Automatisierte Stärkung von Management-Systemen für die effektive Behandlung von IT-Sicherheitsvorfällen
Bedrohungen im Bereich der IT-Sicherheit nehmen enorm zu und viele Unternehmen sind damit beschäftigt, ihre Sicherheitssysteme zu verbessern, um Angriffe schnell erkennen und adäquat reagieren zu können. Eines der zentralen Werkzeuge dafür ist das sogenannte Security Incident and Event Management System (SIEM), d.h. ein System ausgerichtet auf die Behandlung von IT-Sicherheitsvorfällen. Es ermöglicht sicherheitsrelevante Ereignisse zu erkennen, zu kategorisieren und entsprechende Alarme auszulösen. Das System muss dafür sensitiv genug sein, um alle entscheidenden Ereignisse zu erfassen und gleichzeitig möglichst keine Fehlalarme auszulösen. Dies stellt eine besondere Schwierigkeit dar, da Cyberangriffe in ihrer Gestalt äußerst dynamisch sind, sich laufend verändern und an neue Gegebenheiten anpassen. Hinzu kommen Herausforderungen durch die fortwährenden Veränderungen der IT-Landschaft selbst.
Ziel im Projekt „System zur automatisierten Stärkung von Management-Systemen für die effektive Behandlung von IT-Sicherheitsvorfällen (VASE)“ ist es, die Leistungsfähigkeit von SIEM kontinuierlich zu erhalten. Dazu wird zunächst die IT-Umgebung gezielt Angriffen von außen ausgesetzt, um in Folge automatisiert die Systemantworten sowie die Erkennungsfähigkeit des SIEM zu analysieren. Insbesondere wird dabei erforscht, wie tief die initiierten Angriffe eindringen und wie genau und wirkungsvoll die SIEM-Erkennung bzw. die Gegenmaßnahmen sind. Die VASE-Bibliothek ist dafür eine Schlüsselkomponente: Sie enthält die Informationen zu den relevanten Bedrohungsszenarien und stellt den Zugang zu den aktuellen und neuen Angriffstechniken sicher. Mit Hilfe der Analyse können der Unternehmensschutz klassifiziert und Maßnahmen zur Optimierung des Schutzes punktgenau eingeleitet werden.
Die Ergebnisse des Projekts können branchenübergreifend zur IT-Sicherheit vieler Systeme beitragen. Mit Hilfe des Systems wird eine hohe Automatisierung im IT-Security-Betrieb erreicht, mit der man den wachsenden Bedrohungen im Bereich der IT-Sicherheit systematisch und herstellerunabhängig begegnen kann. Indem SIEMs verbessert werden, trägt das Projektvorhaben dazu bei, die Sicherheit von Bürgerinnen und Bürgern zu erhöhen sowie die technologische Souveränität zu stärken.