Sicherheit im öffentlichen Sektor: 4 Überlegungen zur Implementierung einer modernen SIEM-Lösung
Als Organisation des öffentlichen Sektors steht für Sie Sicherheit an erster Stelle. Eine der besten Möglichkeiten, Ihre Daten und Systeme zu schützen, ist eine moderne SIEM-Plattform. Viele Behörden und Bildungseinrichtungen nutzen eine solche Plattform als wichtigen Bestandteil ihrer Zero-Trust-Cybersicherheitsarchitektur.
SIEM-Technologien und -Strategien unterliegen allerdings einem ständigen Wandel, und es kann schwierig sein, mit den neuesten Updates und Anforderungen Schritt zu halten. Unabhängig davon, ob das Thema SIEM neu für Sie ist oder ob Sie Ihr aktuelles SIEM erweitern möchten, sollten Sie für den öffentlichen Sektor ein paar wichtige Überlegungen anstellen.
Back to Basics: Was ist SIEM?
Für diejenigen, die damit nicht vertraut sind: SIEM steht für „Security Information and Event Management“ und ist ein System zur Sicherheitsverwaltung, das Daten aus mehreren Quellen ganzheitlich betrachtet, Probleme erkennt und Maßnahmen ergreift. Die SIEM-Technologie kombiniert SIM (Security Information Management) mit SEM (Security Event Management) und im Mittelpunkt ihrer Funktionalität steht das Logging.
Abhängig von Größe und Dimension ist in Ihrer Organisation vielleicht bereits ein SIEM vorhanden, oder Sie haben ein SIEM, das neu bewertet werden muss. 47 % der Organisationen des öffentlichen Sektors weltweit geben an, dass sie ein SIEM einsetzen oder ihr SIEM ersetzen werden.
Laut FedTech Magazine nimmt der Einsatz moderner SIEM-Technologien in Bundesbehörden in den USA aufgrund von NIST-Richtlinien und aktualisierten Anforderungen an das Logging zu. Im Vereinigten Königreich sind SIEM-Funktionen so wichtig, dass das National Cyber Security Centre (NCSC) eine Anleitung dazu veröffentlicht hat, wie Organisationen grundlegende Logging-Funktionen für Cybersicherheitszwecke einrichten können, und zwar als ersten Schritt, noch bevor sie ein SIEM implementieren. In ihr wird betont, dass das Logging für das Erkennen und Bekämpfen von Cyberangriffen ganz entscheidend ist.
Warum ist SIEM jetzt für den öffentlichen Sektor wichtig?
Cyberbedrohungen nehmen zu und werden immer gezielter. Laut Cybercrime Magazine wird die Zahl der Fälle von Cyberkriminalität bis 2025 jährlich um 15 % zunehmen. Und die aus einer Datensicherheitsverletzung resultierenden Kosten belaufen sich durchschnittlich auf 4,35 Millionen US-Dollar – in den USA sogar auf 9,44 Millionen US-Dollar. Der öffentliche Sektor ist nach wie vor ein Ziel für Cyberkriminalität, da hier hochsensible Daten wie Gesundheitsdaten, Ausweisdokumente von Bürgern und vieles mehr verwendet werden. Im globalen Maßstab verzeichnet das Bildungswesen die höchste Zahl von Cyberangriffen, gefolgt von Behörden.
Daten vervielfachen sich, aber SIEMs können mitwachsen. Wenn heutzutage über Daten gesprochen wird, fällt oft das Wort „Petabytes“. Und eins ist sicher: In absehbarer Zeit werden nicht weniger Daten verwendet werden. Die SIEM-Technologie kann alle diese Informationen aus allen vorhandenen Quellen zusammenführen und IT-Teams in die Lage versetzen, in Echtzeit Anomalien zu erkennen und Bedrohungen proaktiv abzuwehren, noch bevor diese sich tatsächlich Zugang verschaffen oder Schaden anrichten. Und da Daten sowohl in strukturierter als auch in unstrukturierter Form vorhanden sein können, ist ein SIEM, das beide Formen schnell durchforsten kann, Gold wert.
SIEM vereinfacht die Tools für IT- und Sicherheitsteams. Teams im öffentlichen Sektor konkurrieren mit Organisationen im privaten Sektor um fähiges IT- und Security-Personal und ziehen dabei oft den Kürzeren. Unterbesetzte und ungenügend ausgestattete Teams müssen zu viele Daten durchforsten. Daher sind Automatisierung und Datenkonsolidierung in großem Stil ein absolutes Muss – genauso wie die Schaffung einer Möglichkeit, alle Daten in nur einer Ansicht zu aggregieren. Darüber hinaus machen cloudbasierte Lösungen SIEM-Tools auch für kleinere Behörden und Organisationen erschwinglich, die bisher vielleicht nicht die Ressourcen für eine On-Premise-Lösung hatten.
