Cyber Security für Würzburg: Wie die WVV Versorgung und Verkehr mit Splunk als SIEM sichert

Wie ihr sicherlich wisst unterstützt Splunk nicht nur den privaten, sondern auch den öffentlichen Sektor bei der erfolgreichen Erfüllung seiner Aufgaben. Die Splunk-Plattform bietet dabei umfangreiche Möglichkeiten, um mithilfe von Echtzeit-Erkenntnissen, fundierte Entscheidungen treffen und entschlossen handeln zu können – auf Basis wirklich aller Daten.

Deshalb wird Splunk in Deutschland auch bereits in verschiedenen Bundes- und Landesbehörden, Polizei- und Ordnungsbehörden auf Landesebene und für unterschiedlichste öffentliche Dienstleistungen eingesetzt, unter anderem auch im Bildungswesen, im Gesundheits- und Sozialwesen, in Sendeanstalten sowie in Verkehrs- und Versorgungsbetrieben – so auch bei der Würzburger Versorgungs- und Verkehrs-GmbH (WVV).

Die WVV – Würzburger Versorgungs- und Verkehrs-GmbH

Die Würzburger Versorgungs- und Verkehrs-GmbH (WVV) ist als 100%ige Tochter der Stadt Würzburg erster Ansprechpartner in der Region, wenn es um Dienstleistungen in den Bereichen Energie, Verkehr und Umwelt geht. Mit zukunftsorientierten Infrastrukturmaßnahmen trägt die WVV wesentlich zur Erhaltung und Steigerung der Lebensqualität in Würzburg bei und versorgt die Stadt und viele zugehörige Gemeinden mit Strom, Erdgas, Fernwärme und Trinkwasser.

Mehr Sicherheit für Würzburg und Umgebung

Um ihre kritischen Infrastrukturen (KRITIS) und die Würzburger Bürger besser vor immer komplexeren Cyber-Gefahren zu schützen und damit gleichzeitig den Auflagen des neuen IT-Sicherheitsgesetzes (IT-SiG) zu entsprechen, war der Aufbau eines analysegestützten, innovativen SIEM zur effektiven Detektion, Reaktion und Reporting von Cyber-Angriffen eines der Hauptziele des WVV-Security-Teams.

Mit diesem Anliegen wandte sich WVV an den erfahrenen Splunk-Partner SVA, um gemeinsam am Aufbau einer Splunk Enterprise-Lösung als SIEM für die IT-Infrastruktur der WVV sowie der zugehörigen KRITIS zu arbeiten.

Die Herausforderung

Nachdem WVV bereits die ISO 27001 Zertifizierung abgeschlossen hatte, sollte nun ein ein Security Information & Event Management (SIEM) System als Teil der Cyber-Sicherheits-Strategie etabliert werden. Mit folgenden Herausforderungen sah sich WVV unter anderem konfrontiert:

• Verbesserter Schutz der IT-Infrastruktur der WVV sowie der zugehörigen kritischen Infrastrukturen (KRITIS)
• Konstant sichere Versorgung der Würzburger Bürger mit kritischen Dienstleistungen
• Erfüllung des IT-Sicherheitsgesetzes (IT-SiG) bzw. der BSI-Vorgaben zum Mindeststandard zur Protokollierung und Erkennung von Cyber-Angriffen
• Schutz und Überwachung von über 40 heterogenen Systemen mit sehr hohem Schutzbedarf, einschließlich SAP
• Aufbau einer Splunk Enterprise-Lösung als SIEM

Die Lösung

Gemeinsam mit Splunk-Partner SVA und deren erfahrenen Experten wurde ein SIEM-Rahmenwerk definiert. Hierzu gehörten auch Prozesse und relevante Playbooks unter Berücksichtigung der bestehenden IT-Organisation sowie der IT-Governance der WVV. Dies erfolgte in drei Schritten:

• Phase 1: Fachliche Konzeption unter Einbeziehung grundsätzlicher Basisanforderungen an das SIEM sowie fachlicher Grundausbau und Erarbeitung eines Konzeptes zur Operationalisierung
• Phase 2: Technische Konzeption und Implementierung der technischen SIEM-Lösung
• Phase 3: Ausbau des SIEM-Konzeptes für die Beschreibung weiterer Use Cases und Anbindung weiterer Fachanwendungen

Da Splunk sowohl als lokale Software, als auch als Cloud-Service, also in einer öffentlichen und privaten Cloud gleichzeitig hybrid verwendet werden kann, entschied sich die WVV für diese Kombination als ideale Lösung für ihre Herausforderungen.

Vorteile für WVV

Mit Splunk Enterprise steht WVV nun eine Lösung zur Verfügung, die Daten unabhängig von Quelle und Format untersucht, überwacht, analysiert und als Handlungsgrundlage bereitstellt. Mit intuitiven Analysefunktionen, Machine Learning, standardisierten Anwendungen und offenen APIs ist die Plattform flexibel und kann von spezifischen Anwendungsfällen auf ein unternehmensweites Analyse-Backbone skaliert werden. WVV profitiert somit von folgenden Vorteilen:

• Echtzeit-Monitoring des gesamten Sicherheitsniveaus des Unternehmens, einschließlich der mehr als 40 heterogenen Systeme mit sehr hohem Schutzbedarf
• Echtzeit-Einblicke und Visualisierung von Log-Daten durch individuell anpassbare Dashboards und Drilldowns
• Erhöhte Erkennungsmöglichkeiten bei Risiken und optimierte Reaktion auf Incidents durch eine sicherheitsspezifische Sicht auf sämtliche Daten der WVV
• Ad-hoc-Suchen sowie statische, dynamische und visuelle Korrelationen zur Identifizierung böswilliger Aktivitäten
• Möglichkeiten zur detaillierten Nachverfolgung komplexer Bedrohungsaktivitäten durch mehrstufige Sicherheitsverletzungs- und Untersuchungsanalysen
• Automatische Erkennung von Ereignismustern und Echtzeit-Interaktion mit Suchergebnissen
• Transparenz über Datensilos hinweg zur Nutzung aller verfügbaren Daten, um Bedrohungen mit verlässlichen Informationen und leistungsfähigen Analysen zu erkennen, zu überwachen und zu beheben.
• Schnelle Erkennung und Abwehr möglicher Angriffe, noch bevor diese Schaden anrichten können
• Etablierung eines zentralen, aktuellen Standardsystems, welche jederzeit um neue Anwendungen erweiterbar ist
• Erfüllung der BSI-Vorgaben und des IT-Sicherheitsgesetzes (IT-SiG)

Mithilfe von Splunk und SVA konnte die WVV in kürzester Zeit eine Cyber-Security-Lösung finden und etablieren, die nicht nur den BSI-Anforderungen an KRITIS entspricht, sondern darüber hinaus auch das Sicherheitsniveau der Infrastruktur und des Rechenzentrums am Standort Würzburg merklich erhöht.

Solltet auch ihr Interesse haben, mehr über Splunks Cyber-Security-Funktionen zu erfahren, oder einen Partner in eurer Nähe suchen, zögert nicht uns zu kontaktieren!

Ihr möchtet euch erst einmal selbst ein Bild vom SIEM-Markt machen? Dann empfehle ich euch den aktuellen Splunk Leitfaden für SIEM-Käufer. Und wenn euch interessiert, was eure Kollegen aus der Security-Welt aktuell beschäftigt, werft unbedingt einen Blick auf unseren Splunk Lagebericht Security!