Angriffe erkennen und SIEM-Systeme schützen
Vollständig kompromittierte Unternehmensnetzwerke sind in aktuellen Sicherheitsvorfällen keine Ausnahmefälle mehr. Angriffe werden zu spät oder gar nicht erkannt. SIEM-Systeme (Security Information & Event Management) werden eingesetzt, um die notwendige Sichtbarkeit herzustellen, Angriffe frühzeitig zu erkennen und die Herkunft und Ausbreitung von Kompromittierungen schnell zu identifizieren. Als zentrales Element zur Identifizierung von Sicherheitsvorfällen hängt der Mehrwert eines SIEMs stark von der Qualität und dem Umfang der angebundenen Log-Quellen ab und stellt hohe Anforderungen an die Absicherung des SIEM-Systems selbst, um auch bei Sicherheitsvorfällen im Netzwerk die Sichtbarkeit zu erhalten. Sicherheitssysteme selbst können Ziel von Angreifern werden (vgl. SC Media: Ragnar Locker reminds breach victims it can read the on-network incident response chat rooms).
Wesentliche Architektur- und Betriebsaspekte
Unabhängig von Produktauswahl und Branche sind folgende Aspekte zu beachten:
- Datenqualität: Wie werden korrekte Log-Daten im richtigen Format in den notwendigen Zeiträumen gesammelt?
- Skalierbarkeit: Wie werden steigende Datenmengen und Rechenkapazität gehandhabt?
- Standort: Wo ist das SIEM physisch im Gesamtsystem positioniert?
- Trennung: Wie wird sichergestellt, dass Angreifer keine Sicherheitssysteme kompromittieren können? Welche logische Trennung zum Gesamtsystem existiert?
- Betriebsmodell: Wer betreibt das SIEM? Wie wird es betrieben?
- Kosten: Welche Kosten fallen an (Hardware, SaaS, Lizenzen)? Was ist der primäre Kostentreiber?
- Datensouveränität: Wo werden die Daten gespeichert?
- Sicherheitsanalyse: Wer prüft SIEM-Alerts? Wer erstellt und pflegt Alert-Regeln?
Unternehmen wählen zwischen drei Bereitstellungsmodellen: On-Premise, Cloud oder externer Partnerbetrieb.
Drei SIEM-Bereitstellungsmodelle im Vergleich
On-Premises
Datenqualität
Hängt stark von vorhandener interner Expertise ab. Interne IT versteht, welche Log-Daten auf welchen Systemen existieren. Security-Expertise für die Log-Quellen-Auswahl erforderlich.
Skalierbarkeit
Abhängig von lokaler Rechenkapazität. Systemerweiterung erfordert typischerweise manuelle Eingriffe. Ressourcenintensive Prozesse.
Standort
Physisch im lokalen Rechenzentrum/Serverraum. Übernimmt physische Schutzmaßnahmen (Zugangskontrolle, unterbrechungsfreie Stromversorgung, Brandschutz).
Trennung
Nur logische Trennung (Netzwerksegmentierung). Kompromittierung von Management-Systemen oder Netzwerkgeräten gefährdet das SIEM.
Betriebsmodell
Hardware und Software werden von interner IT betrieben. Tiefes Fachwissen in der gewählten SIEM-Software erforderlich. Ausreichende Personalressourcen für zuverlässigen Betrieb notwendig.
Kosten
- Hardware-Kosten (Anschaffung, Service, Ersatz)
- Lizenzkosten (können durch Open-Source-Lösungen entfallen)
- Personalkosten (Installation, Betrieb, Wartung, Updates, Optimierung, Troubleshooting)
- Schulungskosten für Wissensaufbau und -erhalt
Datensouveränität
Daten verbleiben jederzeit im Unternehmensnetzwerk.
Sicherheitsanalyse
Erfordert hochqualifiziertes und erfahrenes Personal. Regelmäßige Mitarbeiterschulungen notwendig, um mit der Bedrohungsentwicklung Schritt zu halten.
Cloud
Datenqualität
Hängt stark von vorhandener interner Expertise ab. Interne IT versteht, welche Log-Daten auf welchen Systemen existieren. Security-Expertise für die Log-Quellen-Auswahl erforderlich.
