Managed SIEM – Security Information and Event Management

Was ist ein Managed SIEM?

Ein Managed SIEM (Security Information and Event Management) ist ein Service, der Unternehmen durch externe Sicherheitsanbieter Zugang zu einem vollständig verwalteten SIEM-System bietet. Es verarbeitet und analysiert sicherheitsrelevante Daten aus dem Netzwerk, um Bedrohungen zu erkennen und eine schnelle Reaktion auf Sicherheitsvorfälle zu ermöglichen. Das Ziel: Unternehmen bei der Abwehr komplexer Bedrohungen zu unterstützen und gleichzeitig die Herausforderungen der internen Verwaltung von SIEM-Infrastrukturen zu reduzieren. Durch die Auslagerung profitieren Unternehmen von spezialisierter Expertise, geringeren IT-Overheads und einem kontinuierlichen Bedrohungsmonitoring.

Wie funktioniert ein Managed SIEM?

Ein Managed SIEM sammelt und korreliert Protokolldaten aus verschiedenen Quellen (wie Firewalls, Servern und Anwendungen), um sicherheitsrelevante Ereignisse zu identifizieren. Dank automatisierter Regeln und maschinellem Lernen erkennt es Muster, die auf Bedrohungen hinweisen könnten, wie z. B. anormale Benutzeraktivitäten oder ungewöhnliche Netzwerkbewegungen. Beim Auftreten einer Auffälligkeit generiert das System Alarme, die dann von Sicherheitsexperten des Managed-SIEM-Anbieters untersucht und bewertet werden. Ziel ist es, Bedrohungen möglichst schnell zu identifizieren und Empfehlungen zur Reaktion zu geben, bevor diese großen Schaden anrichten können.

Welche Vorteile bietet ein Managed SIEM?

Ein Co-Managed SIEM bietet eine Vielzahl von Vorteilen:

  • 24/7-Überwachung: Durch den Betrieb rund um die Uhr werden Bedrohungen auch außerhalb der regulären Geschäftszeiten erkannt und bekämpft.
  • Skalierbarkeit: Managed SIEM-Dienste sind flexibel und skalieren mit dem Wachstum und den Anforderungen des Unternehmens.
  • Kostenersparnis: Im Vergleich zur internen Implementierung eines SIEM spart ein Managed SIEM Kosten für Hardware, Softwarelizenzen und die Einstellung sowie Weiterbildung von Fachkräften.
  • Schnelle Reaktion: Die spezialisierten Teams des Anbieters können auf erkannte Bedrohungen schneller reagieren.
  • Aktualität der Bedrohungsinformationen: Anbieter von Managed SIEM sind auf aktuelle Bedrohungen und Trends spezialisiert, was den Zugang zu den neuesten Bedrohungsdaten und Technologien sicherstellt.

Was kostet ein Managed SIEM?

Die Kosten für ein Managed SIEM hängen von mehreren Faktoren ab, darunter die Unternehmensgröße, die benötigte Überwachungstiefe und der Umfang der eingesetzten Sicherheitsprotokolle. Preisstrukturen reichen von monatlichen Pauschalen über nutzungsabhängige Abrechnungsmodelle bis hin zu variablen Kosten für zusätzliche Dienste wie Incident-Response-Unterstützung. In der Regel fallen Implementierungskosten, eine monatliche Grundgebühr sowie zusätzliche Gebühren für spezialisierte Dienste an. Es ist ratsam, die verschiedenen Anbieter hinsichtlich ihrer Preisgestaltung und den enthaltenen Leistungen genau zu vergleichen.

Wie unterscheidet sich Managed SIEM von traditionellem SIEM?

Ein traditionelles SIEM-System wird vollständig intern verwaltet und erfordert eigene Infrastruktur, Lizenzen sowie Personal für die kontinuierliche Überwachung und Wartung. Bei einem Managed SIEM hingegen übernimmt ein externer Anbieter die Bereitstellung und Verwaltung, einschließlich der Analyse und Alarmierung. Dadurch entfallen für das Unternehmen die Wartungskosten und der Personalbedarf, und es profitiert von der Expertise spezialisierter Sicherheitsteams. Managed SIEM ist ideal für Unternehmen, die weder die Zeit noch die Ressourcen für die Verwaltung eines eigenen SIEM-Systems haben, aber dennoch ein hohes Sicherheitsniveau anstreben.

