• Start
V-Hub by Vodafone BusinessSecuritySicherheitSecurity-Monitoring: Was SIEM, SOAR und MDR für die Cybersicherheit bedeuten
Situation mit mehreren Personen in einem Network-Operations-Center an Bildschirmen
Security

Security-Monitoring: Was SIEM, SOAR und MDR für die Cybersicherheit bedeuten

Marcus Ladwig im PortraitMarcus Ladwig
27.07.2022
12 Min.

    Das Thema Cyber-Vorfälle ist laut einer Untersuchung der Allianz-Versicherung 2022 auf Platz 1 der Geschäftsrisiken weltweit, gefolgt von (häufig hieraus resultierenden) Betriebsunterbrechungen und Naturkatastrophen. Während letztgenannte Problematik kaum direkt beeinflussbar ist, sind Firmen Cyberattacken nicht zwingend schutzlos ausgeliefert. Einen wirksamen Abwehrmechanismus zusätzlich zu den obligatorischen Firewalls und Antiviren-Programmen bieten sogenannte Managed-Detection-and-Response-Systeme (MDR-Systeme). Doch wie funktionieren sie und welche Rolle spielen in diesem Zusammenhang „Security Information and Event Management“ (SIEM) und „Security Orchestration, Automation and Responses“ (SOAR)? Das und noch mehr klärt dieser Beitrag.

    Während 2020 und 2021 die Coronapandemie den Alltag vieler Unternehmen dominiert hat, rückt 2022 das Thema Cybersicherheit wieder verstärkt in den Fokus. Kein Wunder: Ganze Gruppen von Hacker:innen bieten inzwischen mehr oder weniger unverhohlen sogar "Ransomware-as-a-Service", also Schadsoftware aus der Cloud gegen Entgelt an und verstärken so den Druck auf Unternehmen.

    Waren Sie schon einmal mit Lösegeldforderungen, Datenverlust oder Systemausfällen aufgrund von Cyberattacken konfrontiert? Dann kennen Sie vermutlich die enorme Rücksichtslosigkeit, mit der Cyber-Kriminelle heute Sicherheitslücken ausnutzen und Systeme mutwillig lahmlegen oder beschädigen. Eine wirksame Gegenmaßnahme führt über ManagedSecurity-Monitoring. Hierbei überwachen IT-Security-Analyst:innen den gesamten eingehenden und ausgehenden Netzwerkverkehr eines Unternehmens fortlaufend und suchen nach Auffälligkeiten. Im Fall der Fälle hilft eine schnelle Reaktion häufig, Schlimmeres zu verhindern.

    Inhaltsverzeichnis

    Was ist Security-Monitoring und warum ist es so wichtig?Wie funktioniert Security-Monitoring?Die Rolle von SIEM bei Cyber-BedrohungenSo entlastet SOAR-Automation beim MDR-Security-Monitoring die Arbeit des CSIRTWarum Unternehmen intelligentes Security-Monitoring benötigen

    Was ist Security-Monitoring und warum ist es so wichtig?

