Security Alerts: Wie Monitoring Systeme IT-Ausfälle verhindern
IT-Infrastrukturen laufen oft im 24/7-Betrieb und erfordern daher eine kontinuierliche Überwachung der Systemverfügbarkeit. Monitoringsysteme sind in der Lage, selbst definierte Anomalien zu erkennen und Alarmmeldungen, sogenannte Security Alerts, zu generieren, die die zuständigen Personen benachrichtigen. In diesem Artikel werden verschiedene Möglichkeiten vorgestellt, wie solche Alerts entstehen und wie sie dazu beitragen können, Cyberangriffe zu verhindern.
Wie entstehen Security Alerts?
In der IT-Welt, ähnlich wie in der physischen Welt, treten immer wieder ungewöhnliche und potenziell gefährliche Situationen auf. Zur Überwachung solcher Situationen werden Monitoringsysteme eingesetzt, die bei optimaler Konfiguration Anomalien erkennen und diese an die zuständigen Stellen weiterleiten.
Diese Alarmmeldungen, im IT-Jargon einfach als „Alerts“ bezeichnet, können in verschiedenen Bereichen und Ebenen auftreten. Im Folgenden werden einige Szenarien mit Beispielen für mögliche Meldungen und deren potenzielle Folgen dargestellt:
Messung physischer Parameter wie Prozessor-, Arbeitsspeicher- und Festplattenauslastung
- Meldung: „Die Festplattenkapazität des Servers ist erschöpft.“
- Folge: Anwendungen oder Systeme könnten ausfallen oder fehlerhaft ausgeführt werden.
Prüfung der Dienstverfügbarkeit
- Meldung: „Der Mailversand-Dienst wurde gestoppt.“
- Folge: Die E-Mail-Kommunikation könnte unterbrochen werden.
Überwachung der Netzwerkbandbreite an einer Firewall
- Meldung: „Die Netzwerkbandbreite ist vollständig ausgelastet.“
- Folge: Der Datentransfer im Netzwerk könnte verlangsamt werden.
Es gibt noch viele weitere Szenarien, in denen IT-Infrastrukturen bei richtiger Konfiguration selbstständig Anomalien überwachen können, ohne dass Menschen ständig Bildschirme beobachten müssen.
Welche Wege der Alarmierung gibt es?
Die Frage, wie man von Ereignissen, die Aufmerksamkeit oder Eingreifen erfordern, erfährt, ist entscheidend. Es gibt verschiedene gängige Wege, um über solche Ereignisse informiert zu werden, wobei der Detailgrad der Information unterschiedlich sein kann. Zu den häufigsten Alarmierungswegen gehören:
E-Mail-Benachrichtigungen sind der Klassiker unter den Alarmierungswegen, da sie vielseitig einsetzbar und einfach zu integrieren sind. E-Mails können entweder alle notwendigen Informationen enthalten oder auf ein Monitoringsystem verweisen.
SMS/Pager
SMS und Pager bieten einen unabhängigen Kommunikationskanal über Mobilfunk, im Gegensatz zum Internetzugang für E-Mails. Dieser Weg wird jedoch seltener genutzt, da zusätzliche Infrastruktur erforderlich ist und oft aus Kostengründen darauf verzichtet wird.
Push-Benachrichtigungen über Apps
Push-Benachrichtigungen in Monitoringsystem-Apps sind ein moderner Alarmierungsweg. Diese Benachrichtigungen bieten oft sofort weiterführende Informationen über das Ereignis, sodass die Situation besser eingeschätzt werden kann.
Automatisierte Posts in Collaboration-Tools und Ticketsystemen
Automatisch erstellte Posts oder Tickets in Collaboration-Tools sind ebenfalls beliebt, insbesondere wenn mehrere Personen gemeinsam Systeme betreuen. Dies ermöglicht einen schnellen und gezielten Austausch und kann auch als Grundlage für eine Vorfallsdokumentation dienen, in der festgehalten wird, wer was wann und wie getan hat. Diese Dokumentation kann auch für zukünftige Ereignisse nützlich sein, um effizienter zu reagieren.
