Security Information and Event Management
SIEM - das bessere PRISM im Cyberwar?
Vergangenes Jahr betrieb die Corporate Trust GmbH eine Studie mit dem Titel "Industriespionage 2012 - Aktuelle Risiken für die deutsche Wirtschaft durch Cyberwar". Sie brachte unter anderem ans Licht, dass bereits 20 Prozent der befragten Unternehmen von Spionagevorfällen betroffen sind. Berücksichtigt man die nicht weiter konkretisierten oder nicht eindeutig nachgewiesenen Fälle, steigt der Anteil auf 54 Prozent. Dabei ist deutschlandweit ein Schaden von 4,3 Milliarden Euro entstanden. In mehr als der Hälfte der Fälle konnten Mitarbeiter als Urheber identifiziert werden.
Ein Ansatz, um derartige Bedrohungsszenarien zu erkennen, ist die Einführung eines Security-Information-and-Event-Management-Systems (SIEM). Es bietet Möglichkeiten zur zentralen Sammlung und Auswertung von Log-Meldungen aller angebundenen Komponenten. Auch die Verknüpfung von Log-Meldungen unterschiedlicher Systeme (sogenannte Korrelation) ist möglich. Bekannte Angriffsmuster beziehungsweise auch Abweichungen vom Normalverhalten können nahezu in Echtzeit erkannt und entsprechende Gegenmaßnahmen eingeleitet werden. Durch die zentrale Sammlung von Log-Meldungen werden auch forensische Auswertungen erheblich erleichtert.
- Android Lost Free
Mit „Android Lost Free“ steuern Sie Ihr Android-Smartphone aus der Ferne via SMS oder über das Internet. Ferner können Sie die Daten auf Ihrer SD-Karte löschen, Ihr verlorenes oder gestohlenes Handy per GPS finden. <br><br> Preis: Kostenlos - AntiVirus & Security PRO
Die Premium-Version „AntiVirus & Security PRO“ schützt in Echtzeit Ihr Android-Smartphone oder –Tablet-PC vor Online-Angriffen, Viren, Malware und Spyware. Hierzu scannt die Lösung Anwendungen, Dateien sowie Einstellungen. <br><br> Preis: 10,99 Euro - App Lock
„App Lock“ versieht installierte Applikationen mit einem Passwort oder Muster, um so den unberechtigten Zugriff zu verhindern. <br><br> Preis: 1,48 Euro - avast! Mobile Security
„avast! Mobile Security” beinhaltet Handy-Diebstahlsicherung, mobile Security und Virenscanner mit Unstructured Supplementary Service Data (USSD) Blocker. User gerooteter Geräte erhalten ferner eine Firewall. <br><br> Preis: Kostenlos - Avira Free Android Security
„Avira Free Android Security“ fasst mehrere Sicherheitsfunktionen zusammen. Es gibt SMS-, Anruf-Blocker, Remote-Sperrfunktion, Signalruf-Fernauslöser, Positionsbestimmung und Funktionen zur Gerätesteuerung via Webkonsole. Mit letzteren können Sie die Akkulaufzeit überwachen sowie maximal fünf Geräte verwalten. <br><br> Preis: Kostenlos - ES Sicherheits-Manager
Mit „ES Sicherheits-Manager“ schützen Sie individuelle Bereiche Ihres Smartphones. Dies geschieht entweder via Passwort oder Geste. Wer möchte kann, zudem sein Handy sperren. Hierfür verschickt der User eine SMS mit einem entsprechenden Code an seine Rufnummer. Er kann sein Smartphone auch so konfigurieren, dass ein SIM-Karten-Wechsel das Gerät sperrt. <br><br> Preis: Kostenlos - G Data AntiVirus Free
„G Data AntiVirus Free“ überprüft Ihr Gerät sowie die eingelegte SD-Karte auf eventuell vorhandene Schadsoftware und entfernt diese. Außerdem erhalten Sie eine Berichtigungskontrolle über alle installierten Apps. <br><br> Preis: Kostenlos - SafeWallet
„SafeWallet“ schützt Ihre Passwörter vor Dritten, indem es alle Informationen mittels AES-256Bit verschlüsselt. Die Sicherheits-Lösung unterstützt zudem Dropbox-Cloud- sowie lokale Synchronisation. <br><br> Preis: 0,78 Euro - Lookout Security & Anti Virus