    Security Monitoring bezeichnet die kontinuierliche Überwachung der Sicherheit von IT-Systemen. Ziel ist das Erkennen von Anomalien und verdächtigen Vorgängen, die Hinweis auf eine Cyberattacke sein können.
    Seit dem Beginn des Internetzeitalters und mit immer mehr vernetzten Computersystemen ist die Zahl der möglichen Bedrohungen aus dem Internet kontinuierlich mitgewachsen. Mit der Zeit griffen nicht nur Hacker:innen immer raffinierter an – auch das Ausmaß der möglichen und tatsächlichen Schäden wächst bis heute. Zu den häufigsten Herausforderungen zählen laut einer Untersuchung der US-amerikanischen Marktforscher IDC derzeit:
    • Erhöhte Komplexität der Sicherheitsanforderungen
    • Immer mehr Ransomware-/Malware-Attacken
    • Phishing-Versuche
    • Advanced-Persistent-Threats (APT)
    Statistik zu Sicherheitsherausforderungen in Deutschland 2021
    Zu den größten Bedrohungen im IT-Umfeld zählten 2021 Sicherheitskomplexität, Ransomware-Attacken und Phishing.
    Gerade die im Fall der Fälle überaus unangenehmen Lösegeldforderungen bei Ransomware-Angriffen verdeutlichen die Bedeutung eines wirksamen Security-Monitorings: Laut einer Analyse der britischen Security-Spezialisten von Sophos haben Unternehmen 2021 im Schnitt ganze 1,85 Millionen US-Dollar pro Vorfall aufgewendet, um die Schäden von Cyberattacken zu beheben. Demgegenüber scheint die durchschnittlich gezahlte Lösegeldsumme mit im Schnitt knapp 200.000 US-Dollar vergleichsweise gering zu sein – kann aber ebenfalls siebenstellige Werte erreichen Außerdem sind immer mehr Cyberattacken erfolgreich, finden organisiert statt und beschränken sich nicht auf den reinen Versuch der Systemübernahme (Stichwort "Ransomware as a Service"). Die durchschnittliche Zeit bis zur Wiederaufnahme des regulären Serverbetriebs betrug laut einer Studie des Cybersecurity-Unternehmens Coveware ab dem Zeitpunkt des Angriffs im Schnitt 21 Tage.
    Hierbei gilt: Je früher Unternehmen die Bedrohung erkennen, umso eher können sie Gegenmaßnahmen ergreifen. Das reduziert im Fall der Fälle zum einen die Ausfallzeit der betroffenen Systeme, senkt aber gleichzeitig auch die mit dem Angriff verbundenen Kosten – laut einer IBM-Untersuchung um bis zu 30 Prozent.
    Wer nun glaubt, solche Attacken beträfen vor allem Großunternehmen, Regierungs-Webseiten und Behörden, der irrt. Laut Bitkom haben insbesondere Angriffe auf Unternehmen mit 10-99 Mitarbeitenden von 2017 auf 2021 von 52 auf 88 Prozent zugenommen. Ein Grund hierfür: Gerade kleine(re) Unternehmen verfügen oftmals weder über die Zeit, noch über die personellen Ressourcen oder die Expertise, um sich mit den immer ausgefeilteren Attacken von außen zu beschäftigen und ein wirklich sicheres internes Firmennetzwerk einzurichten.
    Eine junge Frau betrachtet lächelnd ein Tablet.

    Vodafone Business Security Services

    Unsere Expert:innen überwachen Ihre Sicherheit. Und sie übernehmen das Management Ihrer Vodafone Security-Lösung: Von der Ersteinrichtung bis zum Betrieb und der Wartung unterstützen wir Sie.

    • Rund um die Uhr
    • Immer aktuell
    • Alles auf einen Blick via Cyber Hub
    Jetzt hier informieren

    Wie funktioniert Security-Monitoring?

    Es kommt nicht selten vor, dass Geschäftspartner:innen oder Endkund:innen und nicht die hauseigene IT-Abteilung Unternehmen auf ein vorhandenes Sicherheitsproblem hinweisen. Das ist beispielsweise dann der Fall, wenn ein unzureichend geschütztes Unternehmen plötzlich anfängt, E-Mails mit verdächtigen Dateianhängen zu verschicken.
    Doch diese Art von "Security-Monitoring" ist nicht sinnvoll – nicht nur hinsichtlich des möglichen Imageschadens. Abgesehen davon, dass es in einem solchen Fall oft schon "zu spät" ist und beispielsweise wertvolle Daten des Unternehmens sowie von Kund:innen und Geschäftspartner:innen längst in fremde Hände gelangt sein können. Besser also, wenn eine vertrauenswürdige Stelle das Unternehmen fortlaufend auf mögliche Schwachstellen untersucht und dessen Schnittstellen überwacht.
    Hier kommt das sogenannte Security-Monitoring ins Spiel: Es stellt Cybersicherheit nicht nur von innen heraus über Firewalls, Virenscanner und Policy-Vereinbarungen sicher, sondern auch durch Beobachtung und Testen auf Schwachstellen "von außen". Insbesondere letzteres Vorgehen – auch als "friendly hacking" bekannt – weist Unternehmen auf Sicherheitslücken hin, bevor Cyber-Kriminelle diese ausnutzen. Insofern gibt es verschiedene Komponenten des Security-Monitorings, die grundsätzlich voneinander unabhängig arbeiten, jedoch miteinander Daten austauschen.

