Skip to main content

Wie ein SIEM System bei der Umsetzung eines ISMS Systems gemäß ISO/IEC 27001 unterstützen kann

Jeder Strom- und Gasnetzbetreiber ist nach dem IT-Sicherheitskatalog verpflichtet ein ISMS (Informations Sicherheits Management System) nach ISO/IEC 27001 einzuführen. In diesem Beitrag zeigen wir auf, wie ein Security Information and Event Management (SIEM) Sie bei der Umsetzung eines ISMS wirksam unterstützen kann.

Was ist ein SIEM?
Ein SIEM ist eine Management-Lösung, mit der Unternehmen und Organisationen Gefährdungen und Angriffe auf ihre IT-Systeme entdecken und abwehren, idealerweise bevor ein Schaden die Geschäfte beeinträchtigen oder zum Erliegen bringen kann. Im laufenden Betrieb verbessert SIEM kontinuierlich und regelbasierend die Standards für Sicherheit, Compliance und Qualität der IT-Systeme.

Wie arbeitet ein SIEM?
Das SIEM System sammelt alle Aktivitäten innerhalb der IT-Landschaft und wertet diese nach Angriffskriterien aus. Das können sowohl Protokolldaten von Netzkomponenten wie Router, Switche und Firewalls aber auch von IT-Systemen und Anwendungen sein. Diese werden vom SIEM-System anhand eines Regelwerkes ausgewertet und schlagen Alarm, sobald eine verdächtige Kombination von Ereignissen erkannt worden ist.

Wie hilft SIEM bei der Umsetzung eines ISMS?
Es gibt zahlreiche Maßnahmen innerhalb der ISO/IEC 27001, zu deren Umsetzung ein SIEM wirksam beiträgt.

Logging und Monitoring
Vor allem innerhalb des Maßnahmenbereiches Logging und Monitoring (A.12) der ISO/IEC 27001 ist ein SIEM-System eine ideale Umsetzung dieser Anforderungen.
Eine wichtige Maßnahme ist das sogenannte Event Logging (A.12.4.1). Diese Maßnahme fordert, dass Eventlogs in denen Benutzeraktivitäten, Fehler und Informationssicherheitsvorfälle registriert werden, gesammelt und regelmäßig ausgewertet werden müssen. Bei mehreren Millionen Ereignissen täglich ist es schwer, die Übersicht zu bewahren. Ein SIEM-Tool automatisiert diese Übersicht. Es sammelt die Eventlogs von unterschiedlichen Systemen und legt sie zentral ab. Darüber hinaus müssen die Ereignisse nicht manuell ausgewertet werden (was in den Meisten Fällen auf Grund der Menge gar nicht machbar ist), sondern sie werden von dem SIEM-Tool regelbasiert auf Anomalien untersucht. Bei einem Match (=Hinweis auf einen Angriff) wird automatisch ein Alarm generiert und entsprechende Gegenmaßnahmen können durch die Security Analysten eingeleitet werden.
Der zweite wichtige Punkt in der Maßnahmenliste, bei dem ein SIEM System unterstützen kann, ist das Schützen von Protokollinformationen (A.12.4.2). Alle gesammelten Logs werden nicht nur auf den jeweiligen Systemen gespeichert, sondern zentral innerhalb des SIEM--Tools manipulationsgeschützt und damit revisionssicher gespeichert.
Eine weitere Anforderung der ISO/IEC 27001 ist das Erfassen, Schützen und Überprüfen von Systemadministrator- und Systembetreiber-Aktivitäten (A.12.4.3). Auch dies erledigt das SIEM durch das automatische Auswerten und manipulationssichere Speichern. Durch die zentrale, systemübergreifende Auswertung können Aktivitäten erkannt werden, die durch eine Betrachtung auf dem einzelnen System nicht erkennbar sind. So kann beispielsweise ein SIEM-Tool erkennen, dass ein Administrator, der große Mengen Daten von einer Datenbank exportiert, diese auf das Nutzerlaufwerk C:\ ablegt und anschließend auf einen USB-Stick exportiert. Aber auch Anmeldungen von Administratoren von ungewöhnlichen Orten oder zu ungewöhnlichen Zeiten können identifiziert werden.

Compliance Monitoring
Nicht nur in Bezug auf die Maßnahmenumsetzung kann ein SIEM Ihnen die Arbeit erleichtern, sondern auch im Bereich der Einhaltung von Regelwerkern (Compliance Monitoring, A.18.2.2) ist ein SIEM ein effektives Hilfsmittel. Ein Unternehmen kann mittels eines SIEM Tool nachweisen, dass bestimmte Vorgaben eingehalten werden, z. B. dass keine privilegierten Nutzerrechte ohne ein entsprechendes Ticket verwendet worden sind.