Für alle genannten Alarmierungswege ist jedoch eine funktionierende Internet- oder Mobilfunkverbindung erforderlich. Je nach Kritikalität der Infrastruktur und den Anforderungen an die Verfügbarkeit sollte dies bei der Planung und Implementierung berücksichtigt werden.
Es könnte beispielsweise ratsam sein, neben zwei Internetleitungen auch einen oder mehrere Mobilfunkkanäle in Betracht zu ziehen, um selbst bei einem Ausfall der Internetverbindung noch Benachrichtigungen über Mobilfunk zu erhalten. Das Prinzip der Redundanz gilt hierbei sowohl für den Mailversand als auch für das Alerting-System selbst.
Was ist kritisch und was nicht?
Monitoringsysteme können täglich Tausende von Meldungen erzeugen, was zu einer Überlastung der Alerting-Systeme führen kann. Daher ist eine Analyse der IT-Infrastruktur erforderlich, ähnlich einem Risikomanagement, jedoch mit Fokus auf technische Risiken.
Dabei können folgende Aspekte eine Rolle spielen:
- Verfügbarkeit des Systems (Produktiv- oder Testsysteme)
- Kritikalität der enthaltenen Daten (personenbezogene Daten, schützenswertes Know-how)
- Position im Netzwerk (DMZ für veröffentlichte Systeme, internes Netzwerk)
- Zeiträume (werktags, sonntags und feiertags; tagsüber und nachts)
- Stufe der Benachrichtigung (Warnung, Alarm)
Das Ergebnis einer solchen Analyse könnte beispielsweise festlegen, dass ein nächtlicher Datentransfer vom Backup-System in die Cloud als normal betrachtet wird, während ein solcher Transfer am Tag nur eine Warnung auslöst. Hingegen sollte eine ungewöhnlich hohe Prozessorauslastung auf einem Dateiablageserver mit sensiblen Daten am Wochenende einen kritischen Alarm auslösen.
Alerts zur Abwehr von Cyberangriffen
Auch wenn kein SIEM oder SOC im Einsatz ist, können Alerts aus Monitoringsystemen Hinweise auf einen Cyberangriff liefern. So können zuständige Personen schnell reagieren, um den Angriff einzudämmen oder im besten Fall abzuwehren.
Zwei häufig beobachtete Szenarien, die auf einen Cyberangriff hinweisen können, wurden bereits in diesem Artikel erwähnt:
- Abschaltung kritischer Dienste
- Hohe Aktivität auf einem Dateiablageserver außerhalb der Geschäftszeiten
Beide Szenarien sind typische Anzeichen für Ransomware-Angriffe, bei denen zunächst die Kontrolle über ein System oder eine gesamte Systemlandschaft übernommen wird. Danach werden Daten exfiltriert und schließlich unbrauchbar gemacht, entweder durch Verschlüsselung oder Zerstörung. Solange das Monitoring- und Alerting-System nicht kompromittiert wird, können diese Systeme wertvolle Informationen für die IT-Forensik liefern.
Übermäßige Netzwerkbelastungen, die durch Cyberangriffe verursacht werden, können ebenfalls durch Alerts erkannt werden. Solche Angriffe, oft als „Denial of Service“ bezeichnet, zielen darauf ab, das Netzwerk oder die betroffenen Systeme lahmzulegen. Obwohl der Schaden im Vergleich zu Ransomware-Angriffen geringer sein mag, bieten Alerts dennoch wertvolle Erkenntnisse zur Abwehr solcher Attacken.
Alerts können „virtuelle Leben“ retten
Wie die genannten Beispiele zeigen, kann die Überwachung einer IT-Infrastruktur durch gut definierte Anomaliedefinitionen dazu beitragen, einzelne Systeme oder ganze Infrastrukturen vor katastrophalen Ausfällen zu schützen. Voraussetzung dafür ist jedoch ein tiefes Verständnis der Systeme, deren Verhalten und eine genaue Einschätzung der jeweiligen Situation.
Wichtige Schritte zur erfolgreichen Überwachung der Infrastruktur:
- Regelmäßige Systemanalyse: Überprüfen Sie kontinuierlich die Leistung und Schwachstellen Ihrer Systeme.
