Mit <kes>+ lesen

Versprochen ist versprochen?

SIEM, SOC & Co. gehören zu den angesagten – und durchaus wichtigen – Schlagwörtern der IT-Security und Informations-Sicherheit. Doch benötigt wirklich jede Organisation alle diese großen und komplexen „Lösungen“? Und lässt sich, was man nicht selbst betreiben kann, wirklich so leicht outsourcen, wie viele Dienstleister versprechen? Unser Autor sieht das kritisch.

Lesezeit 7 Min.

Managed SIEM, SOC & Co. – halten die Versprechungen von MSS-Anbietern?

Der Technologie-Stack, der sich in den letzten Jahren und Jahrzehnten in der IT aufgebaut hat, ist beeindruckend und beängstigend zugleich. Dass dabei gerade der Bereich IT-Security immer mehr zu einem eigenständigen Feld geworden ist, überrascht heute wohl niemanden mehr. Allerdings setzt sich die Erkenntnis immer weiter durch, dass Sicherheit mittlerweile ein so spezialisiertes Gebiet ist, dass es gerade für kleine und mittlere Unternehmen (KMUs) nicht mehr „nebenbei“ abzudecken ist und dass Hilfe von außen bisweilen als der einzige gangbare Weg erscheint. Das haben auch entsprechende Dienstleistungsunternehmen verstanden und buhlen mit allerhand Versprechen um neue Kunden. Diese Versprechungen entpuppen sich jedoch bei näherer Betrachtung häufig als kaum haltbar.

Keine schnelle Lösung

Wenn ein Unternehmen, eine öffentliche Einrichtung oder eine Organisation einen Beitrag zur eigenen IT-Sicherheit leisten will, dann gibt es viele Produkte auf dem Markt, die dafür geeignet sind. In der Realität schöpfen jedoch die meisten Unternehmen – vor allem in kleinen Betrieben und dem Mittelstand – das Potenzial dieser Produkte nicht annähernd aus. Gründe dafür sind eine meist zu kurz gegriffene Planung sowie eine falsche Grundannahme hinsichtlich des Aufwands, um solche „Lösungen“ zu betreiben.

Beispiel SIEM: Ein Security-Information-and-Event-Management (SIEM) zu haben, ist grundsätzlich eine gute Idee, denn es führt Informationen zusammen, die für eine Bewertung des Status quo essenziell sind und die auch einen unschätzbaren Beitrag zur Sicherheit leisten können. Ein SIEM benötigt aber sowohl eine initiale Einarbeitungs- und Trainingsphase, während derer Sicherheitsverantwortliche lernen, auf welche Benachrichtigungen es wirklich ankommt, als auch einen kontinuierlichen zeitlichen Invest im laufenden Betrieb. Es ist also ein neuer Sicherheits- Prozess, der Monate oder Jahre andauert. Hierbei gibt es keine „One-Size-fits-all“-Lösung.

Bis ein SIEM so weit ist, dass es nur noch relevante Informationen mit akutem Handlungsbedarf ausgibt, dauert es eine ganze Weile. Während dieser Zeit wird es viele Fehlalarme geben, die wiederum eine gefährliche Nebenwirkung haben: Alert-Fatigue – die Alarmmüdigkeit. Jedes Netzwerk ist einmalig und hat charakteristische Eigenschaften, die beim Filtern und Bewerten von Informationen berücksichtigt werden wollen. Das braucht nicht nur Zeit, sondern auch entsprechende personelle Ressourcen: Idealerweise sind mindestens zwei Fachkräfte mit dem „Anlernen“ und der späteren Betreuung eines SIEM betraut – ganz unabhängig davon, ob man es intern oder extern verwaltet. Die damit verbundenen Personalkosten werden jedoch in der Kalkulation für ein SIEM häufig nicht berücksichtigt. Solche Fehlkalkulationen können ein eigenes SIEM für viele kleine und mittelständische Unternehmen schnell zu einem Kostengrab machen – und liefern damit ein vollkommen ungeeignetes Ergebnis.

