Controlware Communications Systems

• Anforderung
• Lösungsansatz
• Kundennutzen

Längst sind IT und Geschäftsprozesse untrennbar miteinander verbunden. Doch stellen bei der Abbildung von Geschäftsprozessen sowohl gesetzliche Vorgaben zur Vermeidung und Reduzierung von Geschäftsrisiken als auch zunehmend komplexe Netzwerkstrukturen immer höhere Anforderungen an die IT-Sicherheit.
So liefern in einem Unternehmen mittlerweile beinahe alle IT-Komponenten Log-Informationen, die den Status der einzelnen Systeme anzeigen; denn Sicherheit im Firmennetz setzt die Entlarvung von Angriffen, Datenmissbrauch und Anomalien samt forensischer Beweisführung voraus. Nicht selten aber sind es gerade diese enormen Datenmengen, die die Identifizierung und Bewertung kritischer Vorfälle behindern. Zusätzlich erschweren proprietäre Formate oftmals die Einführung aussagekräftiger Warnsysteme.
Sicherheitskritische Ereignisse lassen sich jedoch meist erst durch die Verknüpfung der  Daten aus den verschiedenen Systemen ausmachen. So erzeugt eine Hacker-Attacke neben mehr oder weniger auffälligen Logmeldungen am Server zunächst ganz unterschiedliche Meldungen an der Firewall und - mit zeitlicher Verzögerung - am IDS-System.
Einzeln betrachtet weist dabei keiner der Berichte eine eindeutige Auffälligkeit auf; erst die Korrelation der Ereignisse macht den Vorfall nachvollziehbar und deckt eventuelle Folgeschäden auf.
Ein professionelles Security Information und Event Management-System sammelt und verknüpft deshalb die Log-Informationen aus den einzelnen Systemen und macht so  zuverlässige Aussagen über den Sicherheitszustand des gesamten Netzwerks möglich.

1. Datensammlung
2. Normalisierung und Aggregation
3. Korrelation
4. Datenausgabe & Reaktion  Quelle: manage it, 01-2007

Maschinelle Auswertung und korrekte Alarmierung sind thematisch bedingt allerdings sehr komplex; und die zeitliche Korrelation prekär, denn professionelle Angriffe können unter Umständen wochenlang andauern.