- Simulation von Notfallszenarien: Führen Sie regelmäßige Penetrationstests und Sicherheitsübungen durch, um die Reaktionsfähigkeit zu testen.
- Anpassung der Anomaliedefinitionen: Aktualisieren Sie regelmäßig die Parameter für Alerts basierend auf neuen Bedrohungen und technologischen Fortschritten.
- Schulung der IT-Teams: Sorgen Sie dafür, dass das IT-Personal stets über die neuesten Sicherheitsprotokolle und Technologien informiert ist.
- Dokumentation und Überprüfung: Führen Sie eine genaue Aufzeichnung aller Vorfälle und Überprüfungen, um Verbesserungspotenziale zu identifizieren.
Solche Maßnahmen erhöhen nicht nur die Sicherheit, sondern auch die Zuverlässigkeit der IT-Infrastruktur.
FAQ – häufig gestellte Fragen zu Security Alerts
Welche Rolle spielen Security Alerts für die IT-Infrastruktur?
Alerts sind entscheidend für die Überwachung der IT-Infrastruktur, da sie auf Anomalien oder potenziell gefährliche Situationen hinweisen. Sie ermöglichen es IT-Teams, proaktiv auf Probleme zu reagieren und Ausfälle oder Sicherheitsvorfälle zu verhindern.
Kann man Alerts anpassen und individualisieren?
Ja, Alerts können individuell konfiguriert werden, um spezifischen Anforderungen und Prioritäten eines Unternehmens gerecht zu werden. Durch diese Anpassung können IT-Teams sicherstellen, dass nur relevante und kritische Informationen die verantwortlichen Personen erreichen.
Was sind Fake-Alerts?
Fake-Alerts sind Fehlalarme oder unwesentliche Benachrichtigungen, die fälschlicherweise als kritisch eingestuft werden. Sie können zu „Alarmmüdigkeit“ führen, wodurch echte Bedrohungen möglicherweise übersehen werden, weshalb eine sorgfältige Konfiguration der Alert-Systeme wichtig ist.
Weitere spannende Beiträge
-
- News
Side-Channel Angriff: Auf Umwegen zu Ihren Daten
Heutzutage existieren viele Wege, über die Angreifer an vertrauliche Daten oder Passwörter gelangen können. In den meisten Fällen handelt es sich dabei um direkte Cyberangriffe, wie beispielsweise Malware, Brute-Force-Attacken oder Phishing. Es gibt jedoch eine weitere, auf den ersten Blick weniger auffällige Methode, die dennoch erhebliche Risiken birgt. Diese Methode wird als Side-Channel Angriff bezeichnet. […]
-
- News
Brute-Force-Angriff erkennen & abwehren – Tipps von Experten
Angriffe per Brute-Force sind nach wie vor eine gängige Methode, um unbefugten Zugang zu Systemen zu erlangen. Dies liegt zum Teil daran, dass die erforderliche Rechenleistung immer günstiger wird und zum anderen daran, dass viele Benutzer und Administratoren weiterhin unsichere Authentifizierungspraktiken anwenden. In diesem Artikel erläutern wir das Vorgehen von Angreifern und geben Tipps zur […]
-
- News
BingoMod – Remote Access Trojaner kapert Ihr Online-Banking
BingoMod ist eine seit Mai 2024 bekannte Malware, welche sich auf mobilen Geräten ausgebreitet hat. Es handelt sich hierbei um einen Remote Access Trojan (RAT), der auf mobile Geräte mit Finanzdaten abzielt. Dabei wird On-Device-Fraud betrieben, um an Finanzdaten zu gelangen und mit einem sogenannten Geräte-Wipe – dem gezielten Löschen von Spuren und teilweise dem […]
Wir stehen Ihnen mit unserer Erfahrung zur Seite.
Sie wünschen sich eine persönliche Beratung? Melden Sie sich gern per ausgefülltem Formular oder Anruf bei uns.
Joanna Lang-Recht
Head of IT Forensics
24/7 IT-Notfallhilfe
0180 622 124 6
20 Ct./Anruf aus dem Festnetz, Mobilfunk max. 60 Ct./Anruf
Direkt Kontakt aufnehmen
it-forensik@intersoft-consulting.de