    V-Hub Digital Consulting: Persönliche Beratung

    Im V-Hub Digital Consulting können Sie neben praxisnahen Guides zur Umsetzung von Digitalisierungsprojekten auch einen Online-Termin mit unseren Expert:innen vereinbaren. Wir beraten Sie praxisnah zu Ihrem Unternehmen. Kostenlos und unverbindlich.

    Jetzt registrieren
    Ein Security-Operations-Center (SOC) betreibt und steuert üblicherweise ein solches Security-Monitoring-System. Dessen Hauptaufgabe besteht darin, eine Datenbank mit bekannten und neuen Bedrohungen zu pflegen – die so genannte SIEM-Datenbank, zu der Sie weiter unten mehr erfahren. Außerdem muss das SOC Maßnahmen zur Abwehr von Cyberangriffen in die Wege leiten. Durch sogenannte Korrelation, also die Feststellung von Zusammenhängen zwischen auffälligen Aktivitäten, identifiziert das SOC fortlaufend typische Angriffsmuster und kann somit mögliche Attacken zeitnah abwehren.
    Im Idealfall beeinträchtigt der Angriff den Geschäftsbetrieb des Unternehmens nicht oder nur geringfügig. Ähnliches gilt bei Fehlalarmen, wie sie in herkömmlichen Security-Umgebungen häufig vorkommen: Anstatt beispielsweise einen Webshop vorübergehend umzuleiten oder gar abzuschalten, weil ein:e Kund:in mehrfach das Passwort falsch eingegeben hat, stuft das SOC den speziellen Fall nach eingehender und manueller Prüfung vielleicht als nicht verdächtig ein und ergreift keine weiteren Maßnahmen. Dazu ist es allerdings notwendig, den gesamten Kontext des Vorgangs zu betrachten. Das ist nur mithilfe detaillierter Informationen zu den internen und externen Prozessen sowie zu den IT-Strukturen möglich.
    Diese Rund-um-die-Uhr-Aufgabe des Cyber-Security-Monitoring ist etwas für Cyber-Spezialist:innen und zumindest bei kleinen und mittelgroßen Unternehmen nicht für die hausinterne IT-Abteilung. Dazu ist die Bedrohungslage zu dynamisch und die Anforderungen an die Cybersicherheit sind zu komplex.
    Junger Mann studiert das Vodafone Cyber Security Whitepaper am Laptop

    Whitepaper: Cyber Security

    Cyberangriffe und kein Ende: Die potenziellen Schäden sind gewaltig und auch der Mittelstand ist zunehmend betroffen. Unser Cyber-Security-Whitepaper verrät, wie wirksamer Schutz vor Kriminellen gelingt:

    • Zahlen, Daten und Fakten zur Bedrohung durch Cyberattacken
    • Einblicke in Angriffsmethoden wie Malware, Ransomware & Co.
    • Maßnahmenplan, um Ihr Unternehmen effektiv zu schützen
    Jetzt kostenlos downloaden

