IF-MAP-Umgebung zurückgegriffen werden. Alle Tools sind ohne Lizenzkosten verfügbar und können über die Projektseite heruntergeladen werden. Zusätzlich wurde das File Integrity Monitoring (FIM) entwickelt, um die Integrität von Dateien sicherstellen zu können. Ein weiterer großer Baustein war die Entwicklung einer übersichtlichen und leicht handhabbaren grafischen Benutzeroberfläche (SIMU-GUI), die Vorfälle und Sicherheitsprobleme sofort aufzeigt. Hier wurde stark mit der Hochschule Hannover zusammengearbeitet, die ebenfalls eine Visualisierung auf Basis von IF-MAP anbietet. Beide Visualisierungsmöglichkeiten wurden am Ende des Projektes zusammengeführt und gaben ein einheitliches Bild der IT-Sicherheit wieder. Alle Entwicklungsziele wurden erreicht.
Abschließend kann festgehalten werden, dass das Konsortium sehr gut zusammengearbeitet hat, wie schon zuvor im ESUKOM-Projekt. Der im Projekt entwickelte Demonstrator kann einen kompletten SIEM-Ablauf darstellen. Allerdings wurden einige Entwicklungsziele (z.B. Detection Engine, CBOR) nicht konsequent genug umgesetzt, so dass am Ende leider nicht die gesamte geplante Funktionalität getestet werden konnte. Aus den Entwicklungen ist kein neues Produkt entstanden, aber dies stand auch nicht im Fokus des Forschungsprojektes. Vielmehr war es das Ziel neue Wege zu beschreiten und diese auszuprobieren, um dann in kundenspezifischen Projekten entsprechende Maßnahmen daraus ableiten zu können.
Das Konsortium ist mit den erreichten Ergebnissen insgesamt sehr zufrieden. Viele Veröffentlichungen wurden geschrieben, das Projekt erlangte Bekanntheit auf Messen und Veranstaltungen, IF-MAP wurde mit Herstellern diskutiert, neue Kooperationen entstanden und vor allem konnten viele Erfahrungen im SIEM-Umfeld gesammelt werden.