Skalierbarkeit
Infrastrukturskalierbarkeit einfach mit Hyperscaler-Technologien erreichbar (AWS, Azure, GCP). Effektive Nutzung erfordert Betriebsteam mit Erfahrung in SIEM-Software und Cloud-Technologieintegration.
Standort
SIEM in gewählter Cloud-Provider-Zone positioniert (z.B. AWS eu-central-1) über ein oder mehrere Rechenzentren. Genaues Rechenzentrum oder Hardware-Standort nicht präzise bestimmbar.
Trennung
Logische und physische Trennung vom Unternehmensnetzwerk vorhanden. Unabhängige Systeme mit separaten Verantwortungsbereichen. Kompromittierungsrisiko deutlich reduziert, wenn Unternehmensnetzwerk kompromittiert wird.
Betriebsmodell
Hardware-Betrieb durch Cloud-Provider. Infrastruktur-Konfigurationsverantwortung bei interner IT (Shared-Responsibility-Modell). SIEM-Betrieb durch interne IT. Ausreichende Personalressourcen für zuverlässigen Betrieb notwendig.
Kosten
- Cloud-Kosten (Infrastruktur, Storage, Datentransaktionskosten etc.)
- Lizenzkosten (können durch Open-Source-Lösungen entfallen)
- Personalkosten (Installation, Betrieb, Wartung, Updates, Optimierung, Troubleshooting)
- Schulungskosten für Wissensaufbau und -erhalt
Datensouveränität
Daten in gewählter Cloud-Provider-Zone/-Region. Genaues Datenlokation typischerweise nicht bestimmbar. Amerikanische Provider (AWS, Azure, GCP) unterliegen amerikanischem Recht (Patriot Act).
Sicherheitsanalyse
Erfordert hochqualifiziertes und erfahrenes Personal. Regelmäßige Mitarbeiterschulungen notwendig, um mit der Bedrohungsentwicklung Schritt zu halten.
Externer Partner
Datenqualität
Umfassende Koordination/Kommunikation zwischen externem Partner und Organisation notwendig. Synergieeffekt, wenn Organisation ihre Systeme gut kennt und Partner starke Security-Expertise einbringt. Ergebnisse hängen stark von externer Partner-Kompetenz ab.
Skalierbarkeit
Skalierbarkeit im Service-Design verankert. Externer Partner trägt Verantwortung für Ressourcenbereitstellung.
Standort
Physisch in der Infrastruktur des externen Partners (z.B. AWS Cloud, Partner-Rechenzentrum).
Trennung
Logische und physische Trennung vom Unternehmensnetzwerk vorhanden. Unabhängige Systeme mit separaten Verantwortungsbereichen. Kompromittierungsrisiko deutlich reduziert, wenn Unternehmensnetzwerk kompromittiert wird.
Betriebsmodell
Hardware- und Software-Betrieb Verantwortung des externen Partners. Log-Daten-Bereitstellung verbleibt organisatorische Verantwortung. Minimaler interner Wissensaufbau erforderlich.
Kosten
- Service-Gebühren variieren stark und sind schwer vergleichbar
- Service-Gebühren typischerweise workload-basiert, aber oft unvorhersehbar (z.B. Workload-Pricing)
- Initiale Setup-Gebühren manchmal nicht vorhanden oder nur über separate Beauftragung mit Zusatzkosten verfügbar
- Interne Personalkosten für Kommunikation und Steuerung des externen Partners
Datensouveränität
Datensouveränität hängt stark von Infrastruktur des externen Partners ab. Nutzung von AWS als Basis bedeutet keine echte organisatorische Datensouveränität.
Sicherheitsanalyse
Sicherheitsanalyse durch externen Partner bereitgestellt. Spezialisierte Partner verfügen über gut ausgebildetes und erfahrenes Personal. Externer Partner kann Erkenntnisse/Vorfälle aus anderen Kundeneinsätzen nutzen (Threat Intelligence).
iSecNG als externer Partner
iSecNG als externer Partner kombiniert die Vorteile aller anderen Lösungen.
