Mithilfe von Logdaten können Unternehmen Cyberangriffe erkennen und abwehren. Es ist jedoch kostenintensiv und aufwendig, die dazu notwendigen Daten für eine lange Dauer zu speichern. Ein Cloud SIEM mit einer langfristigen Logdatenarchivierung bietet eine Lösung. [...]
Datensicherheit steht in Deutschlands Unternehmen an oberster Stelle. Denn mittlerweile können neun von zehn Betrieben damit rechnen, Opfer von Datendiebstahl, Sabotage oder Spionage zu werden. Laut Branchenverband liegt der dadurch entstehende Schaden derzeit bei 203 Milliarden Euro pro Jahr und die Bedrohungslage spitzt sich im Vergleich zu 2022 weiter zu. Vor allem Phishing-Kampagnen und Ransomware werden von den Befragten weiterhin als Kernrisiken wahrgenommen. Die Herausforderung für Führungskräfte: mit dem technologischen Fortschritt mithalten und dabei sicher vor den Attacken von Cyberkriminellen bleiben – eine Gratwanderung. Zu den vorrangigen Schutzmaßnahmen zählen unter anderem Firewalls, starke Passwörter und Verschlüsselungen. Die Möglichkeiten von Logdaten werden häufig unterschätzt.
Oft bleiben potenzielle Angriffe unentdeckt, wenn die IT-Infrastruktur nicht ausreichend überwacht wird und Logdaten nur lückenhaft zur Verfügung stehen. Qualität und Zuverlässigkeit der Protokolldateien sind somit ausschlaggebend für die Sicherheit der IT-Umgebung in Unternehmen.
Logdaten erhöhen Cybersicherheit
Im Zentrum eines wirkungsvollen Security Information and Event Management Systems (SIEM) stehen die Logdaten. Mit ihrer Hilfe lässt sich das Netz monitoren, um verdächtige Aktivitäten rechtzeitig zu erkennen. Ungereimtheiten oder Anomalien in den Protokollen können so potenzielle Angriffe aufdecken und Schäden vermeiden.
Sollte es zu einem Angriff, Datenleck oder anderem Vorfall kommen, erhält die IT-Abteilung durch die Logdaten zudem genaue Informationen, um zu analysieren, was passiert ist. Mit ihnen können nicht nur Ursprung und Verlauf verfolgt, sondern auch Beweise gesichert werden. Deshalb verlangen viele Branchen und Regulierungsbehörden, Logdateien für einen gewissen Zeitraum zu speichern und auf Anfrage bereitzustellen. Das Logdaten-Management wird dadurch unvermeidlich. Ein weiterer Vorteil für Unternehmen – neben der erhöhten Sicherheit – ist die Optimierung der IT-Infrastruktur. Werden Protokolldateien analysiert, lassen sich Engpässe identifizieren, Ressourcen effizienter zuweisen und die Gesamtleistung kann optimiert werden.
Ganzheitliche Sicherheit durch Cloud-Lösung
Server-, Sicherheits- und Remote-Protokolle sorgen für einen gewaltigen Strom an Daten. Es ist ressourcenaufwendig und sehr kostenintensiv, diesen unter Kontrolle zu bekommen und die darin enthaltenen Daten auf lange Zeit zu archivieren. Aus diesem Grund speichern Unternehmen oft nur einen Teil der Logdaten, was die Möglichkeit zur Analyse einschränkt.
Cloud-Lösungen bieten hier viele Vorteile. Sie lassen sich schnell in Betrieb nehmen und können Hardware-Kosten und Management-Aufwand reduzieren. Derzeit sind alle großen Hyperscaler daran, eigene Security-Dienste anzubieten und Marktanteile zu gewinnen. Amazon konzentriert sich auf den Schutz von Webshops, während Microsoft in den Bereichen Windows-, Office- und Microsoft-365-Sicherheitslösungen stark ist. Google hat seine Absichten klar gemacht, indem es die eigenentwickelte SIEM und Security Suite vermarktet und Ende 2022 Mandiant für 5,4 Milliarden Dollar übernommen hat. Dadurch hat Google erstklassige Bedrohungserkennungsfähigkeiten erworben.
Was beim SIEM-Anbieter zu beachten ist
Eine Cloud-native Architektur bietet Flexibilität und beinahe unbegrenzte Skalierbarkeit – umfassende Konfigurations- oder Managementanpassungen entfallen. Bei der Wahl des Cloud-SIEM-Anbieters sollten Unternehmen mehrere Faktoren berücksichtigen. Primär ist es wichtig, dass sich Logquellen schnell und einfach mit einer API-Integration anbinden lassen. Darüber hinaus erleichtert die automatische Normalisierung die Integration unterschiedlicher Logquellen und sollte in der Lizenz enthalten sein. Je mehr verschiedene Datenquellen einbezogen werden können, desto umfassender lässt sich die Sicherheitslandschaft gestalten. Auch sollte geprüft werden, wie lange und wie viele Daten ohne Mehrkosten gespeichert werden können. Zu guter Letzt geht es noch um Schnelligkeit: Denn je schneller ein SIEM gespeicherte Logdateien durchsuchen und für die Analyse auffinden kann, desto besser lassen sich Bedrohungen identifizieren und Zero-Day-Angriffe verhindern.
Oft ist es für mittelständische Unternehmen nahezu unmöglich, komplexe Systeme – wie SIEM und SOC – selbstständig in die vorhandene Security-Landschaft zu integrieren. Besonders, wenn die IT-Abteilungen unter dem Fachkräftemangel leiden. Nur die Anbindung der Logdateien reicht aber nicht aus. Das System muss zudem betrieben und gepflegt werden. Außerdem sollten Unternehmen regelmäßige Analysen durchführen und Cyberabwehr-Strategien entwickeln und umsetzen. Die Zusammenarbeit mit einem Managed Security Service Provider (MSSP) kann deshalb hilfreich sein. Dieser verfügt über jahrelange Expertise und kümmert sich um die konkrete Anbindung der Logquellen sowie die regelmäßige Erstellung neuer Playbooks, die an die aktuellen Herausforderungen angepasst sind. Obendrein hat er die neuesten Entwicklungen der Cybercrime-Branche im Auge. Sollte es zu einem Angriff kommen, ist er sofort einsatzbereit und steht dem Kunden für jeden Schritt zur Seite.
Mehr Cybersicherheit durch Logmanagement und Cloud-SIEM
Sorgfältig integriert verbessern Logmanagement und Cloud-SIEM die Abwehr von Cyberangriffen. Logdaten sind daher nicht nur Aufzeichnungen, sondern entscheidend für Compliance, Cyberangriffserkennung und -abwehr. Moderne Lösungsansätze sind in Zeiten steigender Cyberangriffszahlen unverzichtbar. Unternehmen, die proaktiv handeln und gemäß der sich verändernden Bedrohungslandschaft agieren, sind resilienter.
*Der Autor Wolfgang Kurz ist Geschäftsführer und Founder indevis.
Be the first to comment