SIEM versetzt Teams in die Lage, geschäftskritische Entscheidungen schnell zu treffen. Mit einem einzigen, einheitlichen Agent können Sie zusätzliche Host-Einblicke gewinnen, Ransomware und Malware blockieren, Untersuchungen vereinfachen und Remote-Abwehraktionen auslösen. In Cybersicherheitsumgebungen, in denen jede Sekunde zählt und wo Daten aus kritischen Umgebungen – z. B. dem Schlachtfeld – kommen bzw. dorthin fließen können, ist dies lebenswichtig.
Was muss für eine erfolgreiche SIEM-Implementierung im öffentlichen Sektor bedacht werden?
Bei der Auswahl Ihrer SIEM-Lösung gilt es, eine ganze Reihe von Überlegungen anzustellen: Wie oft werden Sie Datenquellen hinzufügen? Wie groß ist Ihr Team? Wie sehen Ihre derzeitigen Prozesse aus? Neben diesen recht allgemeinen Fragen sollten Organisationen des öffentlichen Sektors insbesondere auch auf die folgenden Funktionen achten:
1) Durchsuchbarkeit von Logdaten aus der Vergangenheit
Neue Vorgaben, wie z. B. das Memorandum M-21-31 in den USA, stellen darauf ab, dass es möglich sein muss, Angriffe mit langer Verweildauer gründlich zu untersuchen, und verlangen von Behörden, Logdaten länger aufzubewahren (M-21-31 verlangt Aufbewahrungszeiten von 72 Stunden für Paketdaten, von 12 Monaten für aktive Daten und von 18 Monaten für „kalte“ Daten). Diese Anforderungen sind wesentlich umfangreicher als bisher und sollten daher bei Ihrer Suche nach der richtigen SIEM-Lösung im Vordergrund stehen. Viele ältere SIEMs bewahren Daten nur 30 Tage lang auf und zwingen ältere Daten in den Speicher für „kalte“ Daten, was sehr teuer und umständlich zu verwalten ist.
2) Tempo
Wenn die Datennutzung in Ihrer Organisation zunimmt, was unweigerlich der Fall sein wird, dürfen Sie beim Tempo keine Kompromisse machen. Bei missionskritischen Daten zählt jede Millisekunde. Berücksichtigen Sie nicht nur, wie schnell eine SIEM-Lösung heute mit den Datenquellen ist, die Sie derzeit verwenden, sondern rechnen Sie hoch, wie viele Daten Sie in Zukunft verarbeiten werden und ob sich diese Zunahme negativ auf das Tempo auswirken wird. Hinzu kommt noch: Wenn Sie diese Daten nicht schnell durchsuchen können, vergeudet Ihre Behörde Teamressourcen. Die meisten für die Sicherheit zuständigen Teams im öffentlichen Sektor können es sich schlichtweg nicht leisten, Archive im SIEM wiederherzustellen. In solchen Fällen ist es wichtig, eine durchsuchbare Tier für „eingefrorene“ Daten zu haben.
3) Anforderungen an die Log-Speicherung und die Kosten dafür
Sehen Sie sich genau an, wie der SIEM-Anbieter seine Kosten strukturiert. Bei vielen älteren SIEM-Plattformen richten sich die Lizenzkosten nach der Menge des täglich genutzten Speichers. Dieses Preismodell wird für viele Organisationen des öffentlichen Sektors, die aufgrund der neuesten Cybersicherheitsvorgaben einen erheblichen Anstieg bei der Menge der erfassten Logdaten zu verzeichnen haben, schnell nicht beherrschbar. Suchen Sie daher nach einer flexiblen Lösung, die mit Ihrer Organisation mitwächst.
4) On-Premises oder in der Cloud
Wichtig ist, wie flexibel der Lösungsanbieter in Bezug auf die Verfügbarkeit in der Cloud und On-Premises ist. Einige SIEM-Lösungen sind nur in der Cloud verfügbar und kommen damit für Organisationen des öffentlichen Sektors, die eine On-Premises-Lösung benötigen oder zumindest in der Hinterhand haben möchten, von vornherein nicht infrage. Wenn Sie sich für eine Cloud-Lösung interessieren, achten Sie darauf, dass diese alle relevanten behördlichen Compliance-Vorgaben und ‑Vorschriften (z. B. FedRAMP) erfüllt.