{"id":32329,"date":"2025-06-20T09:43:16","date_gmt":"2025-06-20T07:43:16","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=32329"},"modified":"2025-06-20T09:43:16","modified_gmt":"2025-06-20T07:43:16","slug":"open-source-siem-hidden-costs","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/open-source-siem-hidden-costs\/32329\/","title":{"rendered":"Die versteckten Kosten eines kostenlosen SIEM"},"content":{"rendered":"

Laut dem \u201eState of Open Source\u201c-Bericht von OpenLogic verwenden 96 % der befragten Unternehmen Open-Source-L\u00f6sungen (OSS). Solche L\u00f6sungen sind in allen Segmenten des IT-Marktes zu finden \u2013 auch in Infosec-Tools. Und sie werden oft f\u00fcr den Aufbau von SIEM-Systemen empfohlen.<\/p>\n

Auf den ersten Blick scheint OSS eine gute Wahl zu sein. Die Hauptfunktion eines SIEM-Systems besteht in der systematischen Erfassung und Korrelation von Telemetriedaten, die du mithilfe bekannter Tools zur Datenspeicherung und -verarbeitung einrichten kannst. Erfasse einfach alle deine Daten mit Logstash, schlie\u00dfe Elasticsearch<\/a> an, erstelle die ben\u00f6tigten Visualisierungen in Kibana<\/a> \u2013 und schon kannst du loslegen! Nach einer kurzen Suche erh\u00e4ltst du sogar fertige Open-Source-SIEM-L\u00f6sungen (die oft auf denselben Komponenten basieren). Bei SIEMs ist es immer von entscheidender Bedeutung, sowohl die Datenerfassung als auch die Datenverarbeitung an die spezifischen Anforderungen deines Unternehmens anzupassen, und ein benutzerdefiniertes OSS-System bietet endlose M\u00f6glichkeiten daf\u00fcr. Au\u00dferdem fallen keinerlei Lizenzkosten an. Der Erfolg dieses Unterfangens h\u00e4ngt jedoch von deinem Entwicklungsteam ab, von den Besonderheiten deines Unternehmens, davon, wie lange dein Unternehmen bereit ist, auf Ergebnisse zu warten, und wie viel es bereit ist, in den fortlaufenden Support zu investieren.<\/p>\n

Zeit ist Geld<\/h2>\n

Eine Schl\u00fcsselfrage, deren Bedeutung immer wieder untersch\u00e4tzt wird, ist, wie lange es dauert, bis das SIEM deines Unternehmens nicht nur live geht, sondern auch tats\u00e4chlich einen echten einheitlichen Mehrwert liefert. Daten<\/a> von Gartner zeigen, dass selbst ein fertiges SIEM mit vollem Funktionsumfang durchschnittlich sechs Monate dauert, bis es vollst\u00e4ndig implementiert ist \u2013 jedes zehnte Unternehmen wendet ein Jahr daf\u00fcr auf. Und wenn du dein eigenes SIEM erstellst oder ein OSS anpasst, solltest du damit rechnen, dass sich diese Zeitleiste verdoppelt oder verdreifacht. Multipliziere diese Zeit bei der Budgetierung mit den Stundens\u00e4tzen deiner Entwickler. Es ist auch schwer vorstellbar, dass ein vollwertiges SIEM von einem einzelnen talentierten Individuum stammt \u2013 dein Unternehmen muss ein ganzes Team unterhalten.<\/p>\n

Der erste Fehler besteht h\u00e4ufig darin, sich daran zu orientierten, wie schnell sich ein Prototyp erstellen l\u00e4sst. Du kannst ein vorgefertigtes OSS in wenigen Tagen in einer Testumgebung bereitstellen, aber es kann viele Monate \u2013 sogar Jahre \u2013 dauern, es auf Produktionsqualit\u00e4t zu bringen.<\/p>\n

Fachkr\u00e4ftemangel<\/h2>\n

Ein SIEM muss Tausende von Ereignissen pro Sekunde sammeln, indizieren und analysieren. Der Entwurf eines hoch belasteten Systems oder sogar die Anpassung eines bestehenden Systems erfordert spezielle und gefragte F\u00e4higkeiten. Neben den Entwicklern br\u00e4uchte das Projekt hochqualifizierte IT-Administratoren, DevOps-Ingenieure, Analysten und sogar Dashboard-Designer.<\/p>\n

Ein weiteres Problem, das SIEM-Entwickler \u00fcberwinden m\u00fcssen, ist der Mangel an praktischer Erfahrung, die erforderlich ist, um effektive Normalisierungsregeln, Korrelationslogiken und andere Inhalte zu schreiben, die in kommerziellen SIEM L\u00f6sungen<\/a> bereits enthalten sind. Nat\u00fcrlich sind auch f\u00fcr diese Standardinhalte erhebliche Anpassungen erforderlich, aber die Anpassung an die Standards deines Unternehmens geht schneller und einfacher.<\/p>\n

Compliance<\/h2>\n

F\u00fcr viele Unternehmen ist der Besitz eines SIEM-Systems gesetzlich vorgeschrieben. Wer ein SIEM selbst entwickelt oder eine OSS-L\u00f6sung implementiert, muss erhebliche Anstrengungen unternehmen, um Compliance zu erreichen. Du musst die F\u00e4higkeiten deines SIEM selbst an die gesetzlichen Anforderungen anpassen \u2013 im Gegensatz zu den Benutzern kommerzieller Systeme, die oft \u00fcber einen integrierten Zertifizierungsprozess und alle f\u00fcr die Compliance erforderlichen Tools verf\u00fcgen.<\/p>\n

Manchmal m\u00f6chte das Management ein SIEM m\u00f6glichst kosteng\u00fcnstig implementieren, um die Sache vor allem \u201eabzuhaken\u201c. Da sich PCI DSS, DSGVO und andere lokale Regulierungsrahmen jedoch auf die tats\u00e4chliche Breite und Tiefe der SIEM-Implementierung konzentrieren \u2013 und nicht nur auf ihre blo\u00dfe Existenz \u2013, w\u00fcrde ein SIEM-System, das ausschlie\u00dflich zu Show-Zwecken implementiert wird, keiner Pr\u00fcfung standhalten.<\/p>\n

Compliance ist nicht etwas, das du nur zum Zeitpunkt der Implementierung ber\u00fccksichtigen kannst. Wenn Komponenten deiner L\u00f6sung im Rahmen der intern durchgef\u00fchrten Wartung und des Betriebs nicht mehr aktualisiert werden und das Ende der Lebensdauer erreicht ist, sinken<\/a> deine Chancen, eine Sicherheits\u00fcberpr\u00fcfung zu bestehen.<\/p>\n

Herstellerbindung vs. Mitarbeiterabh\u00e4ngigkeit<\/h2>\n

Der zweitwichtigste Grund f\u00fcr Unternehmen, eine Open-Source-L\u00f6sung in Betracht zu ziehen, war schon immer die Flexibilit\u00e4t bei der Anpassung an ihre spezifischen Anforderungen sowie die Hoffnung, sich nicht auf die Entwicklungs-Roadmap und die Lizenzierungsvorgaben eines Softwareherstellers verlassen zu m\u00fcssen.<\/p>\n

Beides sind \u00fcberzeugende Argumente, und k\u00f6nnen in gro\u00dfen Unternehmen manchmal schwerer wiegen als andere Faktoren. Es ist jedoch von entscheidender Bedeutung, dass du dir bei dieser Wahl der Vor- und Nachteile bewusst bist:<\/p>\n