Bei all dem ist wohlbemerkt noch nicht einmal davon die Rede, potenzielle Angriffe zu erkennen und zu bewerten. Die wenigsten Angestellten in IT-Abteilungen oder auch bei Systemhäusern und anderen Dienstleistern wissen, wie eine Attacke in der Realität aussieht. Sie kennen zwar das „Finale“ eines Angriffs, wie etwa die Verschlüsselung eines Systems oder gar des gesamten Netzwerks – die Schritte, die davor stattfinden, sind aber selbst erfahrenen Administratorenteams meist unbekannt. Qualifizierte Fachleute in diesem Bereich sind dünn gesät, und die wenigen, die es gibt, sind sich ihres Marktwerts durchaus bewusst – sprich: Sie sind teuer.

So bleibt am Ende eine ernüchternde Gewissheit: Ein SIEM ist kein Produkt, das einmal installiert wird und dann im weiteren Verlauf alles vollautomatisch erledigt. Dieser Fehlannahme sitzen Unternehmen jedoch noch immer in großer Zahl auf und der Markt befeuert diese falsche Einschätzung auch noch durch wohlklingende Schlagworte wie „Artificial Intelligence“ oder „Machine-Learning“, die eine weitreichende Automatisierung suggerieren. Eine vergleichbare Situation zeigt sich bei weiteren komplexen Sicherheitsmechanismen – etwa bei der Einrichtung oder dem gemanagten Betrieb eines Security-Operations-Centers (SOCs).

 

Externe Hilfe

Nicht wenige Unternehmen möchten die Einrichtung und Betreuung ihres SIEM aus verschiedenen Gründen in die Hände eines Dienstleisters legen – daran ist zunächst nichts auszusetzen. Bei der Wahl des Dienstleisters wird es allerdings spannend: Zunächst spielt natürlich der Preis eine Rolle. Zugleich sind viele Anbieter aber auch bestrebt, eigene Komplettlösungen zu verkaufen. Und da die Dienstleistungsbranche hart umkämpft ist, schreiben sich viele Anbieter, etwa Systemhäuser, auf die Fahne, dass sie den Bereich der Sicherheit ebenfalls mit abdecken können. Oft können sie das aber überhaupt nicht – aus den oben genannten Gründen: Security-Grundkenntnisse mögen zwar vorhanden sein, aber von einer echten Spezialisierung sind die meisten Dienstleistungsunternehmen weit entfernt.

Damit soll allerdings nicht der Eindruck erweckt werden, dass grundsätzlich allen Dienstleistern qualifiziertes Personal und Erfahrung fehlen – das wäre ein Fehlschluss. Solche hoch qualifizierten Anbieter im Security-Bereich gibt es durchaus und dort sind auch hochkarätige Fachleute verfügbar. Ein Blick in die Empfehlungsliste des Bundesamts für Sicherheit in der Informationstechnik (BSI) ist der Beweis dafür. Doch selbst hier ist längst nicht jeder der gelisteten Anbieter speziell für ein kleineres Unternehmen auch die richtige Wahl.

Betrieb ungleich Bewertung

In der realen Welt übernimmt die Betreuung der IT bei KMUs ohnehin meist ein ortsansässiger Dienstleister, beispielsweise ein Systemhaus. Dieses wiederum betreibt dann oft ein „eigenes“ SIEM, an das die Kundennetzwerke angebunden sind: Dort laufen die Informationen zusammen und werden an den jeweiligen Kunden weitergegeben. Die Auswertung und Interpretation dieser Daten obliegen aber häufig wieder dem Kunden selbst!

Und wenn auf Kundenseite das Verständnis oder die Kompetenz zur Bewertung einer Information fehlt, dann kann auch keine (adäquate) Reaktion darauf erfolgen: Berichte werden womöglich sogar einfach ad acta gelegt – und wenn einmal ein Zwischenfall eintritt, dann wird schnell klar, dass hier Potenzial verschenkt wurde und dass das Unternehmen Geld für eine Dienstleistung bezahlt hat, die es im Endeffekt nicht wirklich sinnvoll nutzt und die man so in gleicher Weise auch selbst hätte umsetzen können. Sprich: Der Nutzen ist gleichermaßen beschränkt wie beim unerwünschten internen Betrieb, nur zahlt man langfristig mehr dafür.

