|
|
|
|
|
|
 |
|
|
|
|
|
 |
|
Mehrfach zertifiziert und mehrfach sicher |
Computerwoche, Symantec Beilage 12/2007
Als einer der größten IT-Dienstleister in der deutschen Finanzbranche bietet das IZB Informatik-Zentrum mit rund 600 Mitarbeitern ein breites Leistungsspektrum an: von der kompletten IT-Infrastruktur über Teilbereiche wie den Betrieb der Server oder des Rechenzentrums bis hin zur Datenspeicherung und Telefonie. Zertifiziert ist das Unternehmen gleich mehrfach: nach ISO 9001:2000, ISO 27001:2005, Best CPI sowie nach Trusted Site Infrastructure der TÜVIT. Zu den Kunden zählen Banken, Landesbanken und Sparkassen.
Wissen was los ist
Sicherheitsrelevante Daten systematisch auswerten: Das IZB Informatik-Zentrum setzt auf Symantec Security Information Manager 9550
Eines haben fast alle Netzwerke gemein: sicherheitsrelevante Ereignisse werden detailliert dokumentiert. Meist jedoch werden die Daten nur dezentral erfasst, nicht aber an einer zentralen Stelle zusammengeführt. Geschweige denn systematisch korreliert. So erschließt sich nicht wirklich, was im Netzwerk vor sich geht. Dafür bedarf es einer gezielten Analyse sämtlicher Sicherheitsinformationen aus den verschiedenen Quellen.
Fast jedes unternehmenskritische IT-System liefert kontinuierlich Informationen über seinen aktuellen Zustand und auftretende Ereignisse. Oft jedoch wandern diese in eine Log-Datei, in ein Ereignisprotokoll oder eine Datenbank und warten dort - meist vergeblich - auf weitergehende Analyse. Die Gründe: Zum einen ist die Menge der gesammelten Daten in der Regel zu groß, um sie ohne entsprechende Software sinnvoll auszuwerten. "Allein unsere rund 80 Firewall-Systeme produzierten im Oktober 2004 pro Tag knapp 16,5 Millionen Meldungen", sagt Matthias Tauber, Leiter der Abteilung Netzsicherheit beim IZB Informatik-Zentrum in Offenbach. "Das ist manuell nicht analysierbar." Zum anderen werden Informationen über ein Ereignis wie einen etwaigen Einbruchsversuch in das Unternehmensnetz an verschiedenen Stellen erfasst: in den Log-Dateien der Firewall und des Intrusion-Detection-Systems sowie in Meldungen von Netzwerkkomponenten. Erst wenn man sie korreliert, wird das Bild wirklich aussagekräftig. Aber das lässt sich ohne entsprechende Software kaum bewerkstelligen. "Daher haben wir ein Security-Information-Management-System gesucht, das die Auswertung von Netzwerkinformationen automatisiert", erinnert sich Tauber. Sicherheitsvorfälle sollten automatisch erkannt und bewertet werden - als Grundlage für ein weiter verbessertes Sicherheitsmanagement beim IZB Informatik-Zentrum.
Die Wahl fiel auf Symantec Security Information Manager 9550, der seit Mitte des Jahres 2006 produktiv ist. An drei Standorten, Offenbach, Nürnberg und München sammeln Kollektoren sämtliche sicherheitsrelevanten Daten ein: Log- und Status-Informationen der Firewalls und Intrusion-Detection-Systeme sowie die Daten des Authentisierungssystems und die der Hosts und Linux, Solaris und Windows. Anschließend entfernen die Kollektoren Dubletten und normalisieren die Meldungen, bevor sie sie komprimiert nach Nürnberg weiterreichen. Hier sucht eine Korrelations-Engine systemübergreifend nach Sicherheitsvorfällen, kategorisiert sie und schlägt Alarm, wenn es nötig ist. Das geschieht heute nicht häufiger also vor der Einführung des Systems. Dafür aber so frühzeitig, dass die Administratoren handeln können, bevor ein größerer Schaden entstehen könnte. Tauber ist zufrieden: "Mit Hilfe von Symantec Security Information Manager 9550 sind wir in der Lage, einzelne Ereignisse schneller zu einem Vorfall zu verdichten und proaktiv zu agieren."
|
| zurück zur Übersicht |
|
|
 |
|
|
|
|
|
|
|
|
|
