Wir werden in regelmäßigen Abständen mit neuen Begriffen geradezu bombardiert. Ganz aktuell sind XDR und Zero Trust die Schlagworte der Stunde. Was steckt eigentlich dahinter?
Leben wir hinter dem Mond, wenn wir das nicht verstehen?
2005 wurde von Mitarbeitern von Gardner einmal der Begriff Security Information and Event Management (SIEM) geprägt und definiert. Wenn man sich die ausführliche Beschreibung auf Wikipedia durchliest, dann werden unter diesem Gesichtspunkt von allen Geräten die gesamten verfügbaren Informationen, die man sich denken kann, gesammelt und ausgewertet. Logfiles, Compliance-Berichte, Software-Versionsstände, etc. Zur Auswertung werden diese Daten auf einem eigenständigen System gesammelt und möglichst in Echtzeit ausgewertet. Relevante Sicherheitsvorfälle sollen so schnell und umgehend erkannt und gestoppt werden. Als Praktiker wissen wir jedoch schon einmal zwei Dinge: Nicht jedes Gerät, jede Software liefert überhaupt Informationen und was geliefert wird, ist dennoch eine enorme Datenmenge. Als gelernter Programmierer weis ich auch: Gerade die Information, welche ich zur Problemlösung benötige wird eben gerade nicht protokolliert.Dennoch ist die Beschreibung von SIEM ein sehr hilfreiches Mittel. Es zeigt an welchen Stellen Informationen auflaufen können. Es zeigt auch wo man sicherheitsrelevante Dinge finden kann. Damit lässt sich das Sicherheitsbewustsein auf relevante Felder konzentrieren. Die Arbeit an der Sicherheit wird effizienter.
Darauf aufbauend wurden Endpoint Detektion and Response (EDR), auch Endpoint Threat Detektion and Response (ETDR), Systeme definiert. Das hat definitiv einen Fokus auf die Alarmierung, weniger auf Schutz. Klar ist, wie in fast allen relevanten Systemen: Die relevanten Informationen müssen in einer Datensammlung ankommen, wo sie analysiert und die Alarmierung geschieht. Es ist also eine Client-Server Architektur. Auf den zu Überwachenden Geräten benötigt man Clients, Agenten, welche die relevanten Daten sammeln und übermitteln. Das hört sich dann schon an wie das altbekannte Managed Workplace, welches Jakobsoftware schon zu AVG Zeiten im Angebot hatte.
Das neueste sind die Begriffe XDR – Extended Detection & Response und Zero-Trust-Sicherheitskonzept. Liest man eine Beschreibung der Art: „XDR kombiniert zur Angriffserkennung und -abwehr die Erkenntnisse aus allen IT-Schichten, Analysiert das Verhalten in Echtzeit und erkennt Anomalien und sicherheitsrelevante Ereignisse.“ Dann erinnert das stark an das SIEM. Doch wieder die Praktikerfrage: „Welche Daten können erhoben werden und wie?“ Sicherlich ist hier bei XDR das Wesentliche: „Schaut Euch mehr an als nur die Malwarefunde der Endpoint Protection (aka Virenscanner).“
Zero Trusts verschiebt die Authentifizierung für Zugriffe von einem Tunnel (VPN) Zugang auf praktisch alle Zugriffe, also jeder Zugriff auf Ressourcen (Dateien, E-Mails etc.) wird immer wieder auf Zulässigkeit geprüft. Der Ansatz ist insofern naheliegend, als mit Remotework eine echte Firewall rund um das Firmennetzwerk mit einer klassischen VPN Lösung nicht mehr komplett sicherbar ist und die Cloudservices eh einiges an Authentifzierungsanstrengungen erfordert.
Was machen wir „kleinen“ Leute jetzt also?
Eine wesentliche Grundlage aller der oben genannten Verfahren ist, daß Agenten auf den Clients benötigt werden. Als Nutzer von Virenschutzlösungen im Netzwerk, haben wir praktisch den Nucleus dieser Agenten. Auch Virenschutzlösungen sammeln so einige zusätzlicher Dinge auf, z.B. Firewall-Einstellungen des Windowsclients. Eine zentrale Verwaltungskonsole macht dann diese Daten aufbereitet zugänglich. Damit hat man schon einmal ein wichtiges Fundament. Erweitert man den Agenten um Daten für das Patchmanagement etc., dann ist wieder etwas gewonnen. Verfügt man über weitergehende Authentifizierungen, wie 2FA, sind viele Zugriffe auf Ressourcen absicherbar. Es muss halt noch effizient nutzbar sein.
Also: Kleine Unternehmen machen nichts falsch, wenn Sie eine Virenschutzlösung mit zentraler Verwaltung einsetzen und weitere Absicherungen ergänzen. Gute Firewalls helfen weiter, sind aber heutzutage keine Garantie für globale Sicherheit. Lassen wir uns durch die Begriffsflut der schönen neuen Welt nicht Bange machen.