Startseite

Motivation und Hintergrund

Die Bedrohung durch Cyberkriminalität in Deutschland wächst. Zu diesem Ergebnis kommt das Bundeskriminalamt (BKA) in seinem im September 2012 vorgestellten Lagebild Cybercrime 2011. Demnach sind die Schäden gegenüber dem Jahr 2010 um 16% auf 71,2 Millionen Euro gestiegen. Die Dunkelziffer ist hoch. Zunehmend stehen auch deutsche Mittelstandunternehmen im Fokus von Angreifern, laut des Branchenverbandes BITKOM. Gerade in kleinen und mittelständischen Unternehmen (KMU) wird der zunehmenden Bedrohungslage immer noch nicht ausreichend Rechnung getragen. Dabei spielt der Trend zu stark zunehmender geschäftlicher Nutzung von Smartphones, Tablets und Netbooks eine wichtige Rolle. Laut einer Umfrage von BITKOM erlauben fast 43 Prozent der ITK-Unternehmen ihren Mitarbeitern die Nutzung von private Smartphones, Notebooks oder Tablet Computer. Demgegenüber berücksichtigt fast die Hälfte (42 Prozent) der Unternehmen mobile Endgeräte überhaupt nicht in ihren IT-Sicherheitskonzepten.

Sicherheitssysteme wie Firewalls, Virenscanner, Spamfilter und VPN-Gateways sind zwar auch bei KMU häufig im Einsatz, arbeiten aber typischerweise isoliert voneinander. Viele Angriffe können jedoch nur durch die Kombination von Daten verschiedenster Systeme erkannt werden. Selbst wenn ein Angriff erkannt wird, erfolgen Gegenmaßnahmen oft zu spät und der Angreifer hat bereits den Betrieb wichtiger Systeme gestört oder sensible Informationen erlangt. Eine kontinuierliche und proaktive Überwachung von IT-Systemen (Clients, Server, Netzwerkkomponenten, Firewall etc.) sowie der Vorgängen und Ereignissen im Netz findet meist nicht statt.

Große Unternehmen und Konzerne setzen für diese Überwachung sogenannte "Security Information and Event Management" (SIEM) Komponenten ein. SIEM-Systeme werden dort mittlerweile als eine wichtige Komponente von Firmennetzen und IT-Infrastrukturen angesehen. SIEM-Systeme erlauben es, Meldungen und Warnungen einzelner Komponenten eines IT-Systems zusammen zu führen und auszuwerten. Hierbei können auch die Meldungen von spezialisierten Sicherheitssystemen (Firewall-Logs, VPN-Gateway-Logs etc.) mit in Betracht gezogen werden. In der Praxis hat es sich aber gezeigt, dass diese SIEM-Systeme äußerst komplex sind und nur durch einen erheblichen personellen Aufwand betreibbar sind. Oft werden daher SIEM-Systeme zwar installiert, im weiteren Betrieb aber vernachlässigt.

Für den Einsatz im KMU-Umfeld sind SIEM-Systeme typischerweise nicht gut geeignet, vor allem aus folgenden Gründen:

  1. Hohe Kosten für Einrichtung und Wartung, da neue IT-Infrastrukturkomponenten (Kollektoren) installiert, konfiguriert und gewartet werden müssen.
  2. Hohe Kosten für den Betrieb, da umfangreiches Expertenwissen für die Auswertung und richtige Interpretation der Meldungen und Ausgaben eines SIEM-Systems erforderlich ist.
  3. Mangelnde Skalierbarkeit auf kleine und mittlere Netze.

Wesentliches Ziel des SIMU-Projektes war die Entwicklung eines SIEM-artigen Systems zur signifikanten, mit geringem Aufwand erzielbaren Verbesserung der IT-Sicherheit in einem Unternehmensnetzwerk. Neben der leichten Integrierbarkeit in IT-Infrastrukturen von KMU und einer einfachen Nachvollziehbarkeit von relevanten Ereignissen und Vorgängen im Netz soll dies darüber hinaus mit einem geringen Aufwand für Konfiguration, Betrieb und Wartung realisiert werden können. Funktional soll SIMU ähnlich zu SIEM-Systemen arbeiten, also im wesentlichen Vorgänge und Ereignisse im Firmennetzwerk überwachen und dort, wo es sinnvoll erscheint, automatisiert, in Echtzeit und proaktiv Maßnahmen zur Verbesserung der Sicherheit einleiten.