Expertenartikel Pressespiegel Pressemeldungen Pressebausteine Presseverteiler Archiv

Schnelle Reaktion auf Auffälligkeiten

Die Sparkassen Zeitung, November 2006

Seit Mitte 2006 führt das IZB Informatik-Zentrum sämtliche Statusmeldungen aller sicherheitsrelevanten IT-Komponenten in einem Security-Informations-Management-System (SIM) zusammen. Das SIM korreliert diese Informationen in Echtzeit und kann dadurch kritische Ereignisse erkennen und entsprechend darauf reagieren. Da der Aufbau eines SIM mit sehr hohen Kosten für Lizenzen und Personal verbunden ist, bietet das IZB Informatik-Zentrum das Security Information Management ab sofort auch als Managed Security Service an.

VON GEORG VON DER HOWEN

Wer behauptet, er wisse genau was in seinem Netzwerk von sich geht, der spricht die Unwahrheit - oder hat ein Security Information-Management-System installiert. Denn fast jedes unternehmenskritische IT-System liefert zwar heute kontinuierlich Informationen über seinen aktuellen Zustand und über bestimmte aufgetretene Ereignisse. Doch wandern diese Daten entweder in eine Log-Datei, in ein Ereignisprotokoll oder in die Datenbank einer Managementsoftware des entsprechenden Herstellers und warten dort auf ihre Analyse durch die Systemadministratoren - die in den seltensten Fällen stattfindet. Dafür gibt es zwei Gründe: Zum einen ist die Menge der gesammelten Daten so groß, dass sie kaum von Menschenhand verarbeitet werden kann. Zudem verteilen sich Informationen über ein Ereignis wie beispielsweise einen Einbruchsversuch in das Unternehmensnetz auf die Log-Dateien von Firewall und Intrusion Detection System sowie auf Meldungen von Netzwerkkomponenten. Diese Einzeldaten allein lassen noch nicht auf einen Vorgang schließen, erst korreliert zeichnen sie ein klares Bild des Vorfalls.

16,5 Millionen Meldungen an einem Tag

Mit diesem Problem sah sich auch das IZB Informatik-Zentrum im Jahre 2004 konfrontiert. Als Tochtergesellschaft der Sparkassen Informatik bietet das IZB Informatik-Zentrum als einer der führenden deutschen IT-Dienstleister unter anderem den Unternehmen der Sparkassen-Finanzgruppe IT-Outsourcing-Dienste an. Matthias Tauber, Leiter der Abteilung Netzsicherheit in Offenbach, erinnert sich an das Dilemma: "Allein unsere rund 80 Firewall-Systeme produzierten im Oktober 2004 pro Tag knapp 16,5 Millionen Meldungen. Die kontinuierliche Auswertung dieser Informationsflut war in manueller Arbeit durch die Mitarbeiter nicht möglich, so dass wir uns nach alternativen Möglichkeiten umsehen mussten." Die sicherheitsrelevanten Log-Dateien von Instrusion Detection Systemen (IDS), Routern, Switches und andere Netzwerkkomponenten waren in dieser Zählung nicht einmal eingeschlossen.

Die lange Suche nach einer funktionierenden Lösung

Um das Problem zu lösen entwickelte das IZB Informatik-Zentrum im Rahmen einer Diplomarbeit von Oktober 2004 bis Januar 2005 ein Konzept für ein Security Information Management (SIM), das zukünftig alle sicherheitsrelevanten Log-Daten aller Komponenten in den drei Standorten Offenbach, Nürnberg und München sowie im weltweiten Managementnetz sammeln, korrelieren und auswerten sollte. Von damals acht am Markt verfügbaren Produkten kamen drei in die nähere Evaluation. Das Ergebnis der Untersuchung war jedoch ernüchternd - denn keines der betrachteten Produkte konnte sich letztlich für den produktiven Einsatz als tauglich erweisen. Nach einer dreimonatigen Pause nahmen die Spezialisten das Thema im April 2005 wieder auf, da zwischenzeitlich zwei weitere Hersteller den Markt betreten hatten - unter anderem Symantec mit einer noch im Beta-Stadium befindlichen ersten Version des "Security Information Managers 9550". "Letztlich haben wir uns für das Produkt von Symantec entschieden, da wir unter anderem hier die Möglichkeit hatten, auf die Entwicklung des Produkts Einfluss zu nehmen", erklärt Peter Blumoer, Teamleiter für unterstützende Sicherheitssysteme der Abteilung Netzsicherheit: "Zudem war der Security Information Manager von den Lizenzkosten her attraktiver." Im November 2005 begann die Abteilung mit der Einführung des Produkts und im Juni 2006 flossen die ersten Daten aus den Produktivsystemen in die Analysesysteme.

