SIEM-Lösungen für den Mittelstand

Hallo in die Runde,
aufgescheucht durch NIS-2 und Berater, die ihre Lösungen verticken wollen, fragt mich mancher Kunde, was wir denn für SIEM-Lösungen empfehlen, die „mittelstandgerecht“ hinsichtlich Kosten/Nutzen sind. Bislang habe ich mich nur oberflächlich damit beschäftigt, da ich solche Lösungen eher oberhalb unseres Kunden-Klientels verortet habe.
Wer kennt aus der Praxis Lösungen, die man sich anschauen sollte? Danke fürs Feedback!
Viele Grüße, Reinhold

Hallo Reinhold,
die Anforderungen zum Thema SIEM können schnell zum Fass ohne Boden werden und insbesondere die kleineren Unternehmen zeigen sich schockiert wenn sie sich die Preislisten ansehen.
Aus meiner Sicht kann ich Dir aktuell sagen, dass ich mit einem Unternehmen in Kontakt stehe, die ein SOC, ein SIEM, ein Schwachstellenmanagement sowie die Analyse von Log-Files für ca. 50-60k p.a. anbieten. Das ist immer noch sehr viel Geld und im Vergleich zu Lösungen, die schnell in den sechstelligen Bereich gehen, ein „Schnapper“ und immer noch sehr teuer.
Es gibt allerdings auch OpenSource-Produkte, von denen ich im Kundenumfeld bereits gehört habe. Hier z.B.

1. Apache Metron
2. Wazuh
3. OSSIM

Was diese Produkte im Vergleich zu den hochpreisigen Produkten können evaluiere ich gerade und stehe dazu mit Kunden in Kontakt. Hier halte ich dazu gern auf dem Laufenden.

Hallo Ralf,
vielen Dank für die Info! Hast Du einen Namen für das Produkt für mich, mit dem Du Dich gerade beschäftigst? Bei meinem Kunden, der diese Anfrage ausgelöst hat, wurde folgende Lösung positioniert:
SIEM (Security Information & Event Management) - TEHTRIS.
Preise liegen aber noch noch nicht vor.
Viele Grüße, Reinhold

Das ist ein Unternehmen aus Solingen (5 km von mir entfernt) und heißt Cosanta. Deren Vorgehensweise scheint mir ganz solide und die bieten wohl auch eine kostenfreie Testphase an. Schau gern mal auf https://www.cosanta.de/ und teile und Deinen Eindruck davon mit.

Ich finde Du machst hier ein wichtiges und spannendes Thema auf, an dem wir gemeinsam arbeiten sollten, um zu für mittelständische Unternehmen passende Lösungen zu präsentieren. Dafür mein Dankeschön

Schau Dir aber auch mal das Wazuh an. Das wurde mir von einem Kunden bereits empfohlen, der sich das angesehen hat.

Wazuh (und darin integriertes Suricata) wäre auch meine Empfehlung für ein kleines Budget.

Man kommt bei diesen Lösungen halt am Ende nur um eins nicht drum herum - irgendjemand muss mit den Meldungen auch was anfangen… wenn die am Ende nur als E-Mail im Postfach des IT-Managers landen, der schon vorher keine Zeit hