Sicherheitsrelevante Ereignisse

Wenn ein sicherheitsrelevantes Ereignis im täglichen Betrieb eines Firmennetzes registriert wird, dann wurde meist entweder eine Richtlinie oder eine Sicherheitsmaßnahme verletzt. Diese Ereignisse wirken sich in der Regel negativ auf die im Unternehmen eingesetzte Soft- und Hardware aus. Außerdem haben sie Auswirkungen auf die Sicherheit der Systeme und der darauf gespeicherten Daten.

Die ersten Hinweise auf ein Ereignis stammen meist von Software-basierten Alarmen oder wenn etwa ein Endnutzer im Unternehmen Kontakt mit dem Help Desk aufnimmt, weil sich zum Beispiel für ihn die Geschwindigkeit im Netzwerk spürbar verlangsamt hat. Dabei trifft meist die Annahme zu, dass diese Art von Ereignissen noch nur für relativ wenig Schwierigkeiten sorgen und dass sie in der Regel leicht zu lösen sind. Ereignisse, die den Einsatz eines Admins erfordern, werden dagegen oft als sicherheitsrelevante Vorfälle bezeichnet. Ein Help-Desk-Ticket von einem einzelnen Anwender, der nach eigener Aussage mit einem Virus in Kontakt gekommen ist, ist zunächst nur ein sicherheitsrelevantes Ereignis. Wenn Beweise für diese Annahme auf dem PC des Anwenders gefunden wurden, spricht man dagegen von einem sicherheitsrelevanten Vorfall.

Laut einer Untersuchung des auf die Erkennung von Bedrohungen spezialisierten Anbieters Damballa registrierten die befragten Unternehmen im Schnitt 10.000 sicherheitsrelevante Ereignisse am Tag. Sicherheitslösungen wie Virenscanner können die Zahl neuer Ereignisse senken. Standardisierte Prozesse aus dem Bereich Incident Response können zudem dafür sorgen, dass die Belastung durch die gemeldeten Ereignisse auf einem beherrschbaren Niveau gehalten werden kann. Ereignisse, die keinen manuellen Einsatz eines Administrators erfordern, lassen sich meist auch mit einem automatisierten System erledigen. Dafür eignen sich unter anderen auch Anwendungen aus dem Bereich Security Information and Event Management (SIEM).