Telefónica, Continental, MediaMarktSaturn

Wie Splunk-Nutzer Datenberge durchdringen

11.04.2017 von Wolfgang Herrmann
Auf der Konferenz SplunkLive! demonstrierten Splunk-Kunden wie Continental und Telefónica, wie sie aus bisher kaum genutzten Daten Erkenntnisse gewinnen und Prozesse verbessern.

Rund sechs Milliarden Geräte sind laut Gartner-Erhebungen mit dem Internet verbunden. Schon 2020 sollen es 25 Milliarden sein, fünf Jahre später sogar 50 Milliarden. Mit den Geräten wachsen die Datenberge in den Unternehmen, und genau darauf setzt die kalifornische Softwareschmiede Splunk. 2003 als Spezialist für die Auswertung von Maschinendaten gegründet, ist Splunk heute einer der gefragtesten Anbieter, wenn es um die Analyse von Daten aus unterschiedlichsten Quellen geht. Er bedient rund 13.000 Kunden in 110 Ländern.

Das Bild vom "Daten-Eisberg" bemühte auch Frank Böning, Vice President Central Europe bei Splunk: Den größten Teil der Daten kennen und nutzen Unternehmen noch gar nicht, so der Manager.
Foto: adike - shutterstock.com

Die digitale Transformation basiert auf Daten, erklärte Frank Böning, Vice President Central Europe bei Splunk, zum Auftakt der Kundenkonferenz SplunkLive! in München. Den größten Teil dieser Daten kennen und nutzen die Unternehmen noch gar nicht, so der Manager. Er unterscheidet dabei klassische strukturierte Daten, Human-generated Data zum Beispiel aus Apps sowie Maschinendaten. Alle drei Datentypen ließen sich mit Splunk-Plattformen überwachen und analysieren.

Mit zahlreichen Kundenbeispielen belegt Splunk, dass sich die hauseigenen Produkte inzwischen für unterschiedlichste Zwecke in Unternehmen nutzen lassen. Dazu beitragen sollen künftig auch Machine-Learning-Features, die der Softwareanbieter in seine Kernprodukte integriert.

Telefónica nutzt Splunk zur Betrugserkennung

Zu den prominenten Splunk-Kunden in Deutschland gehört der Telekommunikationsanbieter Telefónica. Schon 2011 habe man begonnen, mit Splunk zu experimentieren, berichtete Steven Riou, Senior Project Manger Innovation bei Telefónica Germany. Dies sei mehr oder weniger aus einer privaten Initiative heraus entstanden. Seinerzeit ging es vor allem darum, Admins und Entwickler bei der Fehlersuche zu unterstützen. Heute sei die IT ungleich komplexer geworden und auch die Ansprüche an Datenauswertungs-Tools gestiegen. Riou: "Wir verfolgen heute End-to-End, wie Kunden über unterschiedliche Kanäle mit uns interagieren."

Telefónica Deutschland arbeitet mittlerweile mit Splunk Enterprise 6.4 und sammelt damit Daten von rund 800-IT-Systemen, darunter vor allem Server und Netzwerkkomponenten. Jeden Tag indexiert das System rund ein Terabyte Daten, fast 400 User arbeiten mit der Splunk-Plattform.

Wichtige Einsatzszenarien liegen für den Telekommunikationsanbieter im Bereich Security. Täglich registriere man tausende von Cyber-Attacken, so Riou. Tools wie Splunk erlaubten es, Angriffe und Betrugsversuche frühzeitig zu erkennen. Als konkretes Beispiel nannte er den Passwort-Diebstahl für ein mobiles Gerät. Anhand der Interaktionen zwischen Gerät und Provider könnten Experten in solchen Fällen Betrugsmuster erkennen und Gegenmaßnahmen einleiten. Mithilfe von Splunk sei es möglich, ein proaktives Monitoring aufzusetzen und automatisiert auf Betrugsversuche zu reagieren. Im Zuge eines Process Mining wolle man künftig Betrugsmuster nahezu in Echtzeit erkennen und dazu auch Machine Learning nutzen.

Continental: Mit Splunk Richtung Industrie 4.0

Ein weiteres Anwendungsbeispiel lieferte Thomas Kleinert, Manager Industry 4.0 / SMART Factory bei der Continental AG. In der Produktion elektronischer Systeme fielen große Datenmengen an, die sich theoretisch zur Fehlererkennung nutzen ließen, so der Manager. Voraussetzung dafür sei ein effizientes Monitoring-System. Das Problem: "Jede Maschine spricht anders, so entstehen Datensilos."

Continental nutzt ein Splunk-Dashboard, um Probleme in der Fertigung elektronischer Systeme schneller zu erkennen.
Foto: Continental AG

Die Lösung bestand im ersten Schritt darin, alle anfallenden Daten in ein Splunk-System in der Cloud zu leiten. Darauf basierend habe man mit relativ geringem Aufwand ein Dashboard entwickelt. Damit lasse sich beispielsweise schnell erkennen, welche Fehler in welchen Produktionssystemen aufgetreten sind. Kleinert: "Wir sehen nun sehr genau, wo Qualitätsprobleme auftreten." Experten könnten ermitteln, in welcher Fertigungseinheit Probleme entstehen und darauf reagieren. Besonders wertvoll werde das System dadurch, dass sich Probleme auch vorausschauend erkennen ließen. Der Industrie-4.0-Spezialist lobte vor allem die einfache Bedienung und schnelle Einsatzbarkeit der Splunk-Systeme. Das Dashboard für die Fertigung, derzeit noch im Testbetrieb, habe man in rund vier Monaten aufgesetzt.

Flughafen München: Mehr Transparenz in der IT-Infrastruktur

Mehr Transparenz erhofft sich auch die Flughafen München GmbH. Michael Lemmer, Leiter Communication Technologies, hat dabei vor allem die klassische IT-Infrastruktur im Visier. Die Bayern kämpfen mit dezentralen Systemen und zahlreichen Logins an unterschiedlichen Systemen, die wiederum zu Dateninseln führen. Abhilfe schaffte ein zentrales Log Management mit Splunk Enterprise.

Besonders viele Logins verzeichnet der Münchner Flughafen etwa an den Proxy-Servern, über die sich Nutzer mit dem Internet verbinden. Bisher war die Analyse dieser Daten schwierig und komplex, berichtete Lemmer. Inzwischen sammelt das Splunk-System aller relevanten Daten und stellt sie in einem Dashboard dar. Treten Probleme auf, könne das IT-Team nun fast in Echtzeit auf Fehlersuche gehen. Die Auswertung der Proxy-Logs erlaube darüber hinaus Aussagen zur Lastverteilung und helfe IT-Mitarbeitern, Ausreißer in der Nutzung des Systems zu erkennen.

Künftig will Lemmert Nutzungsparameter aus dem IT-Netzwerk auch mithilfe von Machine Learning auswerten. Auf mittlere Sicht sieht er noch andere Einsatzszenarien: "Wir wollen weg von der IT-Brille und Splunk auch in den Fachbereichen nutzen." Dazu gehörten beispielsweise das Marketing oder der Bereich Parken rund um dem Airport.

Studie Analytics Readiness













MediaMarktSaturn: SIEM macht die IT sicherer

Eine ähnliche Herangehensweise verfolgt die MediaMarktSaturn IT Solutions. Um einen Überblick über die gesamte IT-Infrastruktur zu erhalten, wurde eine SIEM-Lösung gesucht (Security Information and Event Management), berichtete Simon Trockel, Senior Security Consultant beim IT-Dienstleister des Handelsriesen. Im Zuge eines Data-Center-Vertrags mit dem Dienstleister Capgemini habe man das SIEM-System von Splunk in den IT-Betrieb integriert. Über ein Dashboard lasse sich nachvollziehen, was genau gerade im Unternehmensnetz passiert und ob es sicherheitsrelevante Vorfälle gebe. Ein anderes, maßgeschneidertes Dashboard nutzt der IT-Dienstleister als "Vulnerability Scanner". Es soll aufzeigen, an welchen Stellen die IT Angriffspunkte bietet.

"Die Splunk-Lösung bietet uns einen vollständigen Security-Überblick und ermöglicht zudem Rückblicke in die Vergangenheit", erläutert Trockel die Vorteile. Darüber hinaus erlaube sie "datenbasierte Entscheidungen." So könne man beispielsweise messen, wie intensiv ältere Systeme noch genutzt werden und sie gegebenenfalls außer Betrieb nehmen.

