cherheitsprobleme reagiert werden. Diese Reaktion erfordert   der Organisation zunächst kaum. Erst durch Analyse und Kor-
        zunächst ein funktionierendes Incident- und Change-Manage-  relation der Daten können sicherheitsrelevante Vorfälle iden-
        ment. Eine angemessene Reaktion auf gefundene Sicherheits-  tifiziert und bewertet werden. Diese Auswertungen müssen
        vorfälle sollte zudem im Vorfeld festgelegt und in Richtlinien   stetig weiterentwickelt und verbessert werden, so dass die
        festgeschrieben werden. Für akute Probleme müssen Notfall-   Anzahl der fehlerhaften Warnungen (falschpositiv) minimiert
        und Krisenreaktionspläne erarbeitet und getestet werden.  wird, ohne relevante Informationen zu verlieren (falschnega-
                                                             tiv). Die gewonnenen Erkenntnisse müssen dann über einen
           Insgesamt können Entscheidungen über Risiken und de-  geregelten Prozess in Maßnahmen umgesetzt werden, die ein
        ren Behandlung (Beseitigung, Verminderung oder Akzeptanz)   besseres Schutzniveau gewährleisten.
        weder von den Fachabteilungen noch von der IT-Abteilung al-
        lein getroffen werden. Hier ist eine Einbettung in ein Informa-  Die nötige kontinuierliche Verbesserung der Datenaus-
        tionssicherheitsmanagementsystem (ISMS) mit Beteiligung   wertung und der zugehörigen Prozesse erfordert auch nach
        der Leitungsebene unabdingbar. Bei der Einführung eines   der Einführung ausreichend Ressourcen und Unterstützung
        SIEM-Systems sollten daher frühzeitig organisatorische An-  durch die Leitung der Organisation. Analog zur Dimensionie-
        forderungen und eine angemessene Beteiligung der Fachab-  rung der Infrastruktur können volumenabhängige Lizenzmo-
        teilungen berücksichtigt werden.                     delle nicht oder sehr schwer kalkulierbar sein und Budgets
                                                             sprengen. Für den Betrieb sind neben benötigten personellen
        Datenschutz integrieren                              Ressourcen oft ausufernde Lizenzkosten limitierend. Auch der
                                                             Aufwand für die initiale Anbindung der unterschiedlichen Da-
        Häufiger Fehler: Datenschutz ignorieren.             tenquellen wird regelmäßig deutlich unterschätzt.

           Die zur Analyse gesammelten Daten des SIEM enthalten fast   Entscheidungen auf situationsgerechte
        immer personenbezogene Daten. Es ist daher unabdingbar, den   Daten und Fakten gründen
        Datenschutzbeauftragten frühzeitig in das Projekt einzubinden
        und eine tragbare Lösung für die Handhabung der personenbe-  Häufiger Fehler: Sich bei der Produktauswahl von einer
        zogenen Daten zu finden. Neben den üblichen Anforderungen     schicken Herstellerpräsentation blenden lassen.
        des Datenschutzes (Zwecke, Rechte der Betroffenen) sollten im
        Besonderen die Aufbewahrungszeiten betrachtet werden.  Die Wahl des Produkts hängt naturgemäß von der eigenen
                                                             IT/OT-Landschaft ab. Die Hersteller haben jeweils Stärken und
        Infrastruktur bedarfsgerecht anpassen                Schwächen in unterschiedlichen Bereichen. Daher sollte vor
                                                             der Entscheidung für einen Hersteller detailliert geprüft wer-
        Häufiger Fehler: Die erforderliche Infrastruktur     den, welche Systeme wie angebunden werden sollen. Diese
          vernachlässigen.                                   Betrachtung sollte nicht nur die anzubindenden Daten, son-
                                                             dern auch andere anzubindende Systeme (etwa Reporting, In-
           Es gibt  viele Ereignisse in einer IT/OT-Infrastruktur –   zidenzmeldungen oder die CMDB) berücksichtigen.
        wirklich sehr viele! Die Ereignisse aus allen IT/OT-Kompo-
        nenten müssen an das SIEM übertragen, für einen längeren   Erfolgsaussichten
        Zeitraum gespeichert, aufbereitet und schließlich analysiert
        werden. Die Dimensionierung von Speicherplatz und Rechen-  Auch wenn deutlich wird, dass die Einführung eines SIEM
        leistung für ein SIEM kann im Vorfeld nie zuverlässig abge-  durchaus mit hohem Aufwand verbunden ist, ist es sehr sinn-
        schätzt werden. Üblicherweise werden benötigte Ressourcen   voll ein SIEM zu etablieren – nicht nur zur Erfüllung gesetzli-
        jedoch unterschätzt.                                 cher Vorgaben, sondern auch zur Erhöhung des Sicherheitsni-
                                                             veaus. Bei der Kalkulation des Aufwands für Einrichtung und
           Sicherheitsrelevante Komponenten der IT stellen zudem   Betrieb sollten erfahrene Experten die Einschätzung unter-
        noch besondere Anforderungen an die organisatorische Aus-  stützen. So bestehen gute Aussichten auf Erfolg.  n
        gestaltung. So ist es wünschenswert, dass die Kontrollfunktio-
        nen für die IT nicht von der IT selbst betrieben werden, sondern
        von einer unabhängigen Stelle. Dies ist in bestehenden Struk-
        turen oft nicht einfach umzusetzen. Dennoch sollte – soweit
        dies möglich ist – eine Trennung zwischen dem Betrieb der
        IT/OT-Systeme und dem Betrieb eines SIEM beachtet werden.

        Langfristig und als kontinuierlichen Prozess
        planen

        Häufiger Fehler: Die Einführung eines SIEM als einmaligen
        Aufwand betrachten und innerhalb einer Woche planen.
                                                                           Stephan Wirtz,
           Durch die Einführung des SIEM und die initiale Anbin-           Geschäftsführer bei anykey GmbH
        dung der Datenquellen verbessert sich das Sicherheitsniveau




                                                                      SPECIAL_1/2022  IT-SICHERHEIT IM KRANKENHAUS  23