Eine Änderung ihrer Sichtweise auf SIEM kann entscheidend sein. Illustration Absmeier foto freepik

Im Interview spricht Andy Grolnick, CEO vom SIEM-Sicherheitsanbieter Graylog, über den Mangel an Security-Spezialisten, welche Funktionen SIEM-Plattformen zwingend haben sollten und wie Unternehmen sich bis Ende des Jahres verbessern können.

Erzählen Sie uns etwas mehr über Graylog. Was unterscheidet das Unternehmen von anderen IT-Sicherheitsanbietern?

Wir beseitigen die traditionellen Kompromisse, die SIEM-Plattformen plagen; das ist es, was uns grundlegend unterscheidet. Unternehmen müssen sich nicht zwischen Transparenz und Kosten entscheiden oder Geschwindigkeit und Genauigkeit opfern. Dank unserer intelligenten Datenkontrolle können sie alles erfassen, was sie benötigen, und zahlen nur für aktive Daten, während der Rest in einem kostengünstigen Speicher verbleibt.

Daten zeigen, dass es nur genug Tech-Fachkräfte gibt, um 83 % der verfügbaren Sicherheitsjobs zu besetzen, und wir haben unsere Plattform für schlanke Teams entwickelt. Wir bieten kontextreiche Erkennungs- und automatisierte Untersuchungsworkflows, mit denen ein kleines SOC so effizient arbeiten kann wie ein viel Größeres.

Wie sieht das konkret bei den Produkten aus?

Unsere Produktpalette reicht von Graylog Open für Teams, die unsere Funktionen erkunden möchten, bis hin zu Enterprise, Security und API Security für umfassende Unternehmensanforderungen. Das Besondere daran ist, dass Unternehmen unabhängig davon, ob sie unsere Cloud, ihre Cloud oder eine lokale Lösung einsetzen, immer die gleiche Erfahrung machen – ohne Kompromisse bei den Funktionen aufgrund des Bereitstellungsmodells. Die Plattform umfasst alles von intelligentem Daten-Routing und Echtzeit-Bedrohungserkennung bis hin zu automatisierten Untersuchungsworkflows und Compliance-Dashboards, die alle nahtlos zusammenarbeiten, sodass Unternehmen keine zusätzlichen Tools benötigen.

Wie bewerten Sie die ersten sechs Monate des Jahres 2025 und was können wir in der zweiten Jahreshälfte erwarten?

Bislang hat uns das Jahr 2025 gezeigt, dass Sicherheitsteams beginnen, die falsche Wahl zwischen Transparenz und überschaubaren Alarmvolumina abzulehnen. Wir beobachten, dass Unternehmen erkennen, dass ihre aktuellen Plattformen sie dazu zwingen, wertvolle Protokolle zu verwerfen, um ihr Budget einzuhalten, oder Analysten mit unzusammenhängenden Alarmen zu überfordern, die mehr Probleme verursachen als lösen.

Bis zum Ende des Jahres wird sich eine klare Trennung zwischen Anbietern abzeichnen, die weiterhin das alte Kompromissmodell vertreten, und solchen, die echte kontextbezogene Automatisierung anbieten, die die operative Komplexität reduziert. Sicherheitsteams verlangen nach Lösungen, die vollständige Transparenz bieten, ohne das Wachstum zu beeinträchtigen, und nach Plattformen, die Analysten dabei helfen, sich auf echte Bedrohungen zu konzentrieren, anstatt ein ständig wachsendes Toolkit zu verwalten.

Warum ist es so wichtig, SIEM ohne Kompromisse einzusetzen?

Weil herkömmliche SIEM-Kompromisse echte Sicherheitsrisiken und betriebliche Ineffizienzen mit sich bringen, die sich mit der Zeit verstärken. Wenn Unternehmen gezwungen sind, Protokolle zu löschen, um innerhalb des Budgets zu bleiben, verlieren sie wichtige Kontextinformationen für Untersuchungen und schaffen Compliance-Lücken. Wenn Erkennungsmodule das Team mit unzusammenhängenden Warnmeldungen überfluten, beginnen Analysten, Regeln zu deaktivieren, nur um damit fertig zu werden – wodurch echte Bedrohungen unentdeckt bleiben. Ein »SIEM ohne Kompromisse«-Ansatz bedeutet, dass die genutzte Plattform mit den Sicherheitsanforderungen mitwächst, anstatt diese einzuschränken, und Unternehmen vollständige Transparenz bietet, während sich die Sicherheitsteams auf echte Bedrohungen konzentrieren können, anstatt sich mit Systembeschränkungen auseinanderzusetzen.

