sheelamohanachandran - Fotolia

SIEM aus der Cloud: Darauf sollten Unternehmen achten

SIEM as a Service aus der Cloud ist eine interessante Alternative für Unternehmen, die keine eigene SIEM-Lösung betreiben können oder wollen.

Bislang hatten Unternehmen nur zwei Möglichkeiten, wenn sie eine Lösung zum Security Information and Security Management (SIEM) einsetzen wollten: Entweder installieren und pflegen sie selbst eine SIEM-Lösung innerhalb ihrer eigenen Infrastruktur oder sie entscheiden sich für SIEM als extern gemanagte Dienstleistung, bei der sich ein Service-Provider um viele Aufgaben kümmert.

Mittlerweile gibt es aber auch andere Möglichkeiten zum Einstieg in SIEM. So gibt es jetzt Angebote, die teilweise oder komplett aus der Cloud kommen. Einige Provider nennen diese Produkte SIEM as a Service und versuchen damit von dem gestiegenen Interesse an Cloud-Lösungen zu profitieren.

Obwohl manche dieser Angebote durchaus als SIEM as a Service bezeichnet werden können, sind die meisten doch eher traditionelle SIEM-Lösungen, die einfach in der Cloud gehostet werden. Erst wenn bestimmte charakteristische Merkmale erfüllt werden, ist es gerechtfertigt, eine Lösung wirklich als SIEM as a Service einzustufen.

Was ist anders an SIEM as a Service?

Wenn sich eine Organisation dafür entscheidet, eine SIEM-Lösung innerhalb einer bestimmten Infrastruktur oder Plattform als Service einzusetzen, sind zunächst dieselben Installations-, Konfigurations- und Verwaltungsaufgaben zu erledigen wie in einem eigenen On-premise-Datacenter. Die einzigen Unterschiede sind die zugrundeliegende Plattform und Infrastruktur sowie die Frage, wer dafür verantwortlich ist.

Bei einem echten SIEM-as-a-Service-Modell werden die Infrastruktur und die Plattform komplett an den Service-Provider ausgelagert. Der Kunde ist dann nur noch für die Daten innerhalb der SIEM-Anwendung und für ihre Verwendung beziehungsweise Auswertung verantwortlich. Das ist eine essentielle Verschiebung der Verantwortlichkeiten zum Anbieter des Services, die sich für den Kunden positiv auswirkt.

In einem SIEM-as-a-Service-Setup sind die Verantwortlichkeiten aber nicht die einzigen Bereiche, die vom Kunden zum Service-Provider wandern. Auch viele der Anfangskosten für die Einrichtung einer SIEM-Lösung, wie sie für Lizenzen, Installation und professionelle Beratung zu leisten sind, entfallen nun auf den Dienstleister. Das wirkt sich positiv auf Organisationen aus, die voraussagbare Ausgaben vorziehen, die in regelmäßigen Intervallen auftreten, oder wenn nicht genug Kapital vorhanden ist, um die hohen Kosten zu begleichen, die beim Aufbau einer SIEM-Umgebung anfallen. Auch wenn es sich dabei vor allem um Budget-Fragen dreht, ist es doch offensichtlich, dass sich vor allem kleine oder schnell wachsende Unternehmen für eine SIEM-as-a-Service-Lösung interessieren.

Weitere zu beachtende Punkte, die für SIEM as a Service sprechen, sind das umfassende Know-how und die Zeit, die von einem Unternehmen benötigt werden, um eine eigene SIEM-Plattform aufzubauen. Die Entwicklung und Installation einer großen SIEM-Plattform von Anbietern wie Splunk, Hewlett Packard Enterprise oder McAfee erfordert nämlich komplett andere Fähigkeiten, als sie für ihren Betrieb benötigt werden.

So wird während der Entwicklungsphase oft ein spezialisierter SIEM-Architekt beispielsweise für einen Zeitraum von zwölf Monaten benötigt. Sobald das System aber erst einmal einsatzfähig ist, werden stattdessen mehrere Sicherheitsanalysten benötigt, die es bedienen und Auswertungen erstellen können. Dieser Wechsel bei den geforderten Kenntnissen und Fähigkeiten ist für viele Unternehmen aufwendig und nur schwer umzusetzen. Anders bei SIEM as a Service, wo diese Probleme beim Kunden nicht auftreten. Er kann sich komplett darauf konzentrieren, Content-Entwickler und Security-Analysten auszubilden, die sozusagen nur innerhalb der SIEM-Lösung aktiv sind. Es ist dann die alleinige Aufgabe des Dienstleisters, sich um ein Team aus Entwicklern, Architekten und System-Administratoren zu kümmern, die die Plattform in Betrieb halten und die sich um die benötigten Änderungen kümmern.

Darüber hinaus müssen sich Organisationen, die sich für SIEM as a Service oder für die Möglichkeit interessieren, eine SIEM-Lösung in der Cloud einzusetzen, auch mit Fragen wie dem Bedarf an Bandbreite und Speicher beschäftigen. Die Leistungsfähigkeit einer SIEM-Lösung hängt stark von der Qualität der eingespeisten Informationen ab. Diese Daten können schnell mehrere Milliarden Ereignisse pro Woche umfassen. Das ist eine enorme Datenmenge, die von dem Unternehmen zum Cloud-Dienstleister hochgeladen werden muss.

Die andere wichtige Voraussetzung ist, alle diese anfallenden Daten auch wirklich dauerhaft in der Cloud zu speichern. Abhängig von den in einem Land geltenden Bestimmungen müssen sie eventuell über mehrere Jahre aufgehoben werden. Daraus ergeben sich sowohl technische als auch monetäre Herausforderungen, die nicht unterschätzt werden dürfen.

Fazit

SIEM as a Service befindet sich noch in der Entwicklung. Es gibt aber bereits einige sehr interessante und überzeugende Angebote auf dem Markt. Für viele Unternehmen ist dies eine interessante Option, wenn sie nicht über die benötigten Fähigkeiten zum Betrieb einer eigenen SIEM-Plattform verfügen oder wenn ihnen das dabei meist verwendete Subscription-Modell zusagt. SIEM as a Service ist außerdem eine erwägenswerte Option, wenn weder ein extern betriebenes Security Operations Center (SOC) oder eine komplett intern gemanagte Security-Architektur möglich sind.

Interessierte Unternehmen sollten aber auch geltende Compliance-Regeln mit in die Entscheidung einbeziehen, bevor sie sich für eine bestimmte SIEM-as-a-Service-Lösung entscheiden. Es kann aber durchaus sein, dass diese neue Dienstleistung aus der Cloud die beste Lösung ist, wenn alle beschriebenen Punkte ausgiebig gegeneinander abgewogen wurden.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Kostenloses E-Handbook: SIEM richtig auswählen.

Cloud-Sicherheit: Cloud Access Security Broker ergänzen SIEM.

Angriffe erkennen: SIEM für die Echtzeitanalyse einsetzen.

Cloud-Sicherheit: Darauf sollten Sie achten.

Artikel wurde zuletzt im November 2016 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über SaaS-Sicherheit: Cloud-Services und -Systeme

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close