Zu einer umfassenden IT-Sicherheitsstrategie gehören nicht nur Intrusion-Detection-Systeme, Virenscanner, ein funktionierendes Patch-Management und ein SIEM-System. Doch ein solcher Schutzwall weist Lücken auf, wenn nicht ein Log-Management als Ergänzung integriert wird.
In der IT-Sicherheit verfolgen Unternehmen zumeist den Ansatz »Defense in-Depth«, also der mehrschichtigen Verteidigung. Das Ziel ist, hintereinander geschaltete Schutzwälle zwischen den »Bösen Buben« und den zu schützenden Informationen zu errichten.
Zum Standard-Lösungspaket gehören:
Für proaktive Sicherheit sorgen ein Vulnerability- und Patch-Management oder Problemlösungszyklen wie das PDCA-Modell (Plan Do Check and Act).
Verteidigung ist also die Strategie der Wahl. Erfolgt ein Angriff, soll dieser von einer Sicherheitslösung in Echtzeit abgewehrt oder zumindest über eine Alarmmeldung angezeigt werden, damit der IT-Administrator sofort eingreifen kann – so zumindest die Theorie.
Doch Sicherheit ist nicht statisch. Sie ist Ergebnis eines kontinuierlichen Prozesses auf Basis von Richtlinien, die sich wiederum an den Geschäftsanforderungen orientieren. Wichtig ist dabei eine probate Konfiguration und Verwaltung der Prozesse und Verfahren, die Aktualität und Lückenlosigkeit gewährleisten.
Das ist, gelinde gesagt, eine »Herausforderung«. Denn Geschäftsabläufe ändern sich und damit die Firewall-Konfigurationen; Mitarbeiter und Teams wechseln und damit die VPN-Rechte; Angriffe variieren und damit das SIEM-Szenario; die Anbindungen an externe Netze verändert sich und damit die Anforderungen an das IPS.
Mit den ständigen Veränderungen muss stets auch die Funktionsfähigkeit der Systeme kontrolliert werden. Hier schlägt die Stunde des Managements von Logs. Sie schaffen als kleinster gemeinsamer Nenner universelle Transparenz zu allem, was im Netzwerk geschieht.
Ob auf Gateway-Ebene für E-Mail-Scans oder auf Anwender-Ebene, um Daten zu kontrollieren – eine Anti-Virus-Lösung ist nur so gut wie die Aktualität der Signatur-Files. Zumeist übernehmen die Lösung selbst oder ein zentrales Anti-Viren-Management automatisch das Herunterladen und Einspielen von Updates. Typischerweise kümmert sich dann niemand weiter darum.
So bleibt unbemerkt, wenn die Update-Verbindung unterbrochen wurde, die Konfigurationsdatei oder Einträge in der Registry beschädigt sind, die Engine für Termin-Updates stoppt oder zu wenig Speicherplatz für das neueste Anti-Virus-File vorhanden ist.
Ob die diese Maschinerie durcheinander geraten ist, lässt sich nur mittels Logs zeitnah erkennen: Jedes Mal, wenn die Anti-Viren-Engine versucht, Updates zu laden oder diese installiert, erzeugt sie ein Log über den Status. Dieses Log enthält auch die Information über das letzte erfolgreiche Update oder Fehler-Codes und zugehörige Erläuterungen.
Wer diese Logs zentral sammelt und analysiert, erhält ein klares Bild des Anti-Virus-Profils für jedes System. Dabei ist es ratsam, einen kompletten Bericht über alle Erfolgsmeldungen zu erstellen und ihn mit der Asset-Datenbank zu vergleichen hinsichtlich der Frage, ob sich irgendwelche Lücken zeigen.