Die DECOIT^® nimmt regelmäßig an Forschungsvorhaben teil, um ihre Kompetenz zu vergrößern und über den sog. Tellerrand schauen zu können. Dabei stehen oftmals IT-Sicherheitslösungen im Vordergrund, wie dies auch im Falle des neuen Forschungsprojektes CLEARER der Fall ist, welches vom BMWi für eine Laufzeit von zwei Jahren im Rahmen des ZIM-Programms gefördert wird. Das Projekt wird sich mit der Erfüllung von Compliance‐Anforderungen durch automatisierte Bearbeitung von IT-Sicherheitsvorfällen beschäftigen. NAC- oder SIEM-Systeme nehmen sich der Zugangskontrolle und Netzwerküberwachung zwar auch an, berücksichtigen aber oftmals keine automatisierte Compliance-Steuerung. In diese Lücke stößt CLEARER und bezieht bei der Realisierung ein bestehendes Network Access Control (NAC) System mit ein.

Geräte in ein Netzwerk Eintritt erhalten, die sich nach bestimmten Richtlinien (Policies) verhalten bzw. konfiguriert sind. Der Fokus liegt dabei allerdings auf den Endgeräten und nicht auf dem Benutzer selbst. Die IT-Sicherheit bzw. IT-Compliance-Aspekte werden dabei nicht dediziert berücksichtigt. Dies ist bei SIEM-Systemen anders. Hier handelt es sich um Monitoring-Systeme mit dem Fokus auf die IT-Sicherheit, weshalb diverse Ereignismeldungen (Alarme) aus verschiedenen Datenquellen (Firewall-Logs, Datenbank-Logs, Intrusion-Detection-Systemen) gesammelt und zusammengeführt werden. Die Menge dieser Datenquellen wird auch als Sensorik bezeichnet. Auf diese Weise können sicherheitsrelevante Informationen zentralisiert ausgewertet und den Verantwortlichen aus den Bereichen IT, Informationssicherheit sowie Management zur Verfügung gestellt werden. Die SIEM-Anwender sollen einen für sie relevanten globalen Überblick über den Sicherheitszustand des Unternehmensnetzes erhalten. Eine wesentliche Aufgabe eines SIEM-Systems besteht in der Korrelation der verschiedenen Ereignisse (aus der Sensorik), um dadurch dem Anwender nur die für ihn relevanten Meldungen präsentieren zu können. Im Gegenzug zur normalen Logauswertung können damit komponentenübergreifende Ereignisse erkannt werden.

Aktuell werden SIEM-Systeme damit auch zur Überwachung von IT-Compliance-Regeln verwendet, da die gleichen Mechanismen zum Einsatz kommen können: So können im Rahmen der Logauswertung neben technischen Verstößen auch bestimmte Compliance-Verstöße von Benutzern erkannt werden (z.B. Installation bzw. Nutzung ungenehmigter Software, unerlaubter Zugriff auf Ressourcen etc.). Die erkannten Situationen werden dabei zeitnah ausgewertet und in Form von Vorfällen oder Reports den zuständigen Bearbeitern vorgelegt. Diese können dann im Nachgang die Situation bewerten und reaktiv Aktionen und Maßnahmen einleiten. Oder prüfen, ob für die Sondersituationen die Genehmigung bzw. Zweckbindung vorlag.

Die DECOIT^® hat bereits in zwei anderen Forschungsprojekten (ESUKOM und SIMU) an ähnlichen Thematiken geforscht. Während im ESUKOM-Projekt (www.esukom.de) die Basis für IF-MAP-Protokoll und Trusted-Computing-Techniken erforscht wurden, kam es im SIMU-Projekt (www.simu-project.de) zur Anwendung in einer SIEM-Umgebung. Dabei wurden neue Herausforderungen ausgemacht, wie z.B. die ungeheure Logdatenmenge (Big-Data-Problem) und aufwändige Handhabung. Beides führt dazu, dass solche Systeme bisher wenig eingesetzt werden. CLEARER soll sich nun dieser Problematiken annehmen und eine Lösung entwickeln, die die Qualität der Meldungen verbessert und der Aufwand zur Auswertung minimiert. Dabei wird man eng mit dem NAC-Hersteller macmon secure gmbh zusammenarbeiten. Die weiteren Partner sind IT-Security@Work GmbH, die für die Einbringung einer dynamischen IT-Compliance zuständig ist, und die Hochschule Hannover, die ihre IF-MAP-basierten Entwicklungen einbringen wird. Am Ende soll ein gemeinsamer Prototyp entstehen, der NAC-basierte Systeme um SIEM-Funktionalität erweitert.

Die gezeigte Abbildung verdeutlicht die Vielzahl der beteiligten Komponenten und gibt Auskunft über das geplante Zusammenspiel. Bei Fragen zu NAC- oder SIEM-Systemen sowie unseren Forschungsprojekten, können Sie uns gerne jederzeit ansprechen.