Haben Sie Beispiele für uns? Was sind typische Anwendungsszenarien?

Ein häufiges Szenario sind Unternehmen, die unsere Standby-Datenlake-Vorschau-Funktion nutzen, mit der sie sehen, welche historischen Daten in ihrem Datenlake vorhanden sind, und selektiv nur die Daten abrufen, die sie für Untersuchungen benötigen, wodurch unnötiger Lizenzverbrauch vermieden wird. Mit dieser neuen Funktion können Teams nun direkt den Datenlake abfragen, gespeicherte Protokolle in der Vorschau anzeigen und selektiv Nachrichten für die vollständige Indizierung abrufen. Dies erhöht die Geschwindigkeit und Präzision von Untersuchungen, insbesondere in zeitkritischen Szenarien, in denen ein schneller Zugriff auf wichtige Informationen unerlässlich ist.

Dann gibt es noch die Engine zur Priorisierung von Bedrohungen, die Warnmeldungen nach Entitäten gruppiert und Risikobewertungen mit Asset-Daten und Schwachstelleninformationen ergänzt. Das bedeutet, dass sich Analysten auf tatsächlich bedrohte Systeme konzentrieren, anstatt sich mit der Menge der Warnmeldungen zu beschäftigen.

Außerdem profitieren Teams von unserem Ansatz der schnellen Wertschöpfung. Wenn neue Protokollquellen innerhalb von zwei Stunden durchsuchbar und in der ersten Woche produktionsbereit sind, entfallen kleine wissenschaftliche Projekte, die früher alles verlangsamt haben.

Welchen Rat würden Sie Unternehmen im Bereich SIEM und Datensicherheit geben?

Mein Rat wäre, über den Tellerrand des traditionellen SIEM hinauszuschauen. Suchen Sie nach Plattformen, die Ihnen grenzenlosen Datenzugriff bieten, sodass Sie Informationen an andere Tools streamen können, ohne dieselben Daten doppelt erfassen oder doppelt bezahlen zu müssen. Die derzeitige Konsolidierung der Branche hat einen guten Grund: Unternehmen sind es leid, Punktlösungen zusammenzuflicken, die zu Integrationsproblemen und steigenden Lizenzkosten führen.

Konzentrieren Sie sich also auf Lösungen mit transparenten Preismodellen, die Sie nicht für Ihr Wachstum bestrafen, und stellen Sie sicher, dass Ihre Plattform überall laufen kann. Am wichtigsten ist es, nach intuitiven Analystenerfahrungen zu suchen, die Klicks reduzieren und Workflows leiten, denn selbst die ausgefeilteste Erkennung wird nutzlos, wenn Ihr Team nicht effizient darauf reagieren kann.

Andy Grolnick, CEO, Graylog

Was können Unternehmen aus Sicht der Cybersicherheit besser machen?

Eine Änderung ihrer Sichtweise auf SIEM kann entscheidend sein. Wenn Unternehmen es nicht mehr als Kostenfaktor betrachten, sondern als strategischen Faktor, erhalten sie einen einheitlichen Überblick über Messaging- und Anwendungsschichten – Bereiche, in denen sich Angreifer leicht verstecken können.

Die eingesetzten Sicherheitsplattformen sollten reibungslose Arbeitsabläufe bieten, bei denen Daten nahtlos zwischen Systemen fließen und auditfähige Nachweise jederzeit zur Verfügung stehen, wenn Compliance-Teams anfragen. Das Ziel sollte eine bedarfsgerechte Bereitstellung sein, die sich an den tatsächlichen Anforderungen orientiert und nicht an den vom Anbieter auferlegten Einschränkungen. Ihre Sicherheitsplattform sollte Analysten dabei helfen, Bedrohungen immer zwei Schritte voraus zu sein, anstatt ihre Zeit mit der Verwaltung der Komplexität der Tools selbst zu verbringen.

400 Artikel zu „SIEM“

News | IT-Security | Ausgabe 1-2-2024 | Security Spezial 1-2-2024

Multi-SIEM – Für jeden das Richtige?

8. März 2024

Bei der Auswahl eines Security Information and Event Managements (SIEM) ist es ähnlich wie bei der Bestellung eines Eisbechers in der Gelateria. Die einen mögen es fruchtig, die anderen cremig, wieder andere vegan. Die persönlichen Vorlieben sind vielfältig. Aber fast alle haben eine Lieblingssorte, zu der sie im Zweifelsfall greifen.