Die Vision eines Internet der Zukunft, in dem verschiedenste Anwendungen nahtlos miteinander verschmelzen, verspricht schon jetzt neue Möglichkeiten für Anwendungen und Geschäftsmodelle. Doch das neue Internet schafft zugleich neue Gefahren und erhöht das Ausmaß der verbundenen Risiken. Noch immer sind vor allem digitale Informationen bedroht, doch im Internet der Dinge müssen auch - wie das Beispiel Stuxnet zeigt - verknüpfte physikalische und virtuelle Ressourcen beachtet werden. Trotz zahlreicher Sicherheitslösungen sind viele Prozesse und Transaktionen gefährdet. Durch die große Anzahl an möglichen Bedrohungen oder Störungen ist es schwer, den Status der IT-Sicherheit zu ermitteln. Deshalb werden neue Lösungen benötigt, die eine Einschätzung des Sicherheitsstatus auf Unternehmensebene ermöglichen. Eine vorausschauende Gefahrenanalyse sollte vor möglichen Gefahren warnen, deren Auswirkungen abschätzen und dynamische Reaktionen unterstützen.

Die Basislösung: SIEM

SIEM ist das Schlüsselkonzept, mit dem auf die neuen Bedrohungen der IT-Sicherheit reagiert wird. Dazu werden zwei wichtige Funktionen bereitgestellt:

• das Speichern und Ordnen von Informationen (auch Security Information Management, SIM genannt), um Fehler oder Sicherheitslücken nachvollziehen zu können, und
• die Echtzeitüberwachung und das Einleiten von sofortigen Reaktionen bei Störungen oder Angriffen (auch Security Event Management, SEM, genannt).

Auf dem Markt konkurrieren inzwischen zahlreiche Anbieter von SIEM-Anwendungen. Die Produkte bieten meist gleiche Funktionen an, allerdings variiert die tatsächliche Leistung dieser Funktionen.
SIEMs wurden in den letzten Jahren stetig weiterentwickelt, um für die neuen Anforderungen und Gefahren gerüstet zu sein. Beim Einsatz derzeitiger SIEM-Produkte gibt es trotzdem oft folgende Probleme:

• Sie sind nicht zuverlässig oder schnell genug beim Erfassen, Ordnen und Auswerten von Ereignissen.
• Ihnen fehlt die Funktion, Daten aus höheren Ebenen auszuwerten, beispielsweise die möglichen Auswirkungen von Störungen oder Angriffen auf den Betriebsablauf.
• Sie sind nicht fähig, Daten von global agierenden Systemen zu erfassen, da sie nur auf die Datenerfassung einzelner Organisationen ausgelegt sind.
• Sie sind nicht in der Lage, auf identifizierte Angriffe selbständig zu reagieren.
• Ihre Fähigkeit, Sicherheitsanalysen durchzuführen, ist beschränkt oder nicht existent.
• Auch SIEM Systeme selbst sind anfällig für Angriffe.

MASSIF

MASSIF ist ein von der EU gefördertes Projekt mit dem Ziel der
Verbesserung von Sicherheit und Zuverlässigkeit von SIEMs.
Das MASSIF-Konsortium setzt sich aus zwölf Partnern aus 7 Ländern zusammen. Es beinhaltet alle für das Erreichen seiner Ziele relevanten Gruppen und wichtige Partner aus der Industrie, um die Ergebnisse in die Wertschöpfungskette einfließen zu lassen. Die Entwicklung orientiert sich an vier industriellen Anwendungsfällen:

• Verwaltung der IT-Infrastruktur der Olympischen Spiele
• Ein auf Mobiltelefonen basierender Geldtransferservice
• Die Verwaltung ausgegliederter IT-Dienstleistungen für große internationale Konzerne
• Ein IT-System zur Überwachung eines Damms als Beispiel für kritische Infrastrukturen

Ziel von MASSIF ist es, die oben genannten Schwächen konventioneller SIEM-Anwendungen zu untersuchen und
anhand der vier Szenarien zu zeigen, wie die derzeitigen SIEMs effektiv verbessert werden können, um aktuellen Anforderungen zu genügen. Es werden Lösungen entwickelt, damit bis zum Laufzeitende im Oktober 2013 die Grundlage für eine neue SIEM-Generation gelegt werden kann, um zukünftige Herausforderungen der IT-Sicherheit lösen zu können.

Schlüsselfunktionen

• Multi-domain: Trennung von überwachendem SIEM-System und dem überwachten Zielsystem.
• Verbinden von Sicherheitsereignissen aus verschiedenen Ebenen, nicht nur - wie üblich - der Netzwerkebene sondern zum Beispiel von Ereignissen aus Geschäftsprozessen oder von Sensoren in kritischen Infrastrukturen (aus diversen, geographisch verstreuten Quellen).
• Verteilte Verarbeitung und Auswertung von Informationen - nahezu in Echtzeit.
• Skalierbarkeit und dynamische Lastverteilung zwischen integrierten und ausgelagerten Ressourcen.
• Dynamische Reaktion durch semi-automatische Gegenmaßnahmen bei Angriffen und Störungen, um Verfügbarkeit, Integrität und Vertraulichkeit beizubehalten.

Einige MASSIF Komponenten sollen in die Open Source SIEMs OSSIM und Prelude integriert werden, um zur Verbesserung dieser bereits auf dem Markt erhältlichen SIEMs beizutragen.

Fraunhofer: Sicherheitsmanagement für Prozesse

Fraunhofer entwickelt in MASSIF einen "Predictive Security Analyser".
Dieser nutzt ein Ereignis-basiertes Prozessmodell zur Simulation des Prozessverhaltens in der nahen Zukunft und ermöglicht so eine vorausschauende Warnung vor möglichen Gefahren.
Eine innovative Methode zur Laufzeit-Sicherheitsanalyse nutzt die Prozessverhaltensmodelle, um
Abweichungen laufender Prozesse von dem erwarteten Verhalten festzustellen und
damit aktuelle und mögliche zukünftige Verletzungen der Sicherheitsanforderungen aufzudecken.
Ein neu entwickeltes "Uncertainty Management" ermöglicht eine sofortige semi-automatische Anpassung des Prozessmodells, falls auftretende Abweichungen durch die natürliche Evolution der Prozesse ausgelöst wurden. Falls die Abweichungen jedoch von Fehlverhalten oder Störungen des Prozesses ausgelöst werden, wird ein Alarm ausgegeben, der auch Entscheidungs- und Reaktionshilfe bietet.