Automatische Bewertung des Bedrohungspotenzials

Heute sammeln an den Standorten Offenbach, Nürnberg und München verschiedene so genannte Kollektoren sämtliche Log- und Status-Informationen der Firewalls und Intrusion-Detection-Systeme, des Authentisierungssystems sowie von Hosts unter Linux, Solaris und Windows. Die Kollektoren entfernen dann Doubletten und normalisieren die Meldung, bevor sie sie komprimiert an die Korrelations-Engine in Nürnberg weiterreichen. Diese mehrstufige Architektur stellt die Skalierbarkeit des SIM-Systems sicher und sorgt für eine kontrollierbare Bandbreitennutzung auf den Weitverkehrsstrecken. Die Korrelations-Engine sucht dann systemübergreifend nach Sicherheitsvorfällen, kategorisiert diese, Schlägt je nach Wichtigkeit des Vorfalls Alarm und übergibt den Vorfall an das interne Alarmierungs- und Ticketingsystem. Zwar registriert das IZB Informatik-Zentrum heute nicht mehr Security Incidents als vor der Einführung des Systems. "Mit Hilfe der SIM sind wir jetzt aber in der Lage zum einen deutlich schneller auf Auffälligkeiten zu reagieren und zum anderen verschiedene Events zu einem Vorfall zu verdichten und somit proaktiv darauf zu reagieren", erläutert Tauber.

Erkennen, wenn einer die Firewall umgeht

Alles in allem investierte das IZB Informatik-Zentrum einen hohen sechsstelligen Betrag in ihre SIM-Infastruktur. Hinzu kamen allein für die Anbindung von Firewalls, IDS und Authentisierungssystem sowie die initiale Erstellung des SIM-Regelwerks rund 900 Personenstunden. Ein Mitarbeiter ist seit dem Start des Projekts vollständig mit der Pflege der Policies und der Wartung der entsprechenden Infrastruktur beschäftigt. Dies ist auch einer der Gründe, warum das IZB Informatik-Zentrum als einer der ersten IT-Dienstleister überhaupt das Security Information Managemement als Managed Security Service für Unternehmen anbietet. Denn das Einsparpotential durch Outsourcing ist hier im Vergleich zum "Selbermachen" besonders hoch. In Folgeprojekten werden beim IZB Informatik-Zentrum auch Syslog-Meldungen von weiteren Netzwerkkomponenten in die Korrelation mit einbezogen. Zudem sollen die so genannten Netflow-Daten der Router, das heißt die Verbindungsdaten aus dem Netzwerk, in das SIM eingespeist werden. "Mit Hilfe der Netflow-Informationen können wir zukünftig unser SIM auch dazu verwenden, Security Policies zu kontrollieren", schießt Peter Blumoer ab. "Wenn es beispielsweise jemand schafft, eine Firewall zu umgehen, können wir das mit Hilfe der Netflow-Daten und SIM dann sofort sehen."

Missbrauchsversuche im Zuge der Vertraulichkeit erkennen

Eine zusätzliche Erweiterung der SIM umfasst das Zusammenführen von Meldungen geschäftskritischer Anwendungen. Durch diese Integration sind Unternehmen in der Lage Missbrauchsversuche in ihren Anwendungen zu erkennen und darauf zu reagieren bevor die Vertraulichkeit der Daten gefährdet ist. Das Einbinden von Standardapplikationen gehört genauso zu diesem Service wie Verfahren zur Kopplung von Eigenentwicklungen der Unternehmen. Insbesondere dieser Punkt ist bei den derzeitigen Entwicklungen im Umfeld Basel II, BSI-Grundschutz und mehr ein wichtiger Baustein zur Darstellung der Richtlinenkonformität der Applikationen.

Interview

Wir haben viel Luft nach oben

Dr. Walter Kirchmann, Geschäftsführer des IZB Informatik-Zentrum in München, nimmt in der Sparkassen-Zeitung zum SIM-Projekt Stellung.

DSZ: Her Kirchmann, für wen eignet sich Security Information Management als Dienstleistung?

Kirchmann: Grundsätzlich ist SIM für jedes Unternehmen wichtig, das unternehmenskritische Anwendungen in seinen Geschäftsprozessen hat und wissen will, was in seinem Netz und den Anwendungen passiert. Gerade im Rahmen von Basel II wird dies auch für Mittelständler immer wichtiger.

DSZ: Muss das IZB Informatik-Zentrum dazu die komplette IT-Infrastruktur des Kunden betreiben?

Kirchmann: Nein. Gerade wenn ein Unternehmen seine IT noch selbst betreibt oder ein anderer Dienstleister dies tut, können wir einfach das Security Information Management übernehmen und im zweiten Fall sogar die Aktivitäten des anderen Dienstleisters mit überwachen.

DSZ: Lohnt sich das Outsourcing von SIM für ein Unternehmen?

Kirchmann: Auf alle Fälle. Denn einerseits müssen unsere Kunden in dem sehr komplexen Bereich kein eigenes Know-How aufbauen. Andererseits können wir Synergien bei der aufwändigen Erstellung und kontinuierlichen Pflege des Regelwerks nutzen. Und schließlich gibt es deutliche Skaleneffekte beim Lizenzkauf.

DSZ: Was wollen Sie zukünftig in diesem Beriech noch anbieten?

Kirchmann: Zunächst werden wir die Ergebnisse aktiver Sicherheitsscanner mit in das SIM einbinden. Damit können wir Angriffe auf bereits geschlossene Sicherheitslücken weniger hoch bewerten als Attacken auf offene Lücken. Mittelfristig führt der Weg von der Erkennung von Vorfällen hin zur automatischen Überwachung der internen Sicherheitsrichtlinien.

DSZ: Können Sie diese Informatiosflut dann zukünftig überhaupt bewältigen?

Kirchmann: Unsere SIM-Infrastruktur kann heute 200 Events pro Sekunde korrelieren. Damit haben wir sehr viel Luft nach oben. Und bei Bedarf können wir unsere Infrastruktur jederzeit schnell erweitern.

zurück