Vertrauen ist gut, Kontrolle ist (un)möglich

Mit einem Fahrerlebnis auf dem Gelände des Safety Park in Bozen mit Elektro- und Hybrid-Autos wurden die Gäste von der IT-Welt in die Realität der Verkehrssicherheit auf den Straßen zurück katapultiert.

Im Mittelpunkt der Veranstaltung standen die Sicherheitssysteme Security Information and Event Management SIEM und Network Access Control NAC – Mechanismen, die alle Sicherheitsereignisse überwachen und kontrollieren. „Bei Eurotherm legen wir hohen Wert auf die Sicherheit unserer Systeme, und auch die Sensibilisierung der Mitarbeiter für dieses Thema spielt im heutigen Geschäftsleben eine zentrale Rolle. Seit Langem ist KONVERTO unser Partner und Berater in Sachen IT-Sicherheit und Cloud-Lösungen. Die verlässliche, kompetente und innovative Denk- und Arbeitsweise hat uns seit jeher Überzeugt“, unterstreicht Christian Pezzei, Geschäftsführer von Eurotherm.

„Die Sicherheit des Unternehmensnetzes im Blick zu haben, die Geräte zu kontrollieren, mit denen Mitarbeiter sich ans Netz anschließen und die Systeme vor Angriffen von außen zu schützen, sind Aspekte, die bei Alperia von größter Bedeutung sind. Zu wissen, dass es Mechanismen gibt, die für mehr Sicherheit und Kontrolle sorgen, ist essenziell, um sich den zunehmenden Herausforderungen der Digitalisierung zu stellen“, sagt Sandro Moretti, Division Manager Teleconduction & Telecommunication von Alperia. „KONVERTO hat innovative Lösungen, die den Sicherheitsanforderungen von Unternehmen gerecht werden.“

Was versteht man unter SIEM und NAC?

Security Information and Event Management SIEM heißen die Systeme, die genau diese Aufgabe übernehmen; die Ereignisdaten von unterschiedlichsten heterogenen IT-Systemen werden zentral gesammelt, interpretiert, klassifiziert und daraus werden Schlüsse gezogen. Die Analyse der Ereignisse verläuft dabei in Echtzeit, sodass im Ernstfall sofort ein Alarm ausgelöst wird und dadurch ein Schaden noch abgewendet oder eingegrenzt werden kann.

Korrelation der Ereignisse

Die Kernfunktion eines SIEM besteht in der Korrelation der Ereignisse. Dabei werden Vorfälle auf unterschiedlichsten Systemen untereinander in Verbindung gebracht und daraus eine Sicherheitsbedrohung abgeleitet. Die Einzelereignisse auf den verschiedenen Systemen sind nämlich oft für sich allein betrachtet recht unkritisch, im Zusammenhang über die Systemgrenzen hinweg betrachtet kann daraus aber eine klare Verletzung der IT-Sicherheit erkannt werden. Das Erstellen eines neuen Kontos auf einem System durch einen Administrator ist eigentlich ein unbedeutendes Ereignis, wenn allerdings dieser Vorgang an einem unüblichen Ort stattfindet oder über ein unübliches Gerät ausgeführt wurde, so kann dies auf ein gehacktes Administratorkonto hinweisen. Das belanglose Ereignis wird durch die Korrelation zu einem kritischen Alarm eskaliert.

Sicherheit durch Maschinelles Lernen

Moderne SIEM Lösungen verbessern ihre Aussagekraft durch Funktionen welche aus dem Bereich von Big Data, Maschinellem Lernen und Künstlicher Intelligenz stammen. Damit erkennt ein SIEM nicht nur Angriffe, welche nach einem bekannten Muster ablaufen, sondern es ist auch in der Lage, eigenständig verdächtige Abweichungen von Normalwerten ausfindig zu machen. Die dynamischen Normalwerte werden in der jeweiligen Umgebung selbständig durch die Beobachtung über einen gewissen Zeitraum gelernt und sie werden auf Tages-, Wochen- oder Monatsbasis ausgewertet. Eine verdächtig hohe Anzahl von Datenbankänderungen zu einer gewissen Uhrzeit, seltsame Anmeldevorgänge eines Benutzers am Wochenende oder ein ungewöhnlicher Netzwerkverkehr: all dies kann auf eine potenzielle Sicherheitsverletzung hinweisen; moderne SIEM Systeme erkennen solche Ausreißer ganz von allein.

