Unabhängige Kompetenz-Plattform
für Integrierte Sicherheit in der Schweiz.

Security Monitoring – Die Methode für kontinuierliche Optimierung

Eine Security Monitoring Lösung ist ein komplexes System von technischen Komponenten und organisatorischen Einheiten. Unterschiedliche Ausgangssysteme, personelle Funktionen sowie Hard- und Software-Tools sind von einander abhängig und greifen ineinander. Erst die optimale Abstimmung ergibt einen Gesamtaufbau, der Ihnen wirklichen Schutz vor Cyberattacken bietet.



Zur Planung und Umsetzung einer Cyber Defence Lösung mittels Security Monitoring in Ihrem Unternehmen sind einige Fragen zu beantworten:

  • Wo stehe ich heute? Was ist bereits vorhanden?
  • Wie organisiere ich mich?
  • Was kann oder will ich selber machen und was kann ich einkaufen?
  • Welches Tool deckt meine Anforderungen am Besten ab?


Das Vorgehen
Um die o.g. Fragen zu beantworten und eine Security Monitoring Lösung einzuführen und zu betreiben, hat sich der Security Monitoring Cycle als effiziente Methode bewährt.

In der Review- und Konzeptphase dieser Methode erarbeiten Sie alle konzeptionellen Aspekte der geplanten Security Monitoring- oder SIEM-Lösung und der SOC-/ISIRT-Organisation, so dass einer reibungslosen Einführung und Umsetzung nichts mehr im Wege steht.



Wenn Sie Ihre Ausgangslage ermittelt und die Bedürfnisse bestimmt haben, geht es als Teil der Cyber
Security Strategie um die folgenden konzeptionellen Themen:


Review und Gap-Analyse
Wenn Sie mit Security Monitoring starten, bestimmen Sie in der Review- Phase mit einer Gap-Analyse Ihre aktuelle Situation und definieren die notwendigen Schritte, um Ihre Ziele zu erreichen. Haben Sie bereits eine Lösung im Einsatz, geht es darum die Effektivität zu überprüfen und kontinuierlich zu verbessern.

  • Identifikation von Geschäftsprozessen, Assets und Umfeld
  • Durchführung der Risikoanalyse, Bestimmung von Bedrohungsszenarien und Schutzbedarf
  • Aufdecken von Sicherheitsdefiziten und Massnahmendefinition
  • Bestimmung von Vorgaben, Anforderungen und Rahmenbedingungen
  • Definition der Lösungs- und Umsetzungsstrategie


Im Bewusstsein einer langfristigen Sicherheitsstrategie und der Vision des Security Monitoring Zielbildes, kann ein Security Dienstleister Sie durch priorisierte Handlungsfelder und strukturiertes Vorgehen zu einem effizienten Security Monitoring führen.


Konzeption Cyber Security Intelligence und SIEM-Plattform
Eine zentrale Cyber Security Intelligence und SIEM-Plattform dient zur Erkennung, Analyse und Bearbeitung von Security Events. Das Konzept dafür muss an Ihre Betriebsbedürfnisse angepassten werden. Was müssen Sie noch bei diesem Schritt beachten?

  • Dimensionierung und Architektur einer skalierbaren und zukunftsorientierten Plattform
  • Definition der vorgabenkonformen Integration von Log-Quellen und Datenhaltung (Policy, Compliance, Datenschutz)
  • Nahtlose Integration in Ihre bestehende Infrastruktur, Tools und Prozesse
  • Stakeholder-angepasste Auswertungen und Berichte
  • Abstimmung mit vorhandenen oder ergänzenden Lösungen für Prävention und Erkennung um eine hoch effektive Cyber Security Intelligence Plattform zu etablieren


Use Case Engineering für jede Phase der Cyber Kill Chain
Jedes Unternehmen ist gut beraten auf seine Situation ausgerichtete Use Cases zur Erkennung von Vorfällen zu definieren. Greifen Sie dabei auf Security Experten zurück, die über SOC- und ISIRT-Erfahrungen verfügen, denn im SOC-Team werden täglich reelle Angriffe analysiert und bekämpft; gleiches gilt für Auditing und Pentesting (Think like an attacker).



Bei der Definition der Use Cases können Sie sich auf Ihre Cyber Security Strategie, Assets und Riskoanalyse berufen, wie auch auf die Informationsquellen Ihrer bestehenden Sicherheitskomponenten im Bereich Protection und Detection.

Security Dienstleister verfügen oft schon über eine Datenbank mit vordefinierten Use Cases, aus denen Sie auswählen können, was Ihnen einiges an eigener Arbeit  erspart. Anhand Ihrer vorhandenen Datenquellen wird Ihnen aufgezeigt, welche Cases mit welcher Komplexität und Effektivität umgesetzt werden können.


Über den Autor
Jürgen Anthamatten verfügt über einen Abschluss als Dipl. Ing. ETH Lausanne/Eurecom und arbeitet seit 2001 bei der terreActive AG, seit 2011 als Head of Consulting und Leiter Projekte. Als Projektleiter betreut er umfangreiche Integrations- und Migrationsprojekte im IT-Sicherheitsbereich.  Sein Hauptfokus liegt im Design und der Beratung von Log-Management- und SIEM-Lösungen. Zusätzlich bringt er grosse Erfahrungen aus dem Gebiet Security Audits mit.

terreActive AG auf Security-Finder Schweiz


Security-Finder Schweiz: Newsletter