Kategorie: Technik

22 Okt 2017

Wie ein SIEM ihre Datenschutzmaßnahmen unterstützen kann

In der, ab Mai 2018 gültigen, EU-Datenschutzgrundverordnung wird sehr viel mehr Wert auf technische Systeme zur Umsetzung der Anforderungen gelegt als im bisherigen Datenschutz. Das Unternehmen muss Datenschutzverstöße aktiv erkennen und innerhalb von 72h an die Aufsichtsbehörde melden können. Grundsätzlich müssen die Verarbeitungstätigkeiten zumindest aber regelmäßig auf ihre Sicherheit hin überprüft werden.

Artikel 32 DSGVO – Sicherheit in der Verarbeitung fordert dazu:

Ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

Dies stellt den Datenschutzbeauftragten vor zeitliche und organisatorische Herausforderungen. Der Datenschutzbeauftragte könnte diese Forderung nun umsetzen indem er regelmäßig persönliche Überprüfungen durchführt, manuell Protokolle auswertet oder die Verantwortlichen befragt. Oder er setzt ein SIEM ein, dass ihm schnell und auf Knopfdruck die relevanten Informationen anzeigt.

Ein SIEM ist ein Security Information und Event Management System. Ein solches System erfasst mögliche Sicherheitsprobleme und Vorfälle im unternehmenseigenen Netz und löst danach einen Alarm aus. Ein Administrator prüft diesen Alarm und verwirft ihn entweder oder leitet Gegenmaßnahmen ein.

Das ist allerdings nur das Ergebnis einer ganzen Kette von Sicherheitsinformationen die gesammelt wird und die Sicherheitsbeauftragte oder die Datenschutzbeauftragte bei ihrer täglichen Arbeit unterstützen. Grundsätzlich erhalten diese damit einen Gesamtüberblick über die Sicherheitslage in ihrem Netzwerk, können Angriffe nachvollziehen und potentielle Schwachstellen frühzeitig erkennen und beheben. Die Funktionsweise soll nun einmal kurz dargestellt werden.

Funktionweise eines SIEM

Ein SIEM besteht meist aus einer zentralen Instanz, dem Server, dieser führt die gesammelten Informationen zusammen und stellt sie übersichtlich dar. Daneben gibt es mehrere Sensoren die Daten sammeln und an den Server weiterleiten sowie externe Informationsquellen.

Als Sensoren dienen die zu überwachenden Systeme selbst oder entsprechende zusätzliche kleinere Installationen. Die überwachten Systeme liefern Protokolldaten und Zustandsdaten an das SIEM und werden ihrerseits regelmäßig auf Schwachstellen gescannt. Das Einsammeln der Protokolldaten kann dabei auch ein weiterer Server übernehmen und damit das SIEM entlasten. Zuästzlich bekommt das SIEM noch Informationen von einem eventuell vorhandenem Intrusion Detection System, das Einbrüche ins Netz erkennt und meldet.

Die gesammelten Daten werden nun aggregiert und gegen Alarmierungsregeln geprüft. Außerdem werden externe Quellen, die sogenannte Threat Intelligence, angezapft. Dazu gehören zum Beispiel Listen mit bekannten Malware-Servern, bekannte Phishing-Server und weitere Sicherheitsinformationen. Erfüllen die Daten die Alarmierungsregeln, wird ein Alarm ausgelöst.

Aber auch wenn kein Alarm ausgelöst wird, bietet das SIEM einen umfassenden Überblick über den Zustand des Netzwerkes. Alle Netzwerkgeräte werden erfasst und inventarisiert. Die Protokolldaten werden erhoben und grafisch ausgewertet. Erkannte Schwachstellen nach ihrer Kritikalität geordnet und angezeigt. Die Wirkung von Sicherheitsmaßnahmen wird direkt messbar und problematische Konfigurationsfehler werden aufgezeigt.

Die gesammelten Informationen können dann in vorgefertigte Compliance-Berichte nach PCI-DSS oder ISO 27001 übernommen werden und erleichtern Audits und die regelmäßige Berichterstattung.

Datenschutzrechtliche Bedenken

Als Datenschützer hört man die Worte „Überwachung“ und „Auswertung“ grundsätzlich nicht gerne. Tatsächlich gibt es hier auch ein Spannungsfeld zwischen der Sicherheit des Netzes und den personenbezogenen Daten der Mitarbeiter. Deshalb muss der Datenschützer die Einführung eines solchen Systems genau abwägen.

Für das System spricht der umfassende Überblick, die schnelle Erkennung von Sicherheitslücken und die Alarmierung. Dagegen steht die Erfassung von Protokolldaten von einer Vielzahl von Systemen und Anwenderaktivitäten. Als Datenschützer sollten sie hier auf eine Minimierung der erfassten personenbezogenen Daten, ein sorgfältig ausgearbeitetes Berechtigungskonzept und ein Löschkonzept für die Protokolldaten achten.

