In dieser Folge von BlueScreen Wissen befassen wir uns mit dem Konzept des Security Incident and Event Monitoring (SIEM), einer zentralen Lösung zur Protokollierung und Analyse sicherheitsrelevanter Ereignisse. Ein zentrales Log-Management ist entscheidend, da sicherheitsrelevante Protokolle oft auf individuellen „Inseln“ gespeichert sind, was die Nachverfolgbarkeit von Vorfällen erheblich erschwert. Wir beleuchten die Herausforderungen, die ein Mangel an zentralisierter Protokollierung mit sich bringt, und diskutieren, wie wir durch eine effektive Überwachung vergangene Vorfälle analysieren und zukünftigen Bedrohungen proaktiv begegnen können.

Wir klären, warum es wichtig ist, Protokolle von verschiedenen Quellen, wie Firewalls, Windows-Ereignisprotokollen, Virtualisierungslösungen und Antivirus-Programmen, zu zentralisieren. Ein Hauptaugenmerk liegt dabei darauf, Ereignisse zu korrelieren, um Muster zu erkennen und potenzielle Sicherheitsvorfälle im Unternehmen nachvollziehen zu können. Dabei wird betont, dass ohne ein zentrales Management System die Analyse und Aufbereitung von Vorfällen kaum möglich ist und dass proaktive Schritte zur Verbesserung der Sicherheitslage unabdingbar sind.

Ein möglicher Startpunkt für das zentrale Log-Management wird durch den Einsatz eines Syslog-Servers auf Linux-Systemen aufgezeigt, der eine kostengünstige Lösung darstellt, jedoch in der grundlegenden Auswertbarkeit begrenzt ist. Alternativen, wie die Community-Version von Splunk, ermöglichen eine leistungsstärkere Datenverarbeitung und bieten eine benutzerfreundliche Weboberfläche zur Auswertung der gesammelten Protokolle. Mit Splunk können nicht nur Log-Daten von verschiedensten Quellen verarbeitet werden, sondern auch automatische Alarmierungen und Benachrichtigungen bei verdächtigen Aktivitäten eingerichtet werden.

Ein zentrales Thema ist die Unlöschbarkeit der gesammelten Protokolle, insbesondere im Kontext von Angreifern, die versuchen könnten, ihre Spuren zu verwischen. Die Speicherung der Logs außerhalb der betroffenen Systeme, eventuell sogar in der Cloud, bietet zusätzlichen Schutz und gewährleistet, dass die Informationen unzugänglich für Angreifer sind. Darüber hinaus wird auf die Notwendigkeit der Überwachung des gesamten Datenverkehrs eingegangen, um vollständige Transparenz über alle Aktivitäten in der Infrastruktur zu erreichen.

Wir thematisieren auch das schwierigere Terrain des verschlüsselten Datenverkehrs, der für viele SIEM-Lösungen eine Herausforderung darstellt. Die Möglichkeit, SSL-Interception durchzuführen, wird in den Raum gestellt, wobei betont wird, dass dies auch ethische und datenschutzrechtliche Implikationen hat, die beachtet werden müssen.

Zusätzlich geben wir praktische Hinweise zur Implementierung dieser Systeme, einschließlich der Notwendigkeit, Daten nur für den Zeitraum aufzubewahren, der zur Bearbeitung benötig wird, um den Anforderungen der Datenschutz-Grundverordnung (DSGVO) gerecht zu werden. Wir warnen vor der Gefährdung der Privatsphäre von Mitarbeitern und der möglichen Verwendung der Daten für unzulässige Zwecke, wie etwa die Überwachung von deren Browserverhalten.

Schließlich betonen wir die Verantwortung, die mit der Sammlung und Analyse von Logs kommt. Die richtige Handhabung dieser wertvollen Daten ist nicht nur entscheidend für die Sicherheit des Unternehmens, sondern auch für das Vertrauen der Mitarbeiter in den Umgang mit sensiblen Informationen. Diese Folge von Blue Screen Wissen bietet somit einen umfassenden Überblick über die Notwendigkeit, Möglichkeiten und Herausforderungen des zentralisierten Log-Managements in der heutigen, zunehmend digitalisierten Welt.

Shownotes: