Was Sie über Managed Security Services wissen sollten

Der Markt hält zahlreiche Produkte bereit, die IT-Verantwortlichen das Leben erleichtern und die Sicherheit verbessern sollen. Doch der Teufel steckt im Detail: Nicht jedes Produkt, das auf den ersten Blick - gepriesen durch vollmundige Versprechen der Hersteller - wie geschaffen für das eigene Unternehmen scheint, ist es auch tatsächlich. SIEM (Security Information and Event Management) ist nur eines von vielen Beispielen. Dabei handelt es sich in erster Linie um eine Software, die Informationen aus verschiedenen Systemen und Bereichen der Netzwerkinfrastruktur bündelt.

Ein solches Tool ist zwar in der Lage, die gesammelten Daten nach definierten Vorgaben selbst auszuwerten und bei Eintreffen vordefinierter Bedingungen Benachrichtigungen und Alarme auszugeben. Deren Interpretation ist aber wiederum eine separate Aufgabe. Sie findet in der Regel in einem Security Operations Center (SOC) statt. Aufgabe eines SOC ist die Interpretation der generierten Daten und das Ausgeben von darauf basierenden Handlungsempfehlungen bei eventuellen Abweichungen. Sowohl SIEM als auch SOC werden unter dem Begriff "Managed Security Services" als Dienstleistung angeboten.

Das Problem ist nicht die Technik, sondern der Prozess

Insgesamt hängt das Sicherheitslevel nicht ausschließlich von Technologien ab, auch wenn diese eine große Rolle spielen. Oft scheitert die Sicherheit nicht an der Technik, sondern an vor- oder nachgelagerten Prozessen. Diese sind entweder nicht vollständig zu Ende gedacht oder fehlen komplett. Immer wieder versuchen Unternehmen jedoch, mangelhafte Prozesse durch mehr Technologie zu kompensieren - gespickt mit wohlklingenden Begriffen wie "Deep Learning" oder "Artificial Intelligence".

Im Folgenden werfen wir einen Blick auf einige Versprechen der Managed-Service-Industrie und welche Auswirkungen sie auf ein Unternehmen haben können.

Aufgabe eines Managed-Service-Anbieters - egal, ob für SIEM oder SOC - sollte sein, Lösungen für bestimmte Herausforderungen zu bieten. Genau das erfüllen jedoch viele Anbieter nicht. Stattdessen geht es oft darum, Produkte zu verkaufen. Diese Unterscheidung ist wichtig: Ein Produkt kann Teil einer Lösung sein - aber es ist in den seltensten Fällen "die" Lösung. Dank findiger Marketingfachleute ist die Trennung zwischen "Produkt" und "Lösung" sehr schwammig geworden. Es ist also wichtig, hier genau hinzuschauen.

Wirtschaftlichkeit contra Problemverschiebung

Wer "IT-Sicherheit" sagt, meint damit auch "aussagekräftige Daten". Hier tritt eine Komponente auf den Plan, die genau diese Anforderung bedienen soll: Mit SIEM sollen alle relevanten Daten aus der IT-Infrastruktur zusammenlaufen, relevante Logdaten analysiert und gefiltert und schließlich in einem übersichtlichen Format visualisiert werden. Es ist kein Geheimnis, dass der Betrieb eines SIEM sich nicht darin erschöpft, eine Lizenz zu erwerben, eine Agent-Software auszurollen und auf die Daten zu warten. Eine SIEM-Umgebung ist ein dauerhaftes Projekt und ein ständiger Prozess für das eigenes Personal.

Dazu müssen ausreichend zeitliche Ressourcen vorhanden sein. Zwei Vollzeitstellen dafür zu schaffen, ist je nach Unternehmensgröße das Minimum. Diese Mitarbeitenden sollten idealerweise über Expertise und Erfahrung im Bereich "Sicherheit" verfügen und die vom SIEM generierten Daten im Kontext des Unternehmens bewerten können. Dieses Wissen am Markt zu finden, stellt eine weitere Herausforderung dar.

Aufgrund der hohen Kosten für den Aufbau und den Unterhalt eines eigenen SIEM-Systems liegt es für Unternehmen also vor allem aus wirtschaftlicher Sicht nahe, einen Dienstleister mit der Bereitstellung eines solchen SIEM zu beauftragen. Der Haken: Durch die Betreuung eines Dienstleistungsunternehmens werden die Herausforderungen lediglich verlagert.

Auch ein Dienstleister muss Personal vorhalten, das die aggregierten Informationen aus dem SIEM aufbereiten und sinnvoll auswerten kann. Wichtigstes Kriterium hierbei: Die Konsumierbarkeit der daraus gewonnen Informationen.

Hier trennt sich vielfach die Spreu vom Weizen. Denn Sicherheit bedeutet nicht, einmal wöchentlich einen Report per E-Mail zu erhalten und diesen dann zu den Akten zu legen. Damit hätte der SIEM-Provider zwar seiner Chronistenpflicht genüge getan, aber ein echter Zugewinn an Sicherheit ergibt sich daraus nicht.