    Die Rolle von SIEM bei Cyber-Bedrohungen

    Wann immer von einem professionellen Security-Monitoring die Rede ist, taucht früher oder später der Begriff "SIEM" auf. Dabei handelt es sich um die Abkürzung für den englischen Begriff "Security Information and Event Management", übersetzt in etwa "Sicherheitsinformations- und Ereignisverwaltung".
    Gemeint ist ein Ansatz im Security-Monitoring, der eine ganzheitliche Sicht auf die IT-Sicherheit in einem Unternehmen bietet. Eine wesentliche Aufgabe des SIEM ist es, sicherheitsrelevante Informationen aus verschiedenen Quellen zusammenzutragen, diese miteinander in Verbindung zu bringen und mögliche Cyber-Gefahren zeitnah zu erkennen. Als regelbasiertes System, meist unterstützt durch statistische Korrelationsmodelle, stellt das SIEM mögliche Verbindungen zwischen Ereignissen in Ereignisprotokollen her.
    Dabei werden auch Analysen des typischen Nutzungsverhaltens durchgeführt, die teils sogar hierbei typisches Systemverhalten mit einbeziehen. Ein Beispiel für eine solche kontextbezogene Beurteilung ist ein Ticketshop, bei dem es kurz nach Vorverkaufsstart für ein Konzert mit hoher Nachfrage naturgemäß vorübergehend zu einer hohen Auslastung kommt. Dass dabei Kund:innen häufiger die Seite neu laden, weil der Ladevorgang länger dauert und das Buchungssystem an seine Grenzen gerät, ist in einem solchen Fall erwartbar. Anders verhält es sich, wenn eine solche Situation "aus dem Nichts" heraus auftritt: Dann ist möglicherweise eine DDoS-Attacke die Ursache.
    Eine besondere Bedeutung haben SIEM-Systeme erstmals im Zusammenhang mit Kreditkartenbetrug und der Datenschutz-Grundverordnung (DSGVO) erhalten. Früher waren Cyberattacken häufig Einzelfälle und die Compliance-Anforderungen für Unternehmen überschaubar(er). Heutzutage hingegen ist ein umfassendes, wirksames Sicherheitsmanagement wesentliche Voraussetzung für den dauerhaften wirtschaftlichen Erfolg von (Online-)Unternehmen.
    Bis vor einigen Jahren standen das "Security Information Management" (SIM) und "Security Event Management" (SEM) separat voneinander als eigene Konzepte zur Echtzeitanalyse von Sicherheitsrisiken bereit. Sie beziehen bis heute ihre wesentlichen Informationen aus den Anwendungen und den Netzwerkkomponenten, arbeiten aber inzwischen zusammen als Basis für intelligente Entscheidungen zu möglichen IT-Sicherheitsvorfällen. Das erwähnte SIEM ist somit auch begrifflich eine Kombination aus SIM und SEM.
    Schmuckbild

    Schaffen Sie Regeln für privat genutzte Geräte – jetzt

    Mit V-Hub Digital Consulting schließen Sie mögliche Lücken in der Sicherheit Ihrer genutzten Endgeräte. Mit Schritt-für-Schritt-Anleitungen und konkreten Handlungsempfehlungen für Ihr Unternehmen.

    Jetzt loslegen
    Zu den wesentlichen Aufgaben eines mittlerweile meist cloudbasierten SIEM gehören:
    • Sammlung, Analyse und Darstellung von Netzwerk- und Sicherheitskomponenten
    • Dokumentation des bisherigen oder gewünschten Umgangs mit Sicherheitslücken
    • Speicherung von Logdateien für Betriebssysteme, Datenbanken und Anwendungen
    • Erkennung und Beurteilung von externen Gefahren für die Cybersicherheit
    • Echtzeit-Systemanalyse mit dem Ziel der sofortigen Gefahrenabwehr
    Ganzheitliche Lösungen wie das Security-Monitoring innerhalb der Vodafone Cyber Security Services, die auch die manuelle Analyse möglicher Bedrohungen einbeziehen, beinhalten dabei immer auch mindestens ein SIEM-Konzept. Ein kommerzielles SIEM-System, das mehrere Kund:innen gleichzeitig versorgt, ist proprietären Lösungen allein schon wegen der größeren Datenbasis deutlich überlegen. Die Kombination aus einem SOC und SIEM durch einen Drittanbieter wird auch als "Managed Detection and Response" (MDR) bezeichnet. Frei übersetzt bedeutet dies in etwa "Verwaltete Erkennung und Abwehr" (von Cyber-Bedrohungen).
    Weitere Vorteile von SIEM und einer MDR-Lösung sind:
    • Aufgrund von kürzeren Reaktionszeiten können Sie Ausfälle vermeiden und mögliche Schäden begrenzen. Ein zentrales Repository (verwaltetes Verzeichnis) ermöglicht Ihnen eine ganzheitliche Sicht auf die Organisation. Das Sammeln und Analysieren sicherheitsrelevanter Daten ist zudem einfacher.
    • Sie erhalten ein breites Anwendungsfeld auch für Compliance-Anforderungen, Audits und Netzwerkoptimierung.
    • Es gibt die Möglichkeit zur forensischen Analyse vergangener Bedrohungen oder Falschmeldungen und deren Ursachen.
    • Ihre IT-Mitarbeiter:innen können sich auf andere Bereiche in Ihrem Unternehmen konzentrieren, wenn ein MDR-Anbieter sich um Ihre Cybersecurity kümmert.
    • Ein Expert:innen-Team schützt Ihre Unternehmen rund um die Uhr gegen Bedrohungen durch Cyberkriminelle.
    • Der Einsatz externer MDR-Anbieter mag auf den ersten Blick mehr Geld kosten. Warum Sie jedoch tatsächlich Geld einsparen, lesen Sie im folgenden Abschnitt.
    Zu den möglichen Herausforderungen im SIEM-Umfeld gehören:
    • Eine eigene SIEM-Umgebung aufzubauen und zu betreiben, kostet unternehmerische Ressourcen und erfordert entsprechendes Know-how. Doch externe Anbieter bringen diese Fähigkeiten bereits mit und setzen sie ohne Verzögerung ein. Dies kann Ihrem Unternehmen Kosten sparen. Teure Schulungen, die Anschaffung neuer Hard- und Software sowie zusätzliche Personalkosten entfallen.
    • Der Erfolg der SIEM-Lösung hängt vor allem von der Qualität der aufgestellten Regeln ab. Es ist mitunter schwierig, hier stets auf dem neuesten Stand zu bleiben und Bedrohungen rechtzeitig zu erkennen. Auch hier unterstützen Sie MDR-Anbieter wie Vodafone mit den Cyber Security Services.
    Eine solche Managed-Detection-and-Response-Lösung ist in der Lage, beide Schwierigkeiten geeignet zu adressieren und Unternehmen optimal zu schützen.
    Die Grafik zeigt, mit welchen Maßnahmen und an welchen Orten das Vodafone Sicherheitspaket gegen Cyberangriffe wirkt.
    Safety first! Das digitale Sicherheitspaket gegen Cyberangriffe

