Auch ein blindes Huhn findet kein Korn

Im Gegensatz zum analogen Leben kann man sich in der IT-Security nicht auf den Zufall verlassen.

Wir können auf nichts reagieren, was wir nicht kennen oder bemerken. Deswegen ist es wichtig, auf der einen Seite möglichst viele Daten aus dem Netzwerk zu sammeln. Auf der anderen Seite brauchen wir die richtigen Tools, um in diesen Daten die relevanten Informationen zu finden.

Schon das einfachste Monitoring ist der erste Schritt zur Informationssicherheit. Aber ein Monitoring darf nie nerven und nichts unterschlagen. Deswegen ist die richtige Vorgehensweise in der Einführung essentiell, damit ein System auch funktioniert.

Wir unterscheiden drei Stufen:

1. Überwachung der Funktion

Dies ist die Basis eines Information Security Management System, kurz ISMS. Hierbei soll überwacht werden, ob die angedachten Funktionen des System ordnungsgemäß laufen. Dies kann sowohl die einfache Validierung der Erreichbarkeit sein als auch der Lastzustand des Systems.

2. Überwachung der Sicherheit

Ist die Funktion zuverlässig überwacht und stabil können nun folgende, weitere Werte erhoben werden:

• Loginvorgänge, erfolgreich und nicht erfolgreich
• Konfigurationsänderungen
• Unbekannte Geräte oder Funktionen
• Performancethresholds
• Unbekannte Logeinträge

3. Suche nach Angriffsmustern

In der letzten Phase wird das aufwendigste und komplexeste System implementiert: Ein Security Information and Event Management, kurz SIEM.

Diese Art der Systeme ist sehr einrichtungs-, kenntnis- und wartungsintensiv. Das System muss fortlaufend an die Veränderungen der IT-Landschaft angepasst werden und bedarf einer tiefen Fachkenntnis, um auch neue Bedrohungsszenarien finden zu können.

Gerne helfen wir Ihnen ein zuverlässiges Monitoring bei Ihnen aufzubauen.

Doch was fehlt?

Was machen sie mit der Meldung? Dazu mehr nächste Woche im Artikel "Notfallhandbuch".