Welche Unternehmen sollten ein Managed SIEM nutzen?

Unternehmen jeder Größe und Branche, die keine interne SIEM-Infrastruktur betreiben möchten oder können, profitieren von Managed SIEM. Besonders geeignet ist der Service für Unternehmen mit beschränkten IT-Ressourcen, die dennoch eine hohe Sicherheit gewährleisten müssen – etwa im Gesundheitswesen, im Finanzsektor oder im E-Commerce. Managed SIEM ist auch eine gute Wahl für Unternehmen, die den Aufbau eines eigenen SOC (Security Operations Center) vermeiden möchten, aber dennoch eine umfassende Sicherheitsüberwachung anstreben.

Wie sicher ist ein Managed SIEM?

Ein Managed SIEM gewährleistet hohe Sicherheitsstandards, da Anbieter üblicherweise zertifizierte Rechenzentren und Verschlüsselungstechnologien einsetzen, um die Vertraulichkeit und Integrität der Daten zu gewährleisten. Viele Anbieter sind nach ISO 27001 oder SOC 2 zertifiziert, was die Einhaltung internationaler Sicherheitsstandards bestätigt. Da alle Aktivitäten kontinuierlich überwacht werden, ist das Risiko eines Missbrauchs gering. Dennoch sollten Unternehmen vor der Entscheidung sicherstellen, dass der Anbieter geeignete Sicherheitsrichtlinien und Compliance-Vorgaben erfüllt, um die eigenen Datenschutzanforderungen zu gewährleisten.

Wie läuft die Implementierung eines Managed SIEM ab?

Die Implementierung eines Managed SIEM erfolgt meist in mehreren Schritten:

  1. Anforderungsanalyse: Erfassung der Sicherheitsanforderungen des Unternehmens.
  2. Systemintegration: Installation und Konfiguration der notwendigen Agenten und Schnittstellen zur Datenübermittlung.
  3. Regel- und Alarmeinrichtung: Anpassen der Überwachungsregeln, um falsche Alarme zu minimieren und die Erkennungsgenauigkeit zu optimieren.
  4. Schulung und Übergabe: Schulung der Mitarbeiter im Umgang mit dem System und Erklärung der Alarmierungsprozesse.
  5. Kontinuierliche Optimierung: Nach der Implementierung analysieren die Sicherheitsexperten des Managed-SIEM-Anbieters regelmäßig die Alarme und passen die Konfiguration an neue Bedrohungen an.

Welche Anbieter für Managed SIEM gibt es?

Zu den führenden Anbietern von Managed SIEM gehören IBM (QRadar on Cloud), Splunk, LogRhythm, AT&T Cybersecurity (AlienVault), und andere spezialisierte Managed Security Service Provider (MSSPs). Jeder Anbieter bietet unterschiedliche Funktionen, Preisstrukturen und Servicelevel an, und die Wahl hängt von den spezifischen Anforderungen und dem Budget des Unternehmens ab. Viele Anbieter bieten auch zusätzliche Sicherheitsdienste wie Incident Response oder Threat Intelligence an, die im Rahmen eines umfassenden Sicherheitsprogramms sinnvoll sind.

Managed SIEM oder MDR – was ist besser?

Managed Detection and Response (MDR) und Managed SIEM haben ähnliche Ziele, unterscheiden sich jedoch in der Herangehensweise. Während Managed SIEM sich auf das Sammeln und Korrelieren von Sicherheitsdaten zur Bedrohungserkennung fokussiert, gehen MDR-Anbieter einen Schritt weiter und übernehmen auch die direkte Reaktion auf Bedrohungen. MDR ist oft reaktionsorientierter und eignet sich für Unternehmen, die eine proaktive Verteidigung gegen Bedrohungen und eine sofortige Reaktion auf Sicherheitsvorfälle benötigen. Managed SIEM ist hingegen ideal, wenn das Unternehmen bereits über interne Sicherheitsprozesse verfügt und lediglich eine bessere Transparenz und Überwachung sucht.

Beide Ansätze lassen sich auch kombinieren, um eine umfassende Sicherheitsstrategie zu schaffen, die sowohl Überwachungs- als auch Reaktionsfähigkeiten abdeckt.

Cookie Consent mit Real Cookie Banner