Security Incident Management?
Ein weiterer Themenbereich innerhalb der ISO/IEC 27001 Maßnahmen (A.16) ist das Information Security Incident Management.
Incident Management im Allgemeinen sorgt dafür, dass Störungen innerhalb des Unternehmens beseitigt werden und dass der definierte Betriebszustand einer Infrastruktur schnellstmöglich wiederhergestellt wird. Security Incidents im Speziellen sind Vorfälle, die auf vorsätzliche oder fahrlässige Angriffsversuche hinweisen. Um sicherheitsrelevante Vorfälle frühzeitig erkennen zu können, bedarf es einer definierten Vorfallsanalyse und -behandlung. In diesem Kontext kommt das SIEM zum Einsatz. Ein SIEM sucht nach festgelegten Angriffskriterien und generiert Alarme, die dann vom Security Incident Management weiter verfolgt werden.
Sofern ein Informationssicherheitsereignis eingetreten ist, muss dieses bewertet und hinsichtlich seiner Relevanz eingestuft werden (ISO/IEC 27001, A.16.1.4). Das SIEM generiert in diesem Fall einen Alarm, der die wichtigsten Informationen zu dem Ereignis zusammenfasst. Weitere Informationen können ohne großen Aufwand innerhalb des SIEM-Tools gesucht werden. Dadurch lässt sich schon innerhalb kürzester Zeit ein klares Bild über die Auswirkungen auf die Informationssicherheit ableiten.
Bei erkannten Informationssicherheitsvorfällen muss schnellstmöglich eine Reaktion erfolgen (ISO/IEC 27001, A.16.1.5). Mithilfe eines SIEMs findet eine ständige, automatisierte Log- und Eventüberwachung der Systeme auf sicherheitsrelevante Vorfälle statt. Somit können potentielle Vorfälle bereits vor und während eines Angriffes erkannt werden. Somit können bereits geeignete Gegenmaßnahmen eingeleitet werden, bevor ein größerer Schaden entstehen kann. Dadurch können die Schäden verringert werden.

Meldepflichten
Ein wichtiger Punkt im Rahmen der ISO/IEC 27001 und des Sicherheitsgesetzes ist das Melden von Informationssicherheitsereignissen (A.16.1.2). Dies setzt voraus, dass Vorfälle auch zuverlässig erkannt und bewertet werden. Es ist nahezu unmöglich aus einer großen Menge von dezentral gespeicherter Logs Informationssicherheitsereignisse schnell zu erkennen und notwendige Informationen zur Meldung zu ermitteln. Ein SIEM ermöglicht innerhalb kurzer Zeit, notwendige Informationen über einen Vorfall zu sammeln und zu analysieren, um bewerten zu können, inwiefern der Vorfall melderelevant ist.

Ein SIEM ist ständig auf dem Laufenden zu halten.
Ein funktionierendes SIEM unterliegt einem permanenten Lernprozess. Aus bisherigen Sicherheitsereignissen innerhalb des Unternehmens aber auch durch Vorkommnisse innerhalb anderer Unternehmen die beispielsweise über Threat Intelligence  Anbieter erfasst werden können, kann eine permanente Verbesserung herbeigeführt werden.
Beweise sammeln
Darüber hinaus kann ein SIEM bei der Erstellung von Verfahren für das Sammeln und Erfassen von Beweisen bei Informationssicherheitsvorkommnissen helfen. (ISO/IEC 27001, A.16.1.7). 

Einführungsmethodik für ein SIEM
Der erste Schritt bei der Einführung einer SIEM Lösung besteht darin, herauszufinden, welche Daten und welche IT-Funktionen als kritisch für das Geschäft zu bewerten sind. Der zweite Schritt ist es, diese Werte durch eine gute und effiziente IT-Sicherheitsarchitektur zu schützen. Hier kommen alle präventiven Maßnahmen, wie Anti-Viren-Systeme, Firewalls, Intrusion Prevention Systeme, Zugriffsschutz, Rollenkonzepte etc. zum Einsatz. Dieser Schritt ist ein Teilbereich der Risikobehandlung und ist innerhalb des Risikomanagements durchzuführen.

Präventiver Schutz ist niemals lückenlos, zumal die Angreifer fortlaufend neue Methoden entwickeln, um Angriffe durchzuführen, neue Schwachstellen in den vorhandenen IT-Systemen entdeckt werden oder die Mitarbeiter als Einfallstor in das Unternehmen genutzt werden. Letzteres geschieht z. B. in zunehmenden Maße durch gut gemachte Phishing E-Mails, welche nicht mehr einfach z. B. auf Grund ihrer schlechten Grammatik erkannt werden können. Selbst Fachleuten fällt dieses immer schwerer. Hier setzt im dritten Schritt SIEM an: All die IT-Geräte werden so konfiguriert, dass die Ereignisse, die Hinweise auf Angriffe geben, aufgezeichnet und an das SIEM zur Auswertung weitergeleitet werden.

SIEM Anwendungsbeispiel
Im nachfolgenden soll ein einfaches Beispiel zeigen, wie SIEM schützt, während die Prävention versagt. Schadsoftware gelangt z. B. per Phishing E-Mail auf den Rechner eines Anwenders und übernimmt unbemerkt die Kontrolle. Die Anti-Viren-Software findet nichts, da für diesen Schädling noch keine Signatur vorlag. Damit die Schadsoftware weiß, was sie auf dem Rechner tun soll, kommuniziert sie mit einem Server im Internet. Diese Kommunikation zeichnet die Firewall auf, sendet das Ereignis an das SIEM System, wo dieses dann anhand einer Liste bekannter sog. Command & Controls Server feststellt, dass der Ziel- Server „böse“ ist und Alarm schlägt. Das verseuchte System ist identifiziert, die Gefahr jetzt leicht gebannt.

Fazit
Durch SIEM erlangen die für ein Unternehmen Kritischen Infrastrukturen eine höhere Sicherheitstransparenz. Informationssicherheitsvorfälle können zielgerichteter und vor allem schneller behandelt werden. Dies hilft sowohl bei der Umsetzung von Maßnahmen als auch beim Nachweis der Einhaltung von Maßnahmen.