SIEM - das bessere PRISM im Cyberwar?

Gefahr des gläsernen Mitarbeiters

Kernstück eines jeden SIEM-Systems sind die vorhandenen Regeln. Mit der Qualität der Regeln steht und fällt die Leistungsfähigkeit eines jeden SIEM-Systems. Um die Performance sicherzustellen, werden Mitarbeiter benötigt, die zum einen ein sehr breites Wissen über verschiedenste Techniken besitzen, zum anderen aber auch in ständig wechselnden Spezialgebieten schnell tiefgreifendes Analysewissen aufbauen können. Nicht zu vergessen sind ausgeprägte organisatorische Fähigkeiten.

Diese werden beispielsweise im Rahmen des Security-Incident-Handling-Prozesses erforderlich, der mit Entstehung eines Meta-Events gestartet wird. Folglich nimmt der SIEM-Mitarbeiter eine zentrale Rolle ein, die besondere Rechte und Pflichten zur Ausführung seiner Tätigkeiten bedingen. Dies ist besonders dann zu beachten, wenn sich Benutzerdaten in den Log-Meldungen finden, was praktisch niemals ausgeschlossen werden kann. Insofern liegt der Verdacht nahe, ein SIEM-System führe automatisch zu gläsernen Mitarbeitern, ähnlich dem in der Presse viel zitierten und kritisierten PRISM der NSA. Das muss jedoch nicht so sein.

Technisch gesehen kann ein SIEM-System die Tätigkeiten von Mitarbeitern relativ exakt sammeln und auswerten, sofern eine möglichst lückenlose Protokollierung durchgängig konfiguriert ist. Ein gläserner Mitarbeiter wäre damit denkbar. Allerdings existieren sowohl technische als auch organisatorische Möglichkeiten, dies zu verhindern:

Log-Policies können für Datensparsamkeit sorgen

Die erste Möglichkeit bilden Log-Policies. Diese Form von Richtlinien legen auf einer organisatorischen Ebene alle Anforderungen hinsichtlich der allgemeinen Protokollierung fest. Ein Beispiel hierzu ist die Generierung von erfolgreichen und nicht erfolgreichen Anmeldeversuchen. Basierend auf der allgemeinen Protokollierungsrichtlinie leitet sich pro Log-Quelltyp eine technisch konkretisierte Log-Policy ab. Hier werden alle notwendigen Konfigurationseinstellungen für die jeweilige Log-Quelle zur Umsetzung der allgemeinen Log-Policy detailliert beschrieben.

Damit wird sichergestellt, dass möglichst nur die Ereignisse protokolliert werden, die später im Rahmen der Auswertung auch von Interesse sind. Dies geht Hand in Hand mit dem Prinzip der Datensparsamkeit beziehungsweise Datenvermeidung aus dem Bundesdatenschutzgesetz (BDSG). Unabdingbar ist hier die Einbeziehung des Datenschutzbeauftragten und des Betriebsrats.

Eine weitere Möglichkeit besteht im Rollen- und Rechtekonzept des SIEM-Systems. So muss sichergestellt sein, dass dem Need-to-know-Prinzip Rechnung getragen wird, das heißt, die Zugriffsrechte der SIEM-Benutzer sind so restriktiv wie möglich zu definieren. Auch muss die Anzahl der SIEM-Anwender möglichst klein und diese müssen namentlich benannt sein.