SIEM: neues Schlagwort oder doch echtes Umdenken?

IT-Security steht seit Jahren auf den einschlägigen, aus Umfragen hervorgehenden Prioritätenlisten der IT-Verantwortlichen auf einem der drei ersten Plätze. Zwar gibt es Themen, die gelegentlich daran vorbeiziehen, aber Security hat ein erhebliches Beharrungsvermögen entwickelt. Das mag daran liegen, dass einerseits ständig neue Aspekte hinzukommen – sei es nun durch neue Angriffsszenarien oder durch neue Auflagen, an die sich die Unternehmen halten müssen.

Und dann bleibt es natürlich auch dadurch aktuell, dass sich die Softwarelandschaft in Firmen ständig ändert: Wer sich zum Beispiel mit seiner Windows-XP-Desktop-Infrastruktur halbwegs sicher gefühlt hat, muss sich nach dem Umstieg auf Windows 7 dennoch wieder mit dem Thema beschäftigen. Und wer glaubte, seinen Exchange Server halbwegs im Griff zu haben, muss sich erneut Gedanken um die Sicherheit machen, wenn der Geschäftsführer darauf drängt, für Mail einen Cloud-Dienste zu nutzen.

Wer genug Geld hatte, konnte sich der ständig neu entstehenden Security-Sorgen in der Vergangenheit vergleichsweise einfach entledigen. Kaum gab es Spam, gab es Anbieter von Anti-Spam-Appliances. Kaum gab es Phishing, gab es auch dagegen eine Appliance, gegen DDoS-Attacken sowieso und wer wirklich wertvolle Daten zu schützen hatte, erwarb eine Appliance für Intrusion Prevention und/oder Intrusion Detection. Mit der Zeit führten die Hersteller diese praktischerweise in einem Gerät zusammen und vermarkteten sie als Appliance für Unified Threat Management. Das hatte auch den schönen Nebeneffekt, das Gefühl zu vermitteln, nun wirklich alle nur denkbaren Angriffsszenarien schon im Vorfeld gekontert zu haben.

Aber wie so oft kommt es anders als man denkt: Die Nutzer beschränken sich nicht heute nicht mehr darauf, brav an ihrem Schreibtisch zu sitzen. Sie greifen mit privaten Notebooks, Tablets und Smartphones an ständig wechselnden Orten auf das Firmennetz zu, nutzen vielleicht sogar von der Geschäftsführung ermutigt Soziale Netzwerke und nehmen sensible Daten in irgendeiner Form – im schlimmsten Fall auf dem unverschlüsselten USB-Stick, im allerschlimmsten via Cloud-Diensten wie Dropbox – mit nach Hause, um dann daran zu arbeiten, wenn es ihnen gefällt.

Gartners Sicht des Marktes für Security Incident und Event-Management im Mai 2010 (Grafik: Gartner).

Akten haben Mitarbeiter zwar auch schon früher zum Durchlesen außer Haus geschleppt. Dann aber in der Regel nicht mehr als einen Ordner. Heute findet selbst auf einem billigen USB-Stick der ganze Aktenschrank Platz. Dadurch bekommt ein potenzieller Datenverlust eine ganz neue Quantität. Und die können sich Firmen wegen der strengeren Auflagen nicht mehr leisten. Dazu kommt, dass sich früher ein anonymer Finder vielleicht über die Informationen amüsiert hätte. Heute ist dagegen die Gefahr groß, dass sie binnen weniger Stunden irgendwo im Web veröffentlicht und damit potenziell der ganzen Welt bekannt sind – mit allen unangenehmen Folgen, die man sich nur vorstellen kann.

Also müssen Systeme her, die mehr können, als ein- und ausgehenden Traffic rudimentär zu analysieren und zu klassifizieren. Und da man schon viele teure Geräte gekauft und viel kostspielige Software auf allen möglichen firmeneigenen Rechnern installiert hat, scheint es sich anzubieten, mit Hilfe der von ihnen generierten Daten Ordnung in das Chaos zu bringen. Außerdem scheint es sich anzubieten, diese Datenflut zu nutzen, um etwaige, von den anderen Sicherheitseinrichtungen unentdeckte externe Angriffe oder böswillige Aktionen von Mitarbeitern aufzuspüren. Schließlich hinterlässt so etwas ja Spuren – man muss sie eben nur finden können.

