Am 16. und 17.09.2014 fand wieder die D.A.CH Security statt - dieses Mal in Graz an der Technischen Universität. Ziel der Veranstaltung ist es, eine interdisziplinäre Übersicht zum aktuellen Stand der IT-Sicherheit in Industrie, Dienstleistung, Verwaltung und Wissenschaft in Deutschland, Österreich und der Schweiz zu geben. Insbesondere sollen Aspekte aus den Bereichen Forschung und Entwicklung, Lehre, Aus- und Weiterbildung vorgestellt, relevante Anwendungen aufgezeigt sowie neue Technologien und daraus resultierende Produktentwicklungen konzeptionell dargestellt werden. Die DECOIT GmbH war vor Ort, um das SIEM-Lösungen vorzustellen und mit den Teilnehmern zu diskutieren.

Die D.A.CH Security startete mit SIEM-Systemen, d.h. großen Datenbanken mit vorgeschalteten Analysesystemen, die meistens auch Verknüpfungen zu den Asset-Inventardaten bieten. Die Anwendungsfälle von SIEM liegen in der Angriffserkennung, Protokollierung der Nutzung privilegierter Rechte, Compliance und Awareness. Es existieren zahlreiche Systeme am Markt, auch Open-Source-basierte. Dabei besteht das Hauptproblem darin, dass Alarme für den Administrator lesbar sein müssen. Wenn dies nicht möglich ist, schafft man sich zusätzliche Risiken (mangelnde Aussagekraft, verspätete Reaktionen, erhöhter Schaden). Nur schnelle Reaktionen können Schäden effektiv begrenzen (da laut Statistik innerhalb von 24 Stunden 84% der Angreifer erfolgreich im internen Netz sind). Ohne zentrale Protokollierung werden zudem viele Spuren zerstört. Allerdings bedürfen auch SIEM-Systeme einer kontinuierlichen Pflege  (Tuning und Customizing). Ein beträchtlicher Mehraufwand kommt durch Quellenkonfiguration und Datenerfassung hinzu. Daher war eine zentrale Frage, ob man an der Komplexität und Geschwindigkeit zu scheitern droht. Die Antwort war nein, wenn das SIEM-System automatisiert werden kann.

In ihrem Fachortrag stellte die DECOIT GmbH ihre SIEM-Projekte vor und beleuchtete den technischen Hintergrund eines SIEM-Systems. Ein solches System besteht aus diversen Modulen, wie Event Correlation, Network Behaviour Anomaly Detection (NBAD), Identity Mapping Key Performance Indication, Compliance Reporting, Application Programming Interface (API) und Role Based Access Control. Alle diese Module müssen ein integraler Bestandteil einer SIEM-Lösung sein, wenn sie alle Anforderungen an ein solches Sicherheitssystem erfüllen will. Besonders das leichte Erkennen von Handlungsempfehlungen sowie die intelligente Analyse von Sicherheitsvorfällen sollte ein SIEM-System beherrschen. Aber genau daran hapert es bei den meisten Lösungen. Das iMonitor-Projekt will genau diese Schwachstellen lösen und arbeitet daher mit Hochdruck an diesen Leistungsmerkmalen.