Illustration Absmeier foto freepik ki

Vor nicht allzu langer Zeit konnten kleinere IT- und Sicherheitsteams noch behaupten, dass sie keine Ziele mit hoher Priorität seien. Das ist heute nicht mehr der Fall. Im Jahr 2025 haben es Angreifer auf alle abgesehen, unabhängig von ihrer Größe. Ganz gleich, ob CEOs ein globales Unternehmen oder einen 200-köpfigen Betrieb leiten, der regionale Infrastruktur unterstützt – sie sind denselben Bedrohungen und Erwartungen ausgesetzt.

Cyberresilienz ist nicht mehr optional. Sie ist die Grundvoraussetzung. Kleinere Teams verfügen jedoch nicht über das Budget, die Mitarbeiterzahl oder die Infrastruktur eines Unternehmens-SOC. Sie müssen dieselben Standards erfüllen, ohne über dieselben Ressourcen zu verfügen.

Warum Angreifern die Mitarbeiterzahl egal ist

Kritische Infrastrukturen sind ein bevorzugtes Ziel. Die durchschnittlichen Kosten für Datenverstöße liegen mittlerweile bei 4,8 Millionen US-Dollar. Das zeigt, wie viel auf dem Spiel steht. In Großbritannien zeigen Regierungsdaten, dass Ransomware in den Bereichen Transport, Logistik, Gesundheitswesen und Kommunalverwaltung rapide zunimmt.

»Angreifer nehmen bewusst kleinere Unternehmen ins Visier, weil diese sich nicht schnell von Ausfallzeiten erholen können. Die Zahlung von Lösegeld erscheint oft als einziger Ausweg. Und um sich wirksam zu wehren, fehlen ihnen häufig das Personal und die Tools,« erklärt Andy Grolnick vom SIEM-Security-Anbieter Graylog.

Gleichzeitig steigt der Druck zur Einhaltung von Vorschriften. Die DORA-Verordnung in der EU und die neuen Offenlegungsvorschriften der SEC in den USA gelten auch für kleinere Unternehmen. Von den Teams wird erwartet, dass sie Transparenz, Überprüfbarkeit und Aufbewahrung auf Unternehmensniveau bieten, ohne über die Budgets oder das Personal eines Großunternehmens zu verfügen.

Die Transparenzlücke, mit der kleinere Teams konfrontiert sind

Die meisten schlanken Sicherheitsteams wissen um die Bedeutung einer schnellen Erkennung und Reaktion. Aber mehr Tools bedeuten oft auch mehr Komplexität. Herkömmliche SIEMs zwingen Teams zu den folgenden Kompromissen: Sie können nur protokollieren, was das Budget zulässt. Sie müssen »wenig schwerwiegende« Warnmeldungen herausfiltern, um eine Überlastung der Analysten zu vermeiden. Und sie sind gezwungen, sich zwischen starrer Automatisierung oder fehlendem Kontext zu entscheiden.

Diese Lücken erhöhen das Risiko. Fehlende DNS-Protokolle, unentdeckter Diebstahl von Anmeldedaten oder fehlgeschlagene Korrelationen schaffen blinde Flecken. Was wie eine kleine Lücke aussieht, kann schnell zu einer vollständigen, größeren und damit schwerwiegenderen Sicherheitsverletzung werden. Der Unterschied zwischen der frühzeitigen Erkennung eines Vorfalls und dessen vollständigem Übersehen hängt in der Regel von der Transparenz ab.

Weniger Aufwand, mehr Leistung

»Die Lösung für kleinere Teams besteht nicht darin, noch mehr Tools einzusetzen. Es geht darum, intelligenter zu arbeiten. Das bedeutet, Komplexität zu reduzieren, den Aufwand zu verringern und auf Systeme zu setzen, die mit weniger Aufwand mehr leisten,« so Grolnick weiter.

Einige wichtige Funktionen, die den Unterschied ausmachen, sind:

Kostenbewusstes Log-Routing
Daten werden je nach Sensibilität und Aufbewahrungsanforderungen an die richtige Speicherebene weitergeleitet, ohne dass die Kosten in die Höhe schnellen.
Verhaltensbasierte Erkennungsregeln
Verfolgung des Verhaltens von Angreifern, nicht nur statischer IOCs.
Automatisierung von Routineaufgaben
Auslagerung sich wiederholender Arbeiten ohne starre Playbooks.
Skalierbare Analyse
Speichern und Analysieren in großem Maßstab, ohne dass ein spezielles Datenteam erforderlich ist.

Wie kleinere Teams größere Erwartungen erfüllen

Die Messlatte wird höher gelegt. Regulierungsbehörden verlangen schnellere Berichterstattung, Führungskräfte wünschen sich präzisere Antworten und Angreifer skalieren mit Automatisierung. Aber kleinere Teams sind nicht unterlegen – sie beweisen, dass sie mit den richtigen Tools über sich hinauswachsen können.

Andy Grolnick gibt folgende Empfehlungen, was kleinere Teams anders machen können:

Vereinheitlichung der Überwachung über Mobilgeräte, Cloud und lokale Systeme hinweg, selbst bei fragmentierter Infrastruktur.
Erstellung benutzerdefinierter Korrelationsregeln, um das Verhalten von Angreifern über Authentifizierungs- und API-Datenverkehr hinweg zu erfassen.
Neugestaltung von Alarmierungs- und Aufbewahrungsstrategien, um forensische Tiefe und Reaktionsgeschwindigkeit zu priorisieren.
Der gemeinsame Nenner ist nicht die Mitarbeiterzahl. Es geht darum, über die alten SIEM-Kompromisse hinauszugehen und innovativere Ansätze für die Erkennung und Reaktion zu verwenden.

Cyberresilienz ohne Kompromisse

Kleinere Unternehmen können sich keine anfälligen Arbeitsabläufe, Lücken in der Abdeckung oder Tools leisten, für deren Betrieb ein Vollzeit-Team erforderlich ist. Aber sie können es sich auch nicht leisten, zu warten. Resilienz muss von Anfang an integriert werden.

»Daten sollten zugänglich und verwertbar sein und nicht in Silos stecken bleiben oder hinter Kostenbarrieren verschlossen bleiben. Plattformen müssen die Reaktion vereinfachen und dürfen keine zusätzlichen Komplexitätsebenen hinzufügen. Im Jahr 2025 wird es nicht mehr darum gehen, ob Cyberresilienz für kleinere Teams wichtig ist. Es wird darum gehen, ob ihre Tools dies tatsächlich ohne Kompromisse leisten können,« so Grolnick abschließend.

Mehr Informationen: https://graylog.org/vap/

582 Artikel zu „Cyberresilienz“

News | Favoriten der Redaktion | IT-Security | Strategien | Tipps

Cyberresilienz als Schlüssel zur Zukunftssicherung: Schutz, Wiederherstellung und Anpassungsfähigkeit im digitalen Zeitalter

10. Oktober 2025

Ransomware-Angriffe gehören mittlerweile zum Standardrepertoire von Cyberkriminellen. So weit – so bekannt. Weniger bekannt ist die Erkenntnis, dass 90 Prozent der erfolgreichen Angriffe von nicht-verwalteten Geräten ausgehen [1]. Mithin Geräte, für die die Eigentümer voll verantwortlich sind, einschließlich aller Betriebssystemupdates, Sicherheitspatches und Softwareprodukte. Und damit stellen sie eine Sicherheitsgefahr für Unternehmen dar. Organisationen sollten daher…