Foto: Fotolia, Robert Kneschke
Die Herausforderung beginnt bereits damit, dass viele Unternehmen zunächst nur eine grobe Vorstellung ihrer Anforderungen haben. Sie suchen nach einfachen Lösungen, die ihren komplexen Sicherheits- und Compliance-Anforderungen genügen. Der Idealfall? Automatisierte, schnelle und über alle heterogenen Systeme hinweg arbeitende Programme, die Fehler, Probleme und bösartige Angriffe sichtbar machen.
Unternehmen evaluieren dafür Lösungsansätze aus dem Bereichen LM (Log Management) respektive SIM (Security Information Management), SEM (Security Event Management) und SIEM (Security Information and Event Management). Pikant: Alle Anbieter interpretieren die Begrifflichkeiten unterschiedlich; der Produktvergleich findet also unter erschwerten Bedingungen statt. Unternehmen müssen die Lösungen noch genauer auf die individuellen Bedürfnisse hin abstimmen:
1. Welche Lösungen werden bereits eingesetzt?
2. Welche Schwächen haben diese Lösungen?
3. Welche dieser Schwächen sollte eine neue Lösung beheben?
Klärung der Begriffe
Foto: LogLogic
Log Management entspricht dem Begriff SIM (Security Information Management) und steht für die zentrale Sammlung, Übertragung, Speicherung, Analyse und Weiterleitung von Log-Daten aus Netzwerk-Komponenten, Betriebssystemen und Applikationen. Typische Funktionen sind Richtlinien-orientierte Analysen auch zu Trends, periodische Berichte und Basisfunktionen für Alarm-Meldungen. Damit ist es die Grundlage für die IT-Forensik und das Service Level Management. Je nach Anbieter bietet Log Management die revisionssichere Log-Daten-Speicherung und berücksichtigt bei der Datendarstellung die Richtlinien des Datenschutzes.
SEM (Security Event Management) übernimmt die Korrelation von Logs anhand definierter Richtlinien, gleicht sie automatisiert mit Standards wie ITIL, COBIT, SOX oder ISO ab und verfügt über leistungsfähige Echtzeit-Alarmfunktionen. SEM deckt sich teilweise mit IDS/IPS (Intrusion Detection und Intrusion Prevention System). Netzwerk-basierend überwachen diese die Auslastung und Kommunikation im Netz sowie Ports und erkennen Muster respektive Abweichungen im Netzwerkverkehr. Als Host-basierende Lösungen kontrollieren sich Manipulationen von Dateien und überwachen beispielsweise Gruppenrichtlinien und Benutzerkonten.
SIEM (Security Information and Event Management) vereint die Funktionen von SIM und SEM als Management-Lösung. Es basiert auf unternehmensspezifischen Anforderungen - also auf klaren und umfassenden Definitionen, welche Ereignisse sicherheitsrelevant sind und wie und mit welcher Priorität darauf zu reagieren ist. Es zielt darauf ab, anhand eines Regelwerks kontinuierlich die Standards für Sicherheit, Compliance und Qualität des IT-Betriebs zu verbessern.