Auch die Kommunikation zwischen Dienstleister und Auftraggeber kann den Unterschied zwischen einem verhinderten Zwischenfall und tagelangem Produktionsausfall bedeuten – hier spielt auch die Alarmmüdigkeit wieder eine Rolle. Ohne den Kontext des jeweiligen Kundennetzwerks zu kennen, ist es fast unmöglich, zu bewerten, ob eine im SIEM aufgetauchte Meldung auch ein echtes Problem bedeutet. Auf Kundenseite ist das jedoch auch nicht immer klar. Wenn der Dienstleister also die Information nicht in einen Kontext einordnet oder nicht einordnen kann, dann steht eine Information aus dem SIEM im luftleeren Raum da und niemand weiß etwas mit ihr anzufangen.

Und selbst wenn der Kontext vorliegt und auch Handlungsempfehlungen ausgesprochen werden, müssen diese letztlich für den Kunden verständlich und umsetzbar sein. Wenn ein Systemhaus oder ein sonstiger Anbieter nur seiner Chronistenpflicht genüge leistet und Erkenntnisse und Empfehlungen weitergibt, die auf Kundenseite aber nichts bewirken, dann ist auch hier viel Potenzial verschenkt.

Das Gleiche gilt erneut für alle anderen Dienstleistungen und Produkte, die für die Sicherheit eine Rolle spielen. Egal ob eigenes SOC oder ein gemanagtes SOC – hier ist ebenso wichtig, dass kompetentes Personal die Systeme überwacht und dass diese Fachleute auch in einer für den Kunden verständlichen Art und Weise Informationen übermitteln. Und zwar dann, wenn zum einen konkreter Handlungsbedarf besteht – und zum anderen in einer verständlichen und einfach umsetzbaren Form. Ansonsten landet man wieder bei einem der zentralen Probleme: der Alarmmüdigkeit und in der Folge „Ablage P“ (wie Papierkorb) – da nützen dann auch die detailliertesten Wochen-, Monats- oder Quartalsberichte nichts.

Fazit

Egal ob SIEM, SOC oder die gemanagten Pendants dazu: Sie alle haben eine Daseinsberechtigung – wenn auch nicht für jedes einzelne Unternehmen. Und sie alle haben dieselbe Schwäche: Ohne qualifiziertes Personal, klare Kommunikation und Vertrauen ist der Mehrwert dieser „Lösungen“ oder „Produkte“ extrem fraglich.

Der beste Rat, den es hier geben kann, ist, genau zu hinterfragen: Wie sieht etwa ein Report aus, den ein Dienstleister an das Unternehmen verschickt? Geht daraus hervor, ob das Gemeldete relevant ist? Gibt es konkrete und verständliche Handlungsempfehlungen? Letztlich kommt es vor allem darauf an, den richtigen Anbieter mit der entsprechenden Expertise zu wählen. Neuanschaffungen müssen dabei nicht einmal zwingend im Fokus stehen: Denn die IT-Sicherheit lässt sich auch mit bereits vorhandenen Mechanismen signifikant erhöhen, wenn man die zur Verfügung stehenden Mittel gezielt investiert.

SIEM, SOC & Co. brauchen Expertise und individuelle Lösungen. Ein wirklich gutes Dienstleistungsunternehmen berücksichtigt das und erarbeitet mit dem Kunden gemeinsam eine für das Unternehmen maßgeschneiderte Lösung. Das klassische SIEM beispielsweise ist daher erfahrungsgemäß für kleine und die meisten mittelständischen Unternehmen ungeeignet. Hier braucht es nicht „mehr Produkte“, sondern eine für das Unternehmen anwendbare und wirtschaftlich adäquate Lösung sowie einen zuverlässigen und erfahrenen Partner für die Umsetzung, der „dieselbe Sprache“ spricht wie sein Kunde.

Christian Landström ist Head of Managed Security Services bei der G DATA Advanced Analytics GmbH.

Diesen Beitrag teilen: