Compliance und Risiko
Das Ende der SIEM-Ära
Für die Umsetzung der Forderungen der NIS 2-Direktive denken viele Unternehmen über neue Lösungen nach. Security information und Event Management-Systeme erweisen sich als überholt, denn Konsolidierung wenige Sicherheitshersteller mit XDR ist gefragt.
Die Europäische Gesetzgebung verabschiedet derzeit die länderspezifischen Regelungen zur NIS 2 Direktive. Diese muss bis Oktober dieses Jahres in lokale Gesetze umgewandelt werden. Sie verlangt von den betroffenen Unternehmen Maßnahmen, vor allem im Bereich der Angriffserkennung und des Cybersecurity-Risikomanagements (Mehr dazu finden Interessierte hier). Der Reflex vieler Fachhandelspartner und einiger Kunden ist es, die Einführung eines Security information und Event Management (SIEM)-Systems vorzuschlagen bzw. auszuloten. Zumindest in der Theorie ist ein solches in der Lage, die geforderten Maßnahmen zu erfüllen. Goldene Zeiten für die Hersteller derartiger Lösungen könnte man meinen. Doch das Gegenteil ist der Fall.
Die Anbieterlandschaft ist in Bewegung und einige bisherige Branchengrößen wurden in jüngerer Zeit aufgekauft. Die Käufer sind oft nicht einmal mehr an der Technologie interessiert, wie Branchenanalyst Forrester mutmaßt, sondern möchten vor allem ihre Kundenbasis erweitern. Aber warum ist das so?
SIEM – ein Konzept aus der Vergangenheit
Tatsache ist, dass die Vorteile eines SIEM auf dem etwas angestaubten Konzept der „Best of Breed“-Security basiert. Ein solches System übernimmt dann die Rolle eines Übersetzers, wenn verschiedene Punktlösungen über ihre Beobachtungen sprechen. Aus der Datenflut sollen somit sinnvolle Erkenntnisse exfiltriert werden. Das klappt auch, wenn man weiß, was man tut. Aber selbst dann ist es teuer, denn ein SIEM wird nach Datenmenge bezahlt und ist für die Aufgabe der Security eine zusätzliche Lösung, die von anderen erzeugte Informationen ausliest und interpretiert. Setzt ein Unternehmen bis zu 50 verschiedene Hersteller ein, kommt es auf den einen mehr dann auch nicht mehr an.
Nur, in den letzten Jahren herrscht bei allen Unternehmensgrößen die Tendenz, die Anzahl der eingesetzten Hersteller von Sicherheitsprodukten drastisch zu reduzieren. Das Stichwort heißt Konsolidierung. Die Vorteile für Unternehmen: weniger Hersteller heißt weniger Verwaltungsaufwand, weniger Trainingskosten, mehr Synergien bei oft überlappenden Angeboten. Aber auch Serviceleistungen wie Support, Unterstützung im Management oder bei Notfallmaßnahmen wie Incident Response sind meist einfacher zu erwerben und effizienter. Damit werden die Reaktionszeiten im Ernstfall kürzer und das Verwalten von IT-Sicherheit günstiger, ohne Abstriche in der Qualität machen zu müssen. SIEM-Lösungen werden dadurch zunehmend auf Kunden reduziert, die keine oder nur wenig Konsolidierung durchführen. Forrester nennt das „Legacy“.
Innovationen?
Weiterentwicklung ist ein Kernthema der IT Security. Der Wirkungsgrad eines SIEMs ist aber größtenteils davon abhängig, mit welchen Informationen es gefüttert wird. Diese stammen von Sicherheitsprodukten, und dort findet die eigentliche Innovation statt. Aber auch für die Hersteller von Sicherheitslösungen geht es darum, ihre Kunden so gut wie möglich zu schützen. Je mehr ein Kunde von einem Anbieter einsetzt, desto wichtiger wird auch der Ansatz, den Kunden umfassend vor Schaden zu bewahren. Alle Innovationen dienen genau diesem Konzept.
Hersteller wie Trend Micro entwickelten deshalb XDR – umfassendes (eXtended) Detection & Response. Es ähnelt im Grundsatz der Idee eines SIEMs, nur dass herstellereigene Daten natürlich deutlich effizienter konsolidiert und auch Gegenmaßnahmen automatisiert werden können. Man spricht zunehmend von SOAR-Lösungen (Security Orchestration Automation and Response). In diesen Bereichen finden die eigentlichen Innovationen statt und das nicht nur bei den Herstellern der Technologien. Auch Fachhandelspartner bieten zunehmend Dienstleistungen rund um XDR-Lösungen an, denn eine feste Partnerschaft mit XDR-Anbietern senkt auch ihre Kosten und erzeugt Synergieeffekte. So bietet Trend Micro unter anderem so genannte „Co-Managed“ XDR-Angebote. Der Partner ist nach wie vor der Auftragnehmer seines Kunden, aber der Hersteller ergänzt das Angebot, z.B. um die Möglichkeit einen Managed Service auf 24*7 auszubauen.
NIS 2
Zurück zum Anfang. Nein, NIS 2 schreibt nicht den Einsatz eines SIEM vor. Das wäre für die meisten mittelständischen Unternehmen schlicht zu teuer oder, um beim Gesetzestext zu bleiben, unverhältnismäßig. Die beschriebenen Maßnahmen können genauso gut mit einem XDR-Konzept abgebildet werden. Dieses hat den Vorteil, dass es die benötigten Technologien bereits beinhaltet, keinen zusätzlichen Aufwand für die Einrichtung und Anpassung eines weiteren Werkzeugs erfordert und dadurch deutlich günstiger in Einführung und Unterhalt ist als ein SIEM-gestütztes Verteidigungssystem.
SIEMs werden für Unternehmen mit viel Security-Budget immer eine Alternative sein und XDR-Hersteller werden die Unterstützung solcher Lösungen nicht einstellen. Aber, durch die Verkleinerung des Marktes wird auch der Pool der Anbieter immer dünner, so dass reine SIEMs zunehmend Nischenfunktionen übernehmen.