Datenqualität
SIEM-Spezialisten arbeiten mit Ihrer IT zusammen, um korrekte Log-Quellen auszuwählen und Log-Daten in richtiger Qualität schnell an das SIEM anzubinden – und kombinieren so Ihre Spezialisten-Expertise mit iSecNG-Security-Know-how.
Skalierbarkeit
Das iSecNG Managed SIEM nutzt Open-Source-Metal-Stack-Technologie, die automatisches Hardware-Scaling ermöglicht. Die Infrastruktur ist flexibel cloud-ähnlich, ohne tatsächlich cloud-basiert zu sein. Das iSecNG Platform Team (SIEM Team Six) nutzt cloud-native Prozesse wie CI/CD und GitOps, um ein reibungsloses Scaling der SIEM-Komponenten sicherzustellen – von hunderten Megabytes bis zu mehreren Terabytes täglich.
Standort
Dedizierte Hardware in Münchner Rechenzentrum gewährleistet Datentrennung von Ihrer IT. Dies garantiert Datenschutz bei Vorfällen und erfüllt automatisch Standard-Sicherheits- und Verfügbarkeitsanforderungen für Rechenzentren – ohne Abhängigkeit von traditionellen Hyperscalern.
Trennung
Das iSecNG Managed SIEM läuft auf Hardware, die ausschließlich von iSecNG genutzt wird. Jeder Kunde erhält seine eigene SIEM-Instanz (kein Multi-Tenant). Datenvermischung mit anderen Kunden ist vollständig ausgeschlossen. Die zentrale SIEM-Komponentenpositionierung bei iSecNG gewährleistet Trennung von Ihrer IT – Log-Sammlungskommunikation ist möglich, nachträgliche Manipulation, Löschung oder Kompromittierung ist ausgeschlossen.
Betriebsmodell
Das iSecNG Platform Team nutzt moderne cloud-native Methoden zur Bereitstellung, Überwachung und zum Betrieb von SIEM-Systemen. Spezialisierte Experten gewährleisten hochverfügbare Systembereitstellung, sodass Ihre Security Analysten oder iSecNG’s SOC die organisatorische Sicherheit kontinuierlich überwachen können.
Kosten
Die Kosten des iSecNG Managed SIEM sind fair und für beide Seiten skalierbar. Die Preisgestaltung folgt dem bereitgestellten Hot-Storage, der Live-Datendurchsuchbarkeit ermöglicht. Als Faustregel: Ausreichend Hot-Storage für 30-Tage-Datenretention wählen. Cold-Storage retainiert Daten standardmäßig für 365 Tage und ermöglicht jederzeit Re-Indizierung von Archivdaten.
Datensouveränität
Log-Daten werden an iSecNG übertragen, aber ausschließlich in Deutschland gespeichert – und es wird nur mit deutschen Subunternehmern gearbeitet. „bye, bye, Patriot Act."
Sicherheitsanalyse
Log-Analyse erfordert hochqualifiziertes und erfahrenes Personal, das hohe Qualitätsstandards erfüllt und Sicherheitsvorfälle identifiziert und managt – das Kerngeschäft von iSecNG. Der iSecNG Managed SOC bietet auf Ihre Organisation zugeschnittenes Monitoring. Das kontinuierlich weiterentwickelte iSecNG-Standard-Regelwerk kann durch Managed Detection Rules an individuelle IT-Anforderungen angepasst werden.
Setzen Sie auf einen vertrauenswürdigen Partner, der Ihnen nicht nur ein SIEM-System bietet, sondern auch die Sicherheit, dass Ihre Daten und Systeme optimal geschützt sind. Unser Managed SIEM, Teil unseres Managed Detection and Response (MDR)-Services, bietet Ihnen eine ganzheitliche Sicherheitslösung, die Ihre Infrastruktur rund um die Uhr überwacht und Bedrohungen in Echtzeit identifiziert.
Kontaktieren Sie uns, um mehr über Managed SIEM zu erfahren und Ihre Sicherheitsstrategie zu stärken.
Kontaktanfrage
Terminanfrage