Lösungen und Kosten

Wie bei jeder technischen Lösung gibt es eine große Bandbreite von Anbietern für SIEM-Systeme mit unterschiedlichem Leistungsumfang und den damit verbundenen Kosten. Auch unterscheiden sich die Preismodelle sehr stark voneinander. Entweder wird anhand der installierten Systeme, dem Datenvolumen der Protokolle oder der Anzahl der überwachten Systeme abgerechnet.

Gartner hat in seiner Marktanalyse für SIEM Tools (Security Information and Eventmanagement 2017 ) die folgenden drei Gewinner ausgemacht:

LogRhytm

Geeignet vor allem für sehr große Unternehmen mit einer großen Menge an Endpunkten und Daten sowie dem entsprechenden Personal. LogRhytm selbst schweigt sich über den Preis aus, vereinzelt wird aber ein Preis von 32.000$ plus 20% jährlicher Wartung und Tests genannt. Dabei wird jedoch keine Grundlage für die Berechnung genannt.

logpoint

Ein europäisches Unternehmen mit einem Sitz in Deutschland. Als Datenschützer lässt schon einmal darauf hoffen, dass die datenschutzrechtlichen Vorgaben der DSGVO mit berücksichtigt werden. Grundsätzlich auch eher für sehr große Unternehmen geeignet, hier wird nach Anzahl der überwachten Systeme abgerechnet.

Splunk

Splunk ist sowohl für sehr kleine als auch für sehr große Unternehmen geeignet. Dazwischen liegt aber eine ziemlich große Lücke. Das liegt vor Allem am Abrechnungsmodell. Splunk rechnet nach Volumen der Protokolle in GB ab. Bis 500MB pro Tag kann es kostenlos genutzt werden. Danach fallen je nach Variante unterschiedliche Kosten an.

Es gibt die Möglichkeit Splunk als Software-as-a-Service aus der Cloud zu beziehen, in diesem Fall werden bis 5GB Protokolldaten 186$ monatlich fällig. Diese Variante sollte aber rein aus Datenschutzgründen schon nicht berücksichtigt werden. Die gesamten Protokolldaten des eigenen Unternehmens landen so bei einem Cloud-Anbieter.

Bei einer Vor-Ort-Installation sind zu den Server- und Administrationskosten zwischen 2070$ /Jahr/GB für 1 GB Daten täglich und 690$/Jahr/ pro GB ab einem Volumen von 100GB Daten täglich fällig. (Preismodell)

Dafür bietet es eine Vielzahl an Integrationen, eine schnelle Auswertung und eine schnelle Weiterentwicklung ohne zusätzliche Kosten.

Neben den drei Testsiegern ist aber vor allem Alienvault hervorzuheben.

Alienvault bietet mit OSSIM einen kostengünstigen Einstieg auf OpenSource-Basis, dafür muss der Anwender aber auf Support bei der Einrichtung und auf die Zentrale Protokollverwaltung verzichten. Abgesehen davon, bietet es aber die wesentlichen Funktionen eines SIEM wie Schwachstellenanalyse, Inventarisierung, Einbruchserkennung und Alarmierung.

Für kleinere und mittlere Unternehmen, die ihre Netzwerke überwachen wollen und Datenschützer die einen guten Überblick haben wollen, bietet sich diese Lösung zumindest als Einstieg in die Welt des Security Information and Event Management an. Der notorisch überlastete Admin wird es Ihnen danken, wenn seine Arbeit im Bereich Sicherheit sichtbar und messbar wird.

Mit einem SIEM wird die zentrale Grundforderungen im Artikel 32 der DSGVO zwar nicht komplett erfüllt, man kommt dem Ziel aber schon sehr nahe. Der Datenschutzbeauftragte bekommt so einen umfassenden und übersichtlichen Einblick in die Netzwerklandschaft ohne sich mit vielen technischen Details oder Einzellösungen zu beschäftigen.

Wenn Sie Hilfe bei der Auswahl eines geeigneten SIEM oder bei der Installation und Einrichtung von OSSIM benötigen, sprechen sie uns an.

09 Okt 2017

Grundschutz für WordPress

WordPress ist als Content Management System mit 25% unangefochtener Marktführer. Gerade bei kleineren Unternehmen wird dieses CMS aufgrund seiner Bekanntheit gern eingesetzt. Viele Dienstleister setzen ebenfalls auf dieses System, oft ist den Auftraggebern gar nicht mal so klar welches System eingesetzt wird und dieses entsprechend auch abzusichern ist. Ist ja „nur“ die Webseite, was kann mir da schon passieren.

Auch eine einfache Webseite, die nur als bloße Unternehmensrepräsentanz im Web steht, kann von einem Angreifer schnell zu bösartigen Zwecken genutzt werden. Die meisten davon sind unsichtbar und richten sich nicht einmal gegen Ihr Unternehmen selbst, sondern nutzen es nur als Plattform für Angriffe auf die Nutzer, also Ihre Kunden.

Mit Zugang zur Webseite können zum Beispiel unsichtbare Links im Inhalt platziert werden, die Besucher bei Besuch der Seite mit Malware infizieren oder pornographische Inhalte anzeigen. Formulare können genutzt werden um Spam zu versenden oder  wiederum Trojaner mit der Adresse Ihres Unternehmens als Absender. Außerdem ist es mehr als ärgerlich, wenn die mühsam aufgebaute Webseite durch einen Angriff zerstört wird und kein Backup vorhanden ist.

