Unternehmensnetzwerke müssen vor Angriffen geschützt werden. Das ist nicht nur in großen multinationalen Konzernen bekannt, sondern zum Glück mittlerweile auch bei kleinen und mittelständischen Unternehmen angekommen. Ein zentraler Paketfilter und automatische Updates von Virensignaturen reichen jedoch nicht aus, um die Sicherheit eines Netzwerks zu garantieren und zu überwachen. Kontinuierliches Monitoring von Logs und Events als Teil des Security Information and Event Managements (SIEM) ist notwendig, um die Qualität der IT-Sicherheit zu gewährleisten. Anomalieerkennung mit den gesammelten Daten findet dabei auf der Grundlage fester Regelsätze oder über spezielle Lernalgorithmen statt.
Die Informationen aus dem SIEM werden in vielen Unternehmen wie Geschäftsgeheimnisse bewahrt. Man redet schließlich nicht gern öffentlich über erfolgte Angriffe – vor allem dann nicht, wenn diese erfolgreich waren. Die Diskussionen um das neue IT-Sicherheitsgesetz und eine mögliche Meldepflicht verdeutlichen dies allzu sehr. Tatsächlich ließe sich jedoch durch gezielten Austausch von Informationen über Angriffe und Angriffsversuche die Sicherheit für alle Teilnehmer eines solchen Systems deutlich erhöhen.
...Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.