SIEM – was genau ist das? Und was müssen Unternehmen für ein NIS2 konformes SIEM tun?

rotes Hexagon mit einem weißen Vorhandschloss in der Mitte IT-SECURITY,

Johanna Hametner

IT-Consultant Information Security

E-Mail schreiben

Ein SIEM (Security Information and Event Management) ist ein wichtiges Instrument für eine angemessene IT-Sicherheit, da es Unternehmen in die Lage versetzt, Bedrohungen in Echtzeit zu erkennen und darauf zu reagieren. Es bietet eine umfassende Sicht auf die Sicherheitslage des Unternehmens und ermöglicht es, Bedrohungen effektiv zu identifizieren und zu bekämpfen.

 

Was trägt ein SIEM für eine angemessene IT-Sicherheit bei?

Durch den Einsatz eines SIEM-Systems werden Bedrohungen erkannt, Sicherheitsrisiken minimiert und die Compliance sichergestellt. Außerdem ist eine effektive Reaktion auf Vorfälle möglich. Auf Grundlage der identifizierten Schwachstellen und Bedrohungen, infolge ausführbarer Risikoanalysen, können Unternehmen zur Verbesserung der Sicherheitslage entsprechende Maßnahmen ergreifen.

Es ist wichtig, dass ein SIEM alle erforderlichen Normen und Gesetze einhält, um sicherzustellen, dass das System nutzbringend und sicher arbeitet. Ein SIEM wird in unterschiedlichsten Normen und Gesetzen gefordert, wie beispielsweise der ISO 27001 und dem Netz- und Informationssicherheitsgesetz.

Um ein SIEM umzusetzen und die Erfordernisse von Normen und Gesetzen zu erfüllen, befolgen Sie folgende Schritte:

  • Definieren Sie Ihre Anforderungen: Bevor Sie mit der Umsetzung beginnen, müssen Sie die Anforderungen Ihres Unternehmens definieren. Berücksichtigen Sie dabei die geltenden Gesetze und Normen, denen Sie unterliegen.
  • Wählen Sie das passende SIEM aus: Es gibt viele SIEM-Lösungen auf dem Markt. Wählen Sie eine Lösung, die Ihre individuellen Anforderungen erfüllt.
  • Planen Sie die Implementierung: Planen Sie die Implementierung sorgfältig, um sicherzustellen, dass alle Komponenten des SIEM korrekt konfiguriert und integriert sind. Stellen Sie sicher, dass alle Protokollierungs- und Überwachungsfunktionen gemäß den Anforderungen der geltenden Gesetze und Normen implementiert werden.
  • Überwachen und aktualisieren Sie das SIEM: Überwachen Sie das SIEM regelmäßig, um sicherzustellen, dass es ordnungsgemäß funktioniert. Aktualisieren Sie das SIEM, wenn neue Bedrohungen oder Anforderungen auftreten.
  • Dokumentieren Sie alles: Dokumentieren Sie alle Schritte und Maßnahmen, die Sie ergriffen haben, um sicherzustellen, dass das SIEM die geltenden Gesetze und Normen einhält. Halten Sie alle Aufzeichnungen und Protokolle für den Fall einer Überprüfung bereit.

Organisationen müssen sich durch ganzheitliche Risikobetrachtung in die Lage versetzen, auf gezielte Angriffe zu reagieren, diese einzudämmen und so größeren Schaden von Wirtschaft und Gesellschaft abzuwenden.

NIS2, SIEM und ISO 27001:

NIS2

NIS2 baut auf NIS1 auf und sorgt dabei für eine massive Erweiterung der Richtlinie (strengere Sicherheitsanforderungen, Meldepflichten, Durchsetzungsanforderungen, usw.) für einen weiteren Kreis von Organisationen. Doch das ist längst nicht alles: Mit NIS2 werden die Anforderungen an die Sicherheit von Netzwerk- und Informationssystemen auf ein neues Level gehoben. NIS2 hat ein klares Ziel vor Augen: Es soll die Anforderungen rundum Cybersicherheit innerhalb der EU weiter harmonisieren und gleichzeitig die Widerstandsfähigkeit kritischer Infrastrukturen gegen Cyberangriffe stärken.

Um Cyber-Risiken zu minimieren, sind organisatorische Anforderungen wie Risikomanagement, Incident-Management und stärkere Sicherheitsmaßnahmen in der Lieferkette notwendig. Auch verbesserte Netzwerksicherheit sowie bessere Zugangskontrollen und Verschlüsselungen tragen dazu bei. Es müssen Prozesse etabliert werden für eine unverzügliche Meldung von Vorfällen sowie ein effektives Reporting samt Nachweisen.

Handlungsempfehlungen:

  • Informieren Sie sich, ob das eigene Unternehmen als kritische Infrastruktur, Betreiber oder Anbieter mit wirtschaftlicher Bedeutung eingestuft wird.
  • Bewerten Sie die Sicherheitslage anhand einer Bestands- und Lückenanalyse. Dabei sind kritische Vermögenswerte zu identifizieren und mögliche Sicherheitslücken zu erkennen. Durch dieses Vorgehen kann der Reifegrad der IT-Sicherheitsmaßnahmen bewertet und Optimierungspotenziale aufgedeckt werden.
  • Cyber-Risikomanagement: Prüfen Sie bestehende Richtlinien oder führen Sie gegebenenfalls neue ein, um Risiken (auch in der Lieferkette) angemessen zu bewerten und zu behandeln.
  • Etablieren Sie Vorfallmanagementprozesse, um eine effektive Reaktion auf Vorfälle sicherzustellen. Denken Sie die Einrichtung eines SIEM-Systems zur Angriffserkennung an.
  • Geschäftskontinuitätsprozesse sind von großer Bedeutung. Diese Prozesse dienen zur Sicherstellung, dass kritische Funktionen und Services auch in Krisensituationen weiterhin verfügbar sind.

SIEM

Ein SIEM ist ein wichtiger Bestandteil eines effektiven Incident-Management-Systems und gilt nach dem aktuellen Stand der Technik als bewährte Technologie zur Angriffserkennung. Dieses System erfasst und wertet geeignete Parameter und Merkmale aus dem laufenden Betrieb kontinuierlich aus. Außerdem ist es in der Lage, fortwährend Bedrohungen zu identifizieren und zu vermeiden sowie für eingetretene Störungen geeignete Beseitigungsmaßnahmen vorzusehen.

Vorteile:

  • Sammlung aller sicherheitsrelevanten Informationen Ihrer gesamten IT-Infrastruktur in Echtzeit.
  • Daten werden zueinander in Beziehung gesetzt und relevante Korrelationen gefunden.
  • Datenanalyse und Erkennung außergewöhnlicher Muster und Trends, die auf Angriffe hinweisen.
  • Auffälligkeiten in Ihrem System sind sofort erkennbar und eine Meldung findet in Echtzeit statt.
  • Schnelle Reaktionsmöglichkeit und lückenlose Nachverfolgung von Angriffen.

ISO 27001

Die ISO 27001 definiert Anforderungen an Ereignisprotokolle und die Behandlung von Incidents in nachfolgenden Kapiteln:

  • 12.4.1 Ereignisprotokollierung
  • 12.4.2 Schutz von Protokollinformationen
  • 12.4.3 Administrator- und Betreiberprotokolle
  • 16.1.2 Meldung von Informationssicherheitsereignissen
  • 16.1.4 Bewertung und Einstufung von Informationssicherheitsereignissen
  • 16.1.6 Erkenntnisse aus Informationssicherheitsvorfällen
  • 16.1.7 Sammeln von Beweismaterial

Obwohl für die Umsetzung keine fest definierte Technologie vorgeschrieben wird, kann durch den Einsatz eines SIEM-Systems eine Automatisierung angestrebt werden. Der Personalaufwand und die Wahrscheinlichkeit menschlicher Fehler lässt sich verringern.

Damit ein fehlendes SIEM nicht zum Stolperstein einer fristgerechten Umsetzung von NIS2 wird, beachten Sie, dass die Einführung eines SIEMs viele personelle und monetäre Ressourcen beansprucht. Wir unterstützen Sie gerne bei einer ressourcensparenden und hemdsärmeligen Umsetzung eines SIEMs, welches den Anforderungen der Normen und Gesetze entspricht und nicht zu viele Ressourcen blockiert. Zudem wird eine Integration in den Arbeitsalltag von IT-Abteilungen unterstützt. Lassen Sie uns gerne darüber sprechen!

 

 

Teilen
Zur Übersicht