Die Sicherheits-Lösung „Lookout“ schützt Android-Geräte vor Viren, Verlust oder Diebstahl. Die App scannt je nach Konfiguration das Smartphone täglich oder wöchentlich nach Viren und Spyware. Des Weiteren können Sie Ihr Gerät orten, Backups erstellen oder URLs blocken, die private Informationen stehlen.<br><br> Preis: Kostenlos - Dr. Web Antivirus Light
„Dr. Web Antivirus“ schützt Ihr Android-Gerät vor Viren. Ein Dateiwächter überprüft via „on the fly“ alle Dateien. <br><br> Preis: Kostenlos - mSecure - Password Manager
„mSecure“ verschlüsselt persönliche Informationen zu Log-ins, Bankkonten und Kreditkarten nach dem Blowfish-Algorithmus mit 256Bit. Das Programm beinhaltet auch einen Passwort-Generator sowie eine Backup-Funktion. <br><br> Preis: 7,99 Euro - SMS Filter
„SMS Filter“ hilft Ihnen Ihr SMS-Posteingang von lästigen Nachrichten sauber zu halten. Sie fügen die zu sperrenden Rufnummern entweder aus dem Telefonbuch, aus der History Ihres SMS-Eingangs oder manuell der Blacklist zu. <br><br> Preis: Kostenlos - Zoner AntiVirus Free
„Zoner AntiVirus Free“ umfasst mehrere Funktionen. Es schützt vor Viren, Trojanern, Würmern, Malware und Dialern. Darüber hinaus wurden ein Diebstahlschutz, Telefonfilter, eine Kindersicherung und ein Task-Manager integriert. <br><br> Preis: Kostenlos - Secrets for Android
„Secrets for Android“ verschlüsselt Passwörter, Bankzugangsdaten, Kreditkarten- und weitere sensible Informationen im AES-256-Verfahren. <br><br> Preis: Kostenlos
PRISM im Unternehmen?
Es stellt sich aber auch die Frage, was zum Schutz vor Angriffen erlaubt ist. SIEM-Systeme bieten die technische Möglichkeit, Mitarbeiter zu überwachen und detaillierte Profile zu erstellen. Der Schritt zu einem firmeninternen PRISM ist nicht mehr weit. Diesem gilt es mit Hilfe von Regeln und technisch sinnvollen Beschränkungen entgegenzuwirken.
Foto: Secaron AG
Um die aufgeworfene Frage richtig betrachten zu können, muss zuerst das Vorgehen eines SIEM-Systems verstanden werden. Dieses lässt sich in folgende drei Ebenen unterteilen.
-
Auf der untersten Ebene finden sich Log-Meldungen, die von den angeschlossenen Systemen erzeugt werden. Abhängig von der Log-Quelle werden die Log-Meldungen selbständig an das SIEM-System übermittelt, wie es beispielsweise bei Routern konfiguriert werden kann. Auch ein periodisches Abholen der Log-Meldungen von der Log-Quelle ist abbildbar. Diese Situation kann beispielsweise bei der Anbindung von Firewalls vorliegen.
-
Auf der mittleren Ebene erfolgt eine Vorverarbeitung der Log-Meldungen. Neben der Filterung und Normalisierung, was einem Überführen der verschiedenartigen Meldungen in ein einheitliches und vom Tool verständliches Format entspricht, werden die Log-Meldungen dabei auch zusätzlich aggregiert und kategorisiert. Die Notwendigkeit hierzu leitet sich aus der schieren Vielzahl unterschiedlicher Log-Meldungen und -Formate ab. Nach Abschluss der Vorverarbeitung werden die verbleibenden Log-Meldungen als Events bezeichnet.
-
In der obersten Ebene (Event Monitoring System) beginnt die eigentliche Aufgabe eines SIEM-Systems: Hier werden die Events korreliert. Dazu sind im Tool Regeln hinterlegt, die nahezu in Echtzeit auf die eingehenden Events angewandt werden. Eine Regel wird aktiviert, wenn mindestens ein passendes Event erkannt wurde; eine Regel "feuert", wenn alle notwendigen Events eingetroffen sind. In letzterem Fall wird zunächst ein sogenanntes Meta-Event erzeugt. Dabei handelt es sich um ein Ereignis, das inhaltlich alle an der Korrelation beteiligten Events umfasst. Weiter können Warnmeldungen beziehungsweise andere Formen der Benachrichtigungen generiert werden. Diese triggern Prozesse, welche die Analyse des potenziellen Angriffs übernehmen und diesem gegebenenfalls entgegenwirken.