Wertvoller Datenschatz

Aufgrund der umfassenden Datensammlung ist ein SIEM auch der ideale Startpunkt für forensische Analysen im Falle einer Sicherheitsverletzung. Zu den Standardfunktionen von SIEM Lösungen zählen selbstverständlich auch Berichte auf unterschiedlichen Detailebenen, von punktuellen Ereignissen bis hin zu längerfristigen Trendanalysen. Die aktuellen SIEM Produkte der verschiedenen Hersteller interpretieren Protokolldaten von allen gängigen Server-Betriebssystemen, Netzwerkprodukten, Firewallsystemen, Datenbanken, Standardapplikationen und Cloudanwendungen. Die SIEM-Lösung selbst kann in unterschiedlicher Hardwareausstattung, als Software oder selbst als Cloudlösung aktiviert werden.

Schwachpunkt Netzwerkzugang

Nicht minder herausfordernd als die Überwachung der Ereignisse auf den unterschiedlichsten IT-Systemen ist die Regulierung des Netzwerkzuganges im Unternehmen. Eine Haustür ist dafür da, nur bekannte und vertrauenswürdige Wesen ein- und auszulassen und einen genauen Überblick über die anwesenden Personen zu haben. Eine ähnliche Funktion sollte es auch für den Zugang zum Unternehmensnetzwerk geben, schließlich sind darüber äußerst kritische und schützenswerte Informationen zu erreichen.

Die Realität ist im Allgemeinen aber recht ernüchternd, meistens reicht eine Netzsteckdose oder ein WLAN Passwort (vielleicht von einem Mitarbeiter weitergegeben), um sich erfolgreich mit dem Unternehmensnetzwerk zu verbinden. Dabei ist der Zugang zum Netzwerk noch viel kritischer zu betrachten: nicht nur externe Personen müssen erkannt, sondern auch die internen Personen und deren Geräte müssen laufend überprüft werden. Nach wie vor passieren nämlich die meisten Sicherheitsverletzungen durch Innentäter.

Der digitale Türsteher

Ein Network Access Control NAC System übernimmt die Aufgabe eines digitalen Türstehers: die Objekte werden vor dem Zustandekommen einer Netzwerkverbindung eingehend überprüft und nur was vertrauenswürdig erscheint wird durchgelassen. Geräte welche nicht den vorgegebenen Richtlinien entsprechen werden ausgesperrt oder für das Erreichen der Konformität in eine Quarantäne gesetzt. Ohne diese Kontrolle könnte ein kompromittiertes Gerät ganz von allein, ohne Zutun einer Person und ohne irgendwelche Eingabe von Passwörtern, tief ins Netzwerk eindringen und sensible Informationen (etwa Zugangsdaten) stehlen und beträchtlichen Schaden anrichten. Der Vergleich mit einem Türsteher betrifft aber nur einen Teil eines NAC Systems: die verbundenen Geräte werden nicht nur beim Verbindungsaufbau, sondern regelmäßig überprüft. Beim Abweichen von den vorgegebenen Richtlinien wird sofort eingegriffen, um die Sicherheit kontinuierlich aufrechtzuerhalten.

Genauso wie SIEM Systeme haben auch moderne NAC Systeme Funktionen von Big Data und Künstlicher Intelligenz entliehen, um noch effizienter auf bestimmte Bedrohungen hinzuweisen. Dabei wird der von den einzelnen Geräten erzeugte Netzwerkverkehr unter die Lupe genommen, um Auffälligkeiten und verdächtige Abweichungen vom Normalverhalten zu identifizieren und zu melden.

Erhöhte Sichtbarkeit

Eine klare Übersicht darüber, was sich zu einem gegebenen Zeitpunkt alles im eigenen Netzwerk tummelt, ist eigentlich eine Grundvoraussetzung für jedes Sicherheitsmanagement; ohne ein modernes NAC System beruht eine solche Übersicht aber mehr auf vagen Vermutungen als auf zuverlässigen Daten. Manchmal ist schon allein dieser Umstand der erhöhten Sichtbarkeit im Netzwerk der Hauptgrund dafür, dass sich Unternehmen für ein NAC System entscheiden.

„Mit dieser Veranstaltung wollten wir die Relevanz von IT-Sicherheit im digitalen Geschäftsumfeld aufzeigen und verdeutlichen, dass sicherheitsorientierte Netzwerke und und KI-gesteuerte Bedrohungsabwehrmechanismen in einer stark vernetzten Welt wesentlicher Bestandteil einer IT-Infrastruktur sein müssen“, betonen die beiden KONVERTO-Direktoren Peter Nagler und Peter Werth. „IT-Sicherheit zu thematisieren, die Faktoren aufzeigen, die Schwachstellen im Unternehmensnetz ausnutzen und wie man Lösungen integriert, die für mehr Kontrolle und Transparenz sorgen, ist unser Ziel. Dies den Unternehmern nahe zu bringen, ist uns mit KONVERTO talks gelungen.“, sind sich beide Direktoren einig.