Das zu können, verspricht Security Infomation and Event Management, kurz SIEM. Laut einer Studie von Gartner aus dem Mai 2011 wuchs der weltweite Markt für solche Lösungen seit dem Vorjahr von 858 auf 987 Millionen Dollar – also um gut 15 Prozent. Damit hat er überdurchschnittlich zugelegt. Er dürfte dieses Jahr wohl die Milliardengrenze knacken.

Die Übernahmen von IBM und HP

Anscheinend war das Grund genug für IBM und HP, sich durch Übernahmen in das Segment einzukaufen. Hewlett-Packard vollzog diesen Schritt durch den Kauf von Arcsight für rund 1,2 Milliarden Euro vor gut einem Jahr. IBM, das mit seinen Tivoli-Produkten schon in dem Segment vertreten war, hat erst kürzlich mit dem Kauf von Q1 Labs zu einem nicht genannten, aber wahrscheinlich bedeutend niedrigeren Betrag, nachgezogen.

Interessant ist, dass beide Konzerne mit beziehungsweise bald nach den Übernahmen ankündigten, einen eigenen Geschäftsbereich „IT-Security“ aufzubauen. Hewlett-Packard hat diesen Schritt im September gemacht. Die Gruppe Enterprise Security Products (ESP) geht mit mehreren tausend Mitarbeitern an den Start und soll dem über die vergangenen Jahre zusammengekauften Security-Geschäft nun organisatorisch eine klare Struktur geben.

Unter dem ESP-Dach sind die Lösungen von SPI Dynamics, das mit EDS übernommene Dienstleistungsangebot Vistorm, die als Zugabe bei der 3Comübernahme erworbene IDS-Spezialist Tipping Point, der Application-Security-Spezialist Fortify und Arcsight, von Gartner hoch eingeschätzter Anbieter für SIEM, untergebracht. Bei den Angeboten der Sparte ESP gehe es um eine „holistische Betrachtung“ der IT-Risiken von Unternehmen, so Volker Smid, Geschäftsführer HP Deutschland bei der Vorstellung der Neuorganisation vor der Presse in München. Fabian Libeau, technischer Direktor der ESP-Sparte in Europa ergänzt, HP habe sich bei seiner Akquisitionsstrategie auf bei ihrem Aufkommen konzeptionell neuartige und auf ihrem Sektor marktführende Firmen ausgerichtet. Deshalb habe man nun ein Angebot, das auch insgesamt neuartig sei.

Gartners Sicht des Marktes für Security Incident and Event Management im Mai 2011 unterscheidet sich deutlich von der des Vorjahres. Inzwischen hat zudem IBM Q1 Labs übernommen.(Grafik: Gartner).

IBM hat den Kauf von Q1 Labs zum Anlass genommen, einen eigenen Geschäftsbereich für Sicherheit zu gründen. Deren Chef ist Brendan Hannigan, bisher CEO von Q1 Labs. Ziel ist es wie bei HP, die in den vergangenen Jahren erworbenen Sicherheitsfirmen und deren Produkte besser untereinander und mit den übrigen Lösungen des Konzerns zu verbinden. Dazu zählen insbesondere die von Tivoli, Rational sowie Sicherheitssoftware, Appliances (ISS) und Dienstleistungen.

Die Sicht etablierter Security-Anbieter

Laut Raimund Genes, CTO von Trend Micro, ist SIEM notwendig, weil Firmen die Sichtbarkeit in ihren IT-Umgebungen erhöhen müssen. Seiner Ansicht nach gehen daher die Übernahmen von HP und IBM grundsätzlich in die richtige Richtung. „IDS und IPS erzeugen einfach zu viele Logzeilen pro Tag. Orientiert man sich an ihnen, sucht man die Nadel im Heuhaufen.“

Auch die Übernahme von SecureWorks durch Dell ziele in diese Richtung. Das Angebot von SecureWorks reicht von Managed Security über Risikoberatung bis zur Bedrohungserforschung. Außerdem gehören dazu auch Informationsmanagement, Log-Überwachung, Intrusion Prevention und Sicherheitsscans. „Damit werden Sicherheitsvorfälle zwar auch zu spät erkannt, aber wenigstens früher als sonst“, so Genes. So neu, wie die drei Serveranbieter nun tun, sei das Thema aber nicht. Trend Micro etwa biete auch schon länger an, in seine Management-Software Logs von anderen Produkten einfließen zu lassen.

Symantec-Manager Samir Kapuria begrüßt die Übernahmen und Ankündigungen von IBM und HP ebenfalls. Er sieht sie als ein Zeichen dafür, dass der Bereich SIEM nun mehr Wertschätzung erfahre als früher. Angst vor den großen Namen hat er nicht, sieht er doch sein Unternehmen erstens gut aufgestellt – was ihm auch die Gartner-Analysten bescheinigen – und zweitens mit einem erheblichen Erfahrungsvorsprung ausgestattet.

