Suchen

Definition Was ist ein SIEM?

Autor / Redakteur: Zeroshope / Sarah Böttcher

SIEM steht für Security Information and Event Management und zielt darauf ab, einen ganzheitlichen Blick auf die eigene IT-Sicherheit zu gewinnen. Bedrohliche Trends und Muster sollen auf diese Weise einfacher erkannt werden.

Firmen zum Thema

Grundlagenwissen zum IT-Business
Grundlagenwissen zum IT-Business
(Bild: © adiruch na chiangmai - Fotolia.com)

Der Grundgedanke des SIEM lautet, dass in einer Firma an unterschiedlichen Stellen des IT-Systems verschiedene sicherheitsrelevante Daten anfallen. Werden diese nur lokal bearbeitet, ist es unmöglich, ein größeres Bild zu gewinnen und beispielsweise ein umfassendes Bedrohungsmuster zu identifizieren. Zugleich erfolgt der Einsatz der eigenen Ressourcen ineffizient, wenn allen Angriffen separat begegnet wird. Deshalb werden die Daten und zugehörigen Informationen an einer Stelle gebündelt – das Security Information Management (SIM) und das Security Event Management (SEM) werden hierfür zum SIEM verschmolzen.

Automatisiertes System mit Echtzeit-Analysen

Das SIEM-Konzept sieht ein weitgehend automatisiertes System vor, dass rund um die Uhr Bedrohungsanalysen in Echtzeit vornimmt. Hierfür speichert und interpretiert es die gesammelten Daten. Kann das System eine Bedrohung nicht erkennen oder identifiziert es aggressive Muster, wird das Sicherheitspersonal alarmiert, um zeitnah Gegenmaßnahmen einzuleiten. Zusätzlich werden automatisch Berichte erstellt.

Ziel ist es so nicht nur, Bedrohungen frühzeitig zu erkennen, sondern auch Daten bei sicherheitsrelevanten Zwischenfällen schnell zu sichern und wiederherzustellen. Hierfür werden über das System Software-Agenten (ausführende Programme des Managements) verteilt, die hierarchisch arbeiten. Sie protokollieren sicherheitsrelevante Ereignisse zuerst bei den wichtigsten Teilsystemen und anschließend bei den weniger bedeutsamen Bausteinen der IT-Infrastruktur. Sie zeigen so beispielsweise auf, ob Intrusion-Prevention-Systeme (IPS) oder Netzwerkgeräte nicht richtig funktionieren.

SIEM ist unverzichtbar geworden

Das Security Information and Event Management ist unverzichtbar geworden – ist eine Echtzeitreaktion auf sicherheitsrelevante Angriffe doch beispielsweise sogar ein Erfordernis vom Bundesdatenschutzgesetz (BDSG). Auch Zertifizierungen wie SOX, ISO oder Basel II machen das SIEM unverzichtbar. Sie schreiben den Einsatz des entsprechenden Management-Konzepts zwar nicht direkt vor, legen aber Regeln fest, die sich nur über ein SIEM umsetzen lassen. Beispielsweise fordert ISO-27001 ein „aktives Monitoring“, das den Zweck habe, „unautorisierte Aktivitäten sichtbar zu machen“. Daneben ist das SIEM aber auch ein Hauptinteresse jedes Unternehmen, um das eigene geistige Eigentum sowie relevante Finanzinformationen möglichst umfassend zu schützen.

(ID:45353767)