In Zukunft will Trockel die Nutzung der Splunk-Plattform international ausweiten und noch mehr Daten einbeziehen. Geprüft werde auch, in welchen anderen Unternehmensbereichen sich ein Einsatz lohnt. Dazu gehörten beispielsweise das Online-Monitoring der Stores und der gesamte E-Commerce-Bereich.

Die größten Hacks 2016
US-Demokraten
Im Rahmen eines großangelegten Datendiebstahls werden E-Mails aus dem Democratic National Commitee (DNC) veröffentlicht. Das sorgt nicht nur dafür, dass sich viele US-Amerikaner von der Demokratischen Partei – und ihrer Kandidatin Hillary Clinton – lossagen: Es beweist in den Augen vieler Menschen auch, dass Russland die US-Wahl zu Gunsten von Donald Trump beeinflusst.
Dyn
Eine massive DDoS-Attacke auf den DNS-Provider Dyn sorgt im Oktober für Wirbel: Mit Hilfe eines Botnetzes – bestehend aus tausenden unzureichend gesicherten IoT-Devices – gelingt es Cyberkriminellen, gleich drei Data Center von Dyn lahmzulegen. Amazon, GitHub, Twitter, die New York Times und einige weitere, große Websites sind über Stunden nicht erreichbar.
Panama Papers
Schon aufgrund der schieren Anzahl an gestohlenen Datensätzen, ist der Cyberangriff auf den panamischen Rechtsdienstleister Mossack Fonseca einer der größten Hacks des Jahres: 2,6 Terabyte an brisanten Daten werden dem Unternehmen gestohlen. Mit weitreichenden Folgen, denn die Dokumente decken auf, mit welchen Methoden mehr als 70 Politiker und Vorstände aus aller Welt Steuern mit Hilfe von Offshore-Firmen "sparen".
Yahoo
Erst im September musste Yahoo den größten Hack aller Zeiten eingestehen. Nun verdichten sich die Anzeichen, dass dieselben Hacker sich bereits ein Jahr zuvor deutlich übertroffen hatten: Bei einem Cyberangriff im August 2013 wurden demnach die Konten von knapp einer Milliarde Yahoo-Usern kompromittiert. Dabei wurden Namen, E-Mail-Adressen, Telefonnummern, Geburtsdaten und verschlüsselte Passwörter abgegriffen.
NSA
Eine Hackergruppe namens "Shadow Brokers" sorgt im Oktober für Aufsehen, indem sie versucht, Hacking-Tools auf der Blog-Plattform tumblr zu versteigern. Das Besondere daran: Das Toolset wollen die Cyberkriminellen zuvor von der berüchtigten Hackergruppe "Equation Group" gestohlen haben. Und es wird noch besser: Während die "Equation Group" immer wieder mit der National Security Agency in Verbindung gebracht wird, besteht der Verdacht, die "Shadow Brokers" hätten ihrerseits Connections nach Russland.
Bitfinex
Die Bitcoin-Trading-Plattform Bitfinex wird Anfang August 2016 um knapp 120.000 Bitcoins (ca. 89,1 Millionen Euro) erleichtert. Der Hackerangriff hebelt die mehrfach abgesicherte Authentifizierungs-Architektur des Unternehmens, die bis dahin als sicher gilt, schlicht aus. Zwar ist dieser Bitcoin-Hack "nur" der drittgrößte in der IT-Geschichte, allerdings stellt Bitfinex eine der größten Trading-Plattformen in diesem Segment dar. Das Unternehmen verteilt den Verlust übrigens "gleichmäßig" auf seine Kunden: 36 Prozent jedes einzelnen Kontos sind futsch.
Healthcare-Ransomware
Zugegeben: In diesem Fall handelt es sich nicht um einen großen Hack, sondern viele. Sehr viele. Insbesondere die Healthcare-Branche wird 2016 von immer populärer werdenden Ransomware-Kampagnen erschüttert, die sämtliche Dateien auf einem Rechner verschlüsseln und nur gegen die Zahlung eines Lösegelds wieder freigeben (oder auch nicht). Daraus lässt sich einerseits ablesen, wie lukrativ das Geschäft mit der Erpressungs-Malware ist, andererseits, wie weit kriminelle Hacker bereit sind zu gehen, wenn es um ihre monetären Interessen geht.