    So entlastet SOAR-Automation beim MDR-Security-Monitoring die Arbeit des CSIRT

    Weitergehende SIEM-Konzepte unter Beteiligung von künstlicher Intelligenz und Big-Data-Analysen bezeichnen Expert:innen auch als "Security Orchestration, Automation and Responses" (SOAR). Mehr dazu erfahren Sie weiter unten in diesem Artikel. Wie bereits erwähnt, ist eine der wesentlichen Herausforderungen im SIEM – wie bei anderen Sicherheitsmechanismen auch – die korrekte Einstufung möglicher Bedrohungen: Gibt es zu viele falsch-positive Treffer, wird unnötig Alarm geschlagen.
    Im umgekehrten Fall hingegen erkennt das IT-Security-System Attacken nicht oder nicht rechtzeitig als solche – und ist im schlimmsten Fall wirkungslos. Aus diesem Grund werden SIEMs fast immer durch entsprechende Krisenteams unterstützt, die im Fall der Fälle genau wissen, was zu tun ist. Diese werden auch als Computer Security Incident Response Team (CSIRT) bezeichnet und arbeiten meist bei einem entsprechenden MDR-Dienstleister.
    Dabei bedienen sich CSIRT immer mehr der erwähnten SOAR-Systeme. Diese Systeme bieten eine intelligente, cloudbasierte und meist auch KI-gestützte Analyse und Bewertung von Netzwerkereignissen, beispielsweise die Erkennung von Spyware. Sie leisten dabei wertvolle Filterarbeit für die Unterscheidung von gewöhnlichem und "schädlichem" Traffic. Darüber hinaus können sie sogar mögliche Attacken unter bestimmten Voraussetzungen automatisch abwehren.
    Hierbei kommen sogenannte Threat-Intelligence- und Incident-Response-Plattformen zum Einsatz. Diese beinhalten wertvolle Daten über vorangegangene Attacken und Informationen darüber, welche Maßnahmen bei diesen in der Vergangenheit eine wirksame Abwehr ermöglicht haben. So "lernt" das SOAR-System, was als Bedrohung gilt und was nicht und stellt sich auf alle möglichen Arten von Cyber-Bedrohungen ein.
    Vergleichstabelle für managed SIEM vs MxDR
    Eine MDR-Lösung bietet gegenüber einem Standalone-SIEM eine Reihe von Vorteilen.
    Durch diese Entlastung hat das CSIRT mehr Zeit, um sich auf wirklich neuartige Bedrohungen und die Abwehr besonderer Cyberattacken zu konzentrieren, mit denen das SOAR bislang nicht zurechtkommt. Gleichzeitig stellt das System sicher, dass sämtliche Sicherheitsbedrohungen aus verschiedenen Quellen an einer zentralen Stelle im SOC bewertet und neue Erkenntnisse umgehend genutzt werden können.

