Das schwächste Glied in der Kette

US-amerikanischer Cyberstratege hat eine neue Schwachstelle entdeckt: Security Information and Event Management

Datum
19. April 2017
Autor

Eigentlich sollen SIEM-Lösungen die IT-Sicherheit verbessern. Weil sie aber oft ungenügend geschützt werden, sind sie für raffinierte Hacker eine offene Tür in Firmennetzwerke.

Ein SIEM-System (Security Information and Event Management) bietet eine ganzheitliche Sicht auf die IT-Sicherheit. Die Idee dahinter: Es ist einfacher, abweichende Trends oder Muster zu erkennen, wenn alle Daten zentral analysiert werden, die in einer Firma anfallen. Ein SIEM fasst Funktionen und Aufgaben von SIM- (Security Information Management) sowie SEM-Systemen (Security Event Management) zusammen und wertet Daten (nahezu) in Echtzeit aus.

An der Infiltrate Conference, die am 6. und 7. April 2017 in Miami Beach stattfand, kritisierte John Grigg die Sicherheit von SIEM-Systemen. Der Cyberstratege von Meta Studios meinte in seinem Vortrag, dass zahlreiche SIEM-Lösungen unsicher seien: «Niemand schützt sein SIEM. Sobald ein Hacker die SIEM-Box geknackt hat, hat er einen Plan und alle Schlüssel für das Netzwerk». Zum einen würden viele Netzwerkadministratoren den Zugang zu wenig gut schützen, zum anderen sei die Installation der Lösungen verhältnismäßig komplex und anspruchsvoll.

Laut Grigg galten SIEM-Lösungen (zu) lange als sicher, weil sie hinter einer Firewall installiert werden. In seinem Vortrag erklärte der Cyberstratege, wie er ohne großen Aufwand über das SIEM-System in ein Netzwerk eindringen würde: «Ich würde auf der Website der Anbieter Kundenreferenzen suchen, die Dokumentation herunterladen und mich im SIEM-Forum umschauen oder mit einem Sales Engineer anfreunden». Mehr brauche er nicht, um auf die Konsole des Administrators zugreifen zu können. Dann sei es ein Kinderspiel, Schadcode hochzuladen und die Netzwerkprotokolle zu manipulieren, um alle Spuren zu verwischen.

Einschätzung

Viele IT-Sicherheitsverantwortliche haben sich in falscher Sicherheit gewiegt. Wenn ein SIEM-System ungenügend gesichert ist, ist es für raffinierte Hacker (Stichwort „Social Engineering“) einfach, das Firmennetzwerk zu knacken und beispielsweise Schadcode hochzuladen.

Häufig passiert der Fehler am Anfang, während der Installation, weil die Netzwerkadministratoren zu wenig erfahren sind und den Zugangsdaten zu wenig Beachtung schenken. Außerdem verzichtet der eine oder andere Administrator auf SIEM-Updates, weil er wegen der Abhängigkeit vieler anderer Systeme fürchtet, dass die Hardware oder Software nicht mehr richtig konfiguriert ist.

Fazit: Auch und gerade Sicherheitskomponenten müssen sicher konfiguriert und sämtliche Updates regelmässig installiert werden.

Zielgruppen

  • Management
  • IT- und IS-Verantwortliche