WordPress kann alles und noch viel mehr. Dementsprechend komplex ist das System auch und bietet entsprechende Angriffspunkte. Sie als Betreiber sollten die Webseite dementsprechend auch gegen Angriffe schützen. Wird die Webseite durch einen Dienstleister betrieben ist eine Auftragskontrolle unerlässlich.

Grundschutz

Ein paar wenige Maßnahmen reichen schon um einen gewissen Grundschutz bei der eigenen Seite herzustellen. Mit den folgenden Maßnahmen ist die Seite zumindest gegen die grundlegenden Bedrohungen geschützt.

Backups

Backups bilden die Grundlage der Absicherung, hier kann ein Plugin wie BackWPup helfen. Die freie Variante reicht für eine Basisabsicherung aus. Da eine Infektion nicht immer direkt erkannt wird, ist es sinnvoll mehrere Backups verteilt zu speichern.

Hier hilft die 3-2-1-Regel, von jedem Datenbestand sollten mindestens drei Kopien auf zwei verschiedenen Medien und eine davon extern gespeichert werden. Die Sicherung sollte dann täglich erfolgen und mindestens 10 Tage zurück reichen. Außerdem ist es sinnvoll ein wöchentliches Backup der letzten 10 Wochen aufzuheben.

Einmal aller 6 Monate sollte ein Wiederherstellungstest durchgeführt werden um sicherzugehen, das dass Backup auch wirklich funktioniert.

Updates

Eine weitere wichtige Komponente sind regelmäßige Updates. Die Kernkomponenten werden mittlerweile automatisch aktualisiert, bei den Plugins und Themes ist dies noch manuell durchzuführen. Dies sollte aber mindestens einmal wöchentlich geschehen. Bekannte Fehler und Verwundbarkeiten werden in der WordPress-Verwundbarkeitsdatenbank geführt, tauchen sie dort auf sind die Fehler auch allen Angreifern bekannt und werden dementsprechend häufig ausgenutzt.

Gerade im Bereich der Plugins ist Aktualität entscheidend, oft basieren Plugins wiederum auf Komponenten von Dritten und haben direkten Zugriff auf die Kernfunktionen. Plugins die nicht mehr aktualisiert werden sollten, auch wenn sie noch funktionieren, durch aktuellere ersetzt werden.

Firewall für WordPress

Als  dritte Komponente sollte grundsätzlich eine Web-Application-Firewall installiert werden. Diese überwacht die Zugriffe auf die Webseite und blockt potentielle Angreifer wenn bestimmte Muster erkannt werden. In diesem Bereich hat sich Wordfence etabliert auch, wenn es noch nicht auf Deutsch verfügbar ist.

Wordfence bietet mehrere Funktionen um die Webseite gegen Angriffe abzusichern. Der Administrator wird zum Beispiel über veraltete Plugins benachrichtigt, Änderungen an den WordPress-Dateien werden erkannt, beim Login von Benutzern  mit administrativen Rechten wird per Mail benachrichtigt usw. Außerdem werden IP-Adressen bei zu vielen Login-Versuchen oder Scan-Versuchen gesperrt.

Mit der Installation von Wordfence wird auch das Problem der Updates automatisiert und der Seitenbetreiber wird zumindest auf die Entfernung von Plugins aus dem WordPress-Verzeichnis hingewiesen.

Die anfängliche Konfiguration ist nicht trivial, aber mit einer laufenden Installation hat man einen guten Überblick über die Angriffe auf die eigene Seite und wird über potentielle Gefahren schnell informiert.

Weitere Maßnahmen

Neben den ausführlich erklärten Maßnahmen gibt es noch natürlich noch viele weitere Best-Practices um eine WordPress-Instanz abzusichern. Dazu gehören unter anderem:

  • das Standard-Admin-Konto deaktivieren und durch ein eigenes ersetzen
  • Sichere Passwörter verwenden (kann man nicht oft genug sagen)
  • Getrennte Accounts für die Beiträge und die Administration verwenden
  • Rechte der Benutzer auf das mindestmögliche Maß beschränken (Erweiterte Benutzerverwaltung mit Members)
  • 2-Faktor-Authentifizierung nutzen (Plugin)

Darüber hinaus gibt es natürlich noch viele weitere Möglichkeiten, einige davon werden wir in weiteren Artikeln gesondert vorstellen.

Möchten Sie ihre Webseite auf Verwundbarkeiten und Fehler überprüfen lassen kontaktieren Sie uns unter 04292 5625 6840  oder über unser Kontaktformular  

Durch die weitere Nutzung der Seite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um Ihnen das beste Surferlebnis zu ermöglichen. Wenn Sie diese Website ohne Änderung Ihrer Cookie-Einstellungen verwenden oder auf "Akzeptieren" klicken, erklären Sie sich damit einverstanden.

Schließen