Schließlich gehe es ja nicht nur darum, Daten statistisch auszuwerten, sondern auch zu wissen, unter welchen Vorzeichen dies zu geschehen habe. „Die Priorisierung, der Workflow und das Wissen darüber, welche Informationen auf etwas Bedenkliches hinweisen könnten, sind mindestens ebenso wichtig“, sagt Kapuria im Gespräch mit ZDNet.

Es gehe nicht nur darum, zu erkennen, dass Ereignis A und B stattgefunden haben, sondern auch die richtigen Schlüsse daraus zu ziehen. Dies sei insbesondere aufgrund der in letzter Zeit zunehmenden, immer komplexeren zielgerichteten Attacken wichtig. Er sieht SIEM daher im Schnittpunkt von drei Einflusssphären: Dem Wissen darüber, was sich in der Welt außerhalb des Unternehmens tut, wie sich Nutzer und Geräte innerhalb des Firmennetzwerkes im Normalfall verhalten und dem, welchen Wert Daten und Informationen haben.

Dass die Bedeutung von SIEM für die IT-Sicherheitsstrategien von Firmen in den kommenden Jahren weiter an Bedeutung gewinnen wird, glaubt auch Kapuria. Dazu trügen gleich mehrere Faktoren bei. Einmal die sich verändernden Infrastrukturen, aber auch die sich verbreiternde Palette von Lösungen – etwa mobile Clients -, die Nutzung cloudbasierender Angebote, das ungebremst rasche Anwachsen der Informationsmenge sowie die zunehmenden Compliance-Anforderungen.

„Durch den schnellen Wandel entstehen viele neue Probleme und dadurch wiederum gibt es viele Chancen für innovative Lösungen. Und jedes Mal, wenn es Raum für Innovation gibt, versuchen unterschiedliche Menschen unterschiedliche Ansätze. Es gibt Bereiche, in denen manche von ihnen über einen längeren Zeitraum kooexistieren können. Aber im Security-Bereiche sieht man immer sehr schnell, was wirklich funktioniert“, so Kapuria.

Empfehlungen für SIEM-Anwender

Verantwortlichen, die sich mit dem Gedanken tragen, SIEM-Lösungen in ihrem Unternehmen einzusetzen, empfehlen die Gartner-Analysten Mark Nicolett und Kelly Kavanagh zunächst einmal die Anforderungen daran zu formulieren und sich darüber Gedanken zu machen, wie das Reporting gestaltet sein soll. Außerdem sollten sie sich bereits im Vorfeld mit den für Audits, Compliance, die Nutzerverwaltung, den Betrieb und die Anwendungen zuständigen Kollegen zusammensetzen. In Frage kommende Hersteller müssten in ihrem Angebot schließlich Firmenspezifika berücksichtigen können, damit die Kunden, die Lösungen auch vernünftig vergleichen können.

Das klingt nicht einfach – und ist es offenbar auch nicht. Laut Gartner kommt das Wachstum des Marktes in Nordamerika zum Teil von kleineren Firmen, die sich als Neukunden für SIEM interessieren, weil sie für ihr Geschäft Log-Management und den Nachweis von Compliance benötigen. Allerdings würden einige große Firmen auch nach einem neuen Anbieter Ausschau halten, da sie nur Teillösungen im Einsatz haben oder die Einführung der ursprünglich anvisierten Lösung gescheitert ist.

Die meisten der in der Übersicht der Marktforscher (siehe Grafik oben) aufgeführten 25 Softwarehäuser bieten laut Gartner ausreichende Funktionen für Log Management und Event Monitoring bei durchschnittlichen Kunden. Dass sei früher nicht immer so gewesen. Unterschiede zeigten sich jetzt eher darin, inwieweit Zusatzfunktionen angeboten werden, etwa die Integritätsprüfung von Dokumenten, Schwachstellenanalyse, Prüfung der Sicherheitseinstellungen und Überwachung des Zugriffs auf Daten.

Noch, so Gartner, würden 80 Prozent der SIEM-Projekte in Nordamerika aus Compliance-Gründen angestoßen. Aber die Zahl derer, mit denen Ziele der IT-Sicherheit erreicht werden sollen, nehme zu. Und auch die Zahl der Kunden in Europa und Asien steige allmählich.