    Warum Unternehmen intelligentes Security-Monitoring benötigen

    Das Potenzial an möglichen Cyber-Bedrohungen ist riesig. Dabei wird das Hauptproblem des finanziellen Risikos durch Betriebsunterbrechung, Umsatzausfall und IT-Forensik oder Ersatzbeschaffung durch die Gefahr der Rufschädigung bei längeren Ausfällen oder Datendiebstahl zusätzlich noch verschärft. Trotzdem ergreifen viele Unternehmen bis heute nur minimale Sicherheitsmaßnahmen und öffnen so Kriminellen Tür und Tor für ihre Machenschaften.
    Kaum ein Unternehmen, das bereits Opfer einer Cyberattacke geworden ist, verlässt sich anschließend nur noch auf die hauseigene Firewall oder andere isolierte Systeme der IT-Sicherheit. Es ist also mehr als lohnend, die Gefahr durch Cyber-Kriminelle auf ein Minimum zu reduzieren.
    Microsoft Defender für Unternehmen

    Microsoft Defender for Business

    Mittelständische Unternehmen sind anfällig für Cyber-Bedrohungen. Sie haben weniger Ressourcen und meist wenige IT-Fachkräfte. Hybrides Arbeiten vergrößert diese Angriffsfläche. Wir helfen Ihnen – mit dem Microsoft Defender für Unternehmen.

    Neu: Jetzt mit Vodafone Managed Endpoint Sercurity Service. Wir überwachen für Sie die Cyber-Sicherheit Ihres Unternehmens rund um die Uhr.

    • Schutz vor Ransomware, Phishing und anderen Bedrohungen
    • In Microsoft 365 Business Premium als zusätzlicher Schutz für Office-Anwendungen bereits enthalten
    Das kann der Microsoft Defender
    Eine gut durchdachte Sicherheitsstrategie und die sinnvolle Kombination mehrerer Cyber-Abwehrmechanismen hilft bereits in vielen Fällen, Angriffe zeitnah zu erkennen. Der MDR-Ansatz wiederum sorgt durch intelligente, lernende Systeme und manuelle Unterstützung im Idealfall dafür, dass Angriffe gar nicht erst stattfinden können. Dabei ist es wichtig, nicht nur bestimmte, sondern alle möglichen Bedrohungen in das Security-Monitoring-Konzept einzubeziehen. Auch der Faktor Mensch spielt hier eine wichtige Rolle. Nicht zuletzt finden immer wieder auch Angriffe auf Unternehmen "von innen heraus" statt.
    Laut einer Studie der Unternehmensberatung ESG fehlt 34 Prozent aller Unternehmen das nötige Personal, um im Falle eines Angriffs die Ursachen und den Ablauf der Attacke analysieren zu können. Unternehmen, die sich hierbei auf Partner wie Vodafone verlassen, sind klar im Vorteil und für alle Eventualitäten optimal gerüstet. Denn selbst, wenn herkömmliche Sicherheitssysteme den Super-GAU mit Datenverlust, Systemausfällen und Millionenschäden verhindern: Auch eine Lösegeldforderung im sechsstelligen Bereich ist verglichen mit den laufenden Kosten für ein funktionierendes Security-Monitoring-System sehr teuer. Von dem damit verbundenen Ärger und den zu erwartenden Ausfallzeiten einmal ganz abgesehen.
    Marcus Ladwig im PortraitMarcus Ladwig
    27.07.2022
      # Tags:SicherheitDigitalInnovationTipps
      Das könnte Sie auch interessieren:
      Security

      SSL-Verschlüsselung: So trägt sie zur Sicherheit im Web bei

      Secure Sockets Layer (SSL) und Transport Layer Security (TLS) sind die wohl wichtigsten Verschlüsselungsstandards im Internet. Erfahren Sie hier alles Wichtige über diese Technologie und warum SSL/TLS heute Grundlage für sicheres Surfen und sichere Online-Kommunikation ist.

      Weiterlesen

      Digitalisierungsberatung

      Die Beraterinnen und Berater helfen Ihnen kostenlos und unabhängig bei praktischen Fragen und geben konkrete Tipps. Vereinbaren Sie einen unverbindlichen Termin um Ihr Anliegen zu besprechen.

      Termin vereinbaren