Managed SIEM für KMU: Sicherheitsmonitoring aus der Ferne - EU-DSGVO-Anforderung richtig erfüllen

23.11.2017

Die Vorfälle häufen sich, seien es Attacken mit Ransomware wie Wannacry, Petya und Co. oder zielgerichtete Angriffe auf Netzwerke, um Daten zu kopieren und zu stehlen. Besonders kleine und mittelständische Unternehmen sollten ihre sensiblen Daten vor Zugriffen Dritter schützen.

Die Vorfälle häufen sich, seien es Attacken mit Ransomware wie Wannacry, Petya und Co. oder zielgerichtete Angriffe auf Netzwerke, um Daten zu kopieren und zu stehlen. Besonders kleine und mittelständische Unternehmen sollten ihre sensiblen Daten vor Zugriffen Dritter schützen, nicht zuletzt auch aufgrund der Anforderungen der 2018 in Kraft tretenden EU-DSGVO, die teilweise hohe Strafen für Nachlässigkeiten vorsieht. Vor allem der Schutz von personenbezogenen Daten wird zu einem Schwerpunktthema.

 

alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person [...] beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind;" *

 

Intelligente SIEM-Analysen durchsuchen den Netzwerkverkehr auf Anomalien

Die zitierte Definition schließt eine wahre Datenflut komplexer Netzwerkstrukturen ein. Zusätzlich schreibt der neue Datenschutzstandard Unternehmen und Einrichtungen

zukünftig vor, betroffene Personen bei Kompromittierung unverzüglich zu informieren – auch auf Verdacht. Die Zunahme der Geräte und Anwendungen in einem Netzwerk erschwert es allerdings für Administratoren den Überblick darüber zu behalten, was in ihrem Netzwerk eigentlich vorgeht. Das Leck und den kompromittierten Datensatz im Falle eines Sicherheitseinbruchs genau zu identifizieren, gleicht der Suche nach einer Nadel im Heuhaufen. Mit dem Einsatz von Sicherheitsmonitoring-Software wie einem Security Information and Event Management (SIEM) kann dieses Problem sowohl vor Ort als auch aus der Ferne als Managed SIEM automatisiert gelöst werden. Moderne Sicherheitsmonitoring-Lösungen von spezialisierten und lokalen Dienstleistern können in Zusammenarbeit mit Technologie-Anbietern weit mehr als nur Log-Daten sammeln, korrelieren und auswerten sowie Warnungen über sicherheitsrelevante Zwischenfälle absetzen.

 

So ist es möglich, ganzheitliche Datenanalysen aus der gesamten IT-Infrastruktur des Unternehmens durchzuführen und Netzwerkbewegungen remote zu beobachten, um Anomalien zu entdecken. Informationen verschiedenster Hard- und Software von Switches, Firewalls etc. aber auch von Mail- oder Webservern und spezifischen Equipment fließen in die Auswertung mit ein. Sensoren von Netzwerkdiensten wie Ping, HTTP, SMTP, FTP, POP3 sowie von unterschiedlichen Datenbanken sind zusätzliche Datenquellen, deren Daten eine moderne Software heutzutage auswerten kann und auch sollte. Mit Informationen aus der Threat Intelligence der Anbieter und den Threat Hunting-Möglichkeiten, die moderne Lösungen anbieten, können Unternehmen auch auf neueste Bedrohungen reagieren, ohne entsprechende Experten beschäftigen zu müssen. Die Spezialisten der Dienstleister informieren im Falle einer Entdeckung das betroffene Unternehmen und sorgen für eine entsprechende Reaktion mit den verfügbaren Mitteln der Incident Response-Plattform, ohne dass eine Aktion des Unternehmens selbst nötig ist.

 

Fazit: Mit der Bedrohung und dem Gesetz Schritt halten

Der Einsatz einer SIEM-Lösung hilft bei der Umsetzung der kommenden EU-DSGVO. Der Nachweis darüber, was im Ernstfall genau passiert ist, spielt in der neuen Verordnung eine große Rolle. Hier kommt wieder der anfangs erwähnte Aspekt der Informationspflicht zum Tragen. Mithilfe von SIEM lassen sich die Vorgänge im Zusammenhang mit einem Sicherheitseinbruch zurückverfolgen und legen die Basis für eine weitere forensische Untersuchung nach den Ursachen und den Tätern im Falle einer Kompromittierung. Für kleine und mittelständische Unternehmen kann die Auslagerung eines solchen Services daher eine mehr als wertvolle Ergänzung der bisherigen Maßnahmen für IT-Sicherheit sein. Viele spezialisierte Systemhäuser wie Telonic und CGI bieten Managed SIEM für DSGVO-Anforderungen auch für österreichische KMU an.

 

 Nachzulesen unter: https://www.datenschutz-grundverordnung.eu/rechtsnormen-der-dsgvo/art-4-ds-gvo/

 

Dieser Artikel erscheint in der Fachzeitschrift Monitor, Ausgabe 5/2017.