Security Information & Event Management
"SIEM ist der beste Schutz vor zielgerichteten Angriffen"
Fortsetzung des Artikels von Teil 1
Weitere Fragen
funkschau: Wie aufwändig ist die Einführung von SIEM?
Bohr: Bei SIEM handelt es sich um eine Big-Data-Lösung – und die einzuführen, ist nie ganz leicht. Unternehmen brauchen ein hohes Maß an themenübergreifender Kompetenz – im Fall von SIEM sowohl breites strategisches Wissen als auch tiefes Device-Know-how – und erhebliche Personalressourcen. Hinzu kommt, dass SIEM dem verantwortlichen IT-Team auch im laufenden Betrieb einiges an Manpower und spezifischen Fachkenntnissen abfordert. Auch die Implementierung geht angesichts der Komplexität der entsprechenden Plattformen mit relativ hohen Investitions- und Projektkosten einher. Von daher sollten sich Unternehmen vor der Anschaffung einer SIEM-Lösung sehr ernsthaft mit der Frage auseinandersetzen, ob sie diese tatsächlich als On-Premise-Plattform betreiben oder lieber als Managed-Service beziehen wollen.
funkschau: Was müssen Unternehmen also vor der Implementierung einer eigenen SIEM-Lösung beachten?
Bohr: Die beiden Schlüsselfaktoren Know-how und Manpower haben wir ja bereits angesprochen. Darüber hinaus muss im Unternehmen eine vollumfängliche, unternehmensweite Policy gelten, im Idealfall mit Best-Practise-Prozessen nach Kriterienkatalogen wie ISO 27001/2. Auch ein professionelles Risk-Management sollte vorhanden sein: Unternehmen, die ein Risk-Assessment durchgeführt und die Risikominimierung als C-Level-Aufgabe für den CTO, CIO oder CISO verankert haben, werden mit einer SIEM-Lösung gut zurechtkommen.
funkschau: Und wie steht es um KMUs, die mit SIEM noch keine Berührungspunkte hatten?
Bohr: Mittelständische Unternehmen haben in der Regel hohen Schutzbedarf vor gezielten Attacken, verfügen aber intern oft weder über die Personaldecke noch über die Kompetenz, eine SIEM-Lösung zu betreiben. In solchen Fällen erweist sich die Vergabe von SIEM-as-a-Service an einen spezialisierten Managed-Security-Services -rovider in vielen Fällen als bessere Alternative zum Eigenbetrieb. Entscheidend ist dabei vor allem, dass die Ziele und Prozesse vor der Einführung gemeinsam mit dem Dienstleister definiert und alle Schnittstellen und Verantwortlichkeiten klar festgelegt werden. Im laufenden Betrieb gilt es dann, die Service-Qualität kontinuierlich zu überwachen und die Augen nach Verbesserungspotenzialen offen zu halten.
funkschau: Welche Vorteile bietet das Outtasking von SIEM?
Bohr: Zunächst einmal vermeidet der Kunde durch Outtasking die mit der SIEM-Einführung verbundene Einarbeitungs- und Integrationsphase sowie die umfangreiche Qualifizierung des eigenen Personals.
Er profitiert also deutlich schneller und ohne hohe Investitionen von den Möglichkeiten der SIEM-Technologie. Angesichts der Kompetenz, der Erfahrung und der spezialisierten Ausstattung des Providers erreicht der Kunde unter dem Strich zudem ein Qualitätsniveau, das wesentlich höher ist als im Eigenbetrieb. Ein wichtiger Aspekt ist auch die Flexibilität eines Outtasking-Modells: der Kunde stellt aus verschiedenen Service-Modulen ein Paket zusammen, das seine individuellen Anforderungen optimal abbildet. Dabei entscheidet er selbst, ob er lediglich Monitoring und Überwachung der Sicherheitssysteme wünscht, zusätzlich Echtzeitalarmierung benötigt oder die oben angesprochenen Vulnerability- und Asset-Management-Services nutzen möchte. Und wenn sich seine Bedürfnisse ändern, kann er den Umfang oder die SLAs jederzeit neu verhandeln.
funkschau: Ist Outtasking generell noch ein Thema für den Mittelstand?
Bohr: Natürlich, ein ganz großes sogar. Zum einen, weil die Service-Qualität bei Managed-Services bei richtiger Umsetzung deutlich höher sein kann als in Firmen, die ihr Datacenter vollständig selbst managen. Externe Provider haben nun einmal mehr Erfahrung, mehr Spezialisten, überlegenes Equipment und kürzere Reaktionszeiten. Sie arbeiten im 24/7-Betrieb und unterhalten in aller Regel enge Beziehungen zu den Herstellern. Eine interne IT-Abteilung tut sich schwer, da mitzuhalten. Zum anderen ermöglicht es das Outtasking selektiver Prozesse den Unternehmen, bis dato gebundene, interne Ressourcen und deren Know-how für neue Projekte zu nutzen. Und drittens gibt es noch die wirtschaftlichen Argumente: In aller Regel lassen sich durch die Zusammenarbeit mit einem Managed-Services-Partner die Kosten deutlich senken und Fixkostenblöcke flexibilisieren. Allerdings wandelt sich mit dem Outtasking auch die Rolle der internen IT vom Betreiber zum Provider-Manager. Zudem sollten Prozesse standardisiert und dokumentiert werden, damit die wirtschaftlichen Effekte tatsächlich realisiert werden können. Diese Veränderungen fallen gerade mittelständischen Unternehmen häufig nicht leicht.
- "SIEM ist der beste Schutz vor zielgerichteten Angriffen"
- Weitere Fragen
Lesen Sie mehr zum Thema
