Ganzheitliches IT-Security-Konzept mit Monitoring

Im Hinblick auf die zunehmenden Security Incidents in letzter Zeit gewinnt das Thema IT-Security immer mehr an Bedeutung und rückt in den Fokus von vielen IT-Verantwortlichen. Durch ein ganzheitliches IT-Security-Konzept wird die IT-Security nachhaltig verbessert. Dabei spielen die Komponenten Firewall, Endpoint und Server Protection, E-Mail Security, aber auch Zutrittssicherung zu IT-Bereichen eine wichtige Rolle. Von wachsender Bedeutung sind auch Log- und Netzwerk-Monitoring. Doch welchen Nutzen ziehen Unternehmen aus der Verwendung von Monitoring? Und worum handelt es sich dabei überhaupt?

Was bedeutet Security Monitoring

Security Monitoring bezeichnet eine kontinuierliche Überwachung der Sicherheit von IT-Systemen. Das primäre Ziel hierbei ist es, Anomalien und verdächtige Vorgänge zu erkennen, welche einen Hinweis auf eine Cyberattacke darstellen könnten. Die hieraus resultierenden Hinweise werden geprüft sowie bewertet, um dann in einem nächsten Schritt geeignete Gegenmaßnahmen einzuleiten.

Oftmals werden die Begriffe Security Monitoring und SIEM (Security Information and Event Management) als Synonym verwendet. Dabei liegen Unterschiede im Leistungsumfang vor. SIEM ist das zugrunde liegende System. Es sammelt softwaregestützte Daten aus verschiedenen Log-Quellen, um diese anschließend in ein einheitliches, verständliches Format zu bringen. SIEM kann erste Analysen liefern und bei verdächtigen Aktivitäten Alarm schlagen. Unter Berücksichtigung der potenziellen Ausnutzbarkeit kann SIEM kontinuierliche Schwachstellen überwachen. Security Monitoring geht hier einen Schritt weiter. Zusätzlich zu den Automatismen findet mehr menschliche Analysearbeit statt. So rückt die konkrete Interpretation der gesammelten Daten in den Fokus, um beispielsweise Hinweise als nicht relevant einzustufen. Dabei wird das Monitoring angelernt, kontinuierlich weiterentwickelt und letztendlich immer effizienter. Nach einer Analyse der abgegebenen Alarme wird die Regel gegebenenfalls nochmals angepasst. Da jedes Unternehmen unterschiedliche Parameter verwendet, ist eine individuelle Abstimmung essenziell.

Verwendungszweck Monitoring-Tools

Security Monitoring verfolgt in erster Linie den Zweck, Verantwortlichen einen ganzheitlichen Überblick über die gesamte IT-Infrastruktur zu ermöglichen, der über einen langen Zeitraum beibehalten wird. In die Monitoring-Struktur können dabei Server, Netzwerkkomponenten, Firewalls, Router und alle Geräte, die über eine IP-Adresse verfügen, aufgenommen werden. Ziel hierbei ist es, die Verfügbarkeit, Auslastung, Performance und den Zustand der jeweiligen Geräte zu visualisieren, um im Falle von Problemen rechtzeitig alarmiert zu sein. Administratoren können somit proaktiv „Baustellen“ angehen, bevor das Problem erst entstehen kann und sich auf die Arbeitsabläufe o. Ä. auswirkt. Ein gutes Beispiel hierfür wäre die Festplattenkapazität. Ist die Festplatte voll, können weder Server noch Firewall vernünftig arbeiten. Durch ein kontinuierliches Monitoring wird bereits bevor die Festplatte ihre Kapazität erreicht, ein Alarm an den Administrator geschickt, sodass dieser proaktiv handeln kann.

Mit Security Monitoring lässt sich ein breites Spektrum an Szenarien abdecken, sodass Probleme schneller identifiziert sowie gelöst werden, im besten Fall aber gar nicht erst entstehen können.

Was hat das mit IT-Security zu tun?

Durch die proaktive Problemidentifizierung und -bekämpfung, der rechtzeitigen Alarmierung, der Live-Übersicht über den Zustand der Systeme im Unternehmen sowie die automatische Analyse von Protokollen und Ereignissen fügt sich die Monitoring-Lösung ganzheitlich in das IT-Security-Konzept ein. Die Lösung hilft dabei, stetig einen sauberen und sicheren Betrieb der IT-Infrastruktur zu gewährleisten und notwendige Erweiterungen oder Arbeiten an einzelnen Systemen schnell zu erkennen.

Security Monitoring dient der Erkennung, Analyse und Abwehr von potenziellen Sicherheitsvorfällen. Durch SIEM werden die Daten korreliert und zentral ausgewertet. Diese Korrelation der Daten ermöglicht es, Muster und Trends zu analysieren, welche vom gewohnten Schema abweichen. Eine besonders schnelle Reaktion auf die Sicherheitsvorfälle wird durch die Analyse in Echtzeit sichergestellt. Durch den zusätzlichen Einsatz von Machine Learning können zudem Angriffe entdeckt werden, welche für herkömmliche Systeme unscheinbar sind.

Die Bedrohungen durch Cyberkriminalität nehmen schon seit Jahren kontinuierlich zu. Diese Umstände sind stichfeste Argumente, die für den Einsatz von SIEM und Security Monitoring sprechen. Denn nur Unternehmen, die aktives Security Monitoring betreiben, haben die Chance, den Ernstfall schnell zu erkennen und adäquat zu reagieren. Cyberangriffe und daraus resultierende Schäden werden abgewehrt oder auf ein Minimum reduziert. Das Monitoring greift somit in zwei der Kernbereich der Cyber Security: Detektion und Reaktion. Durch die kontinuierliche Überwachung der kritischen IT-Infrastrukturen und der vorhandenen Sicherheitseinrichtungen steigert sich die Sicherheit eines jeden Unternehmens nachhaltig.