Kein Rätselraten mehr über Netzwerkdaten

Die Liste der Anforderungen an die IT-Compliance wird länger: Neue Gesetze, wie die EU-Datenschutz-Grundverordnung (DSGVO) oder die Richtlinie 2014/65/EU (MiFID II) zur Regulierung der Märkte für Finanzinstrumente, sowie interne Vorgaben stellen neue Herausforderungen an die IT-Compliance. Um diese zu bewältigen, ist es unerlässlich, seine Unternehmensdaten genau zu kennen. Doch das ist leichter gesagt als getan. Eine Aufzeichnung des Datenverkehrs führt zu mehr Transparenz und trägt wesentlich zu einer höheren IT-Compliance und damit auch zu einer besseren IT-Sicherheit bei.
Bis 2025 wird sich die weltweite Datenmenge laut der IDC Studie Data Age 2025 verzehnfachen. Das sind 163 Zettabytes (ZByde). Das entspricht in etwa 40 Trillionen DVDs, die 100 Millionen Mal zum Mond hin- und zurückreichen. Dabei wird ein Großteil der Daten durch Unternehmen entstehen – in zehn Jahren soll dieser Anteil 60 Prozent ausmachen. Die Verantwortung für die Daten liegt bei den Unternehmen. Sie müssen also diese riesige Menge an hochsensiblen und persönlichen Daten so organisieren, dass die IT-Compliance gesichert und der Datenschutz garantiert ist.
Eine Datenquelle für alle ToolsMit welchen Tools und Vorgehensweisen können diese Anforderungen an die IT-Compliance und IT-Sicherheit bewältigt werden? Die Antwort auf diese Frage zu finden, ist ein schwieriges Unterfangen für die IT-Teams, die oftmals mehrere Tools von unterschiedlichen Anbietern im Einsatz haben, die in der Regel nicht optimal aufeinander abgestimmt sind. Somit fehlt ein ganzheitlicher, realistischer Blick auf die Daten aus dem Netzwerkverkehr.
Rob Earley ist Senior Sales Engineer bei Endace und hat über 30 Jahre Erfahrung im Bereich Netzwerksicherheit: „Die meisten Unternehmen haben unzählige Tools im Einsatz, die oftmals nicht miteinander kommunizieren. Ein erster Schritt wäre, eine konsistente Datenquelle zu schaffen, auf die alle vorhandenen Lösungen, wie Firewall, Anti-Malware, Intrusion-Detection-(IDS) oder Intrusion-Prevention-Systeme (IPS), zugreifen können. Danach folgt der zweite Schritt mit der Einführung einer automatischen Vorgehensweise zur Untersuchung von Vorfällen und sicherheitsrelevanten Ereignissen im Netzwerk. Nur so lässt sich die Anzahl der Performance-Probleme und Cyber-Attacken in Echtzeit bewältigen.“

Gestohlene Privatdaten mit Netzwerk-Monitoring-Tools schnell erkennen
Die schnelle Suche nach Datenpannen ist insbesondere vor dem Hintergrund der EU-Datenschutz-Grundverordnung (DSGVO) wichtig, da Organisationen und Unternehmen dazu verpflichtet sind, Behörden und Kunden über Datenschutzverletzungen zu informieren. Mit der neuen Verordnung, die im Mai 2018 in Kraft tritt, können Datenschutzverletzungen hohe Bußgelder nach sich ziehen. Das können bis zu vier Prozent des globalen Umsatzes im vorausgegangenen Geschäftsjahr sein, maximal bis zu 20 Millionen Euro. Doch wie erhalten Unternehmen Sicherheit über mögliche gestohlene personenbezogene Daten? Oftmals verlassen sich IT-Verantwortliche auf Spekulationen statt auf Fakten. Diese sind nur über sogenanntes Netzwerk-Monitoring zu erreichen.
Damit ist unter anderem die Aufzeichnung des Datenverkehrs gemeint, die es ermöglicht, historische Daten zu analysieren. Hierbei kommen oftmals die vorhandenen Tools zur Erfassung und Analyse von Netzwerkdaten an ihre Grenzen. Das sind in der Regel Metadaten, wie Serverprotokolleinträge. Damit keine personenbezogenen Daten über das Netzwerk transferiert werden, benötigt es spezielle Tools, wie Network-Visibility-Produkte oder auch Netzwerkrekorder, mit denen Netzwerkdaten vollständig zu erfassen sind und relevante Daten aufgezeichnet werden können.
„Die meisten Security- und Netzwerk-Monitoring-Tools können zwar Daten in Echtzeit überwachen, aber die wenigsten zeichnen Daten exakt auf“, gibt Earley zu bedenken. „Wenn von Anfang an Daten nicht richtig erfasst und aufgezeichnet worden sind, fehlen möglicherweise Informationen. Deshalb ist eine von Beginn an hundertprozentige Erfassung und Aufzeichnung des Datenverkehrs wichtig. Diese sogenannten Netzwerkpakete, wir nennen es Packet Capture, lassen sich dann für alle anderen Security- und Performance-Monitoring-Tools zur Verfügung stellen. Somit ist gewährleistet, dass alle Tools mit denselben Netzwerkdaten arbeiten.“
Diese konsistente Datenbasis unterstützt Netzwerkadministratoren und Sicherheitsverantwortliche bei der Identifikation von Cyberangriffen und Performance-Problemen in Echtzeit. Mithilfe von Netzwerk-Monitoring-Tools lassen sich historische Daten sofort aufrufen und Gewissheit über gestohlene Daten erlangen sowie Schwachstellen zur schnellen Beseitigung finden. Vollständige Netzwerkpakete helfen also nicht nur bei der Sicherstellung der IT-Compliance, sondern tragen auch zu einer höheren IT-Sicherheit bei.
MiFid II: Finanzdaten mit Zeitstempel in Nanosekunden erfassen
Ein anderes Compliance-Beispiel: Banken und andere Anbieter von Finanzhandelsinstrumenten müssen ihre IT-Prozesse nach der neuen europäischen Richtlinie 2014/65/EU (MiFID II) umfangreich anpassen. Hierzu muss beispielsweise im Rahmen des Anlegerschutzes, die elektronische Kundenkommunikation vollständig aufgezeichnet werden. Auch hier können Netzwerk-Rekorder unterstützen, beispielsweise bei der Erfassung und Aufzeichnung der Daten aus dem Trading. So erhalten sie per Knopfdruck und in wenigen Sekunden alle Informationen, die mit einem genauen Zeitstempel versehen sind. Nur so können Schwierigkeiten im Rahmen eines Audits durch die Regulierungsbehörde vermieden werden.
Wie funktioniert das nun technisch? Bei Übertragungsraten von bis zu 100 Gbit/s erfassen, katalogisieren und zeichnen die Netzwerkrekorder den Datenverkehr auf. Bei einer Paketebenen-Analyse liefern diese ein schnelles Drill-Down basierend auf Multi-Terabyte-Trace-Dateien. Diese Hardware sollte sich problemlos in bestehende Infrastrukturen integrieren lassen, skalierbar und multifunktionsfähig sein.
Im besten Falle können Netzwerk-Rekorder andere Monitoring-Applikationen von Drittanbietern hosten, sodass diese Zugriff auf den aufgenommenen Datenverkehr in Echtzeit erhalten. Das erlaubt dem IT-Verantwortlichen direkt nach einer Warnung seitens ihrer Sicherheitstools in ihrem IDS oder IPS auf die relevanten, aufgenommenen Netzwerkdaten zu zugreifen. Dadurch können sie sofort erkennen, was passiert ist.
Vor dem Hintergrund steigender Anforderungen an die IT-Compliance wird das Wissen über die vorhandenen Unternehmensdaten immer wichtiger. Vollständige Netzwerkpakete, die auch in ihrer Historie analysierbar sind, liefern die Beweise für Datenschutzverletzungen oder helfen bei der Suche nach den konkreten Ursachen bei Performance- oder Sicherheitsproblemen. Damit lassen sich IT-Prozesse besser steuern und auditieren sowie Betriebskosten durch die gewonnene Transparenz senken. Nur so kann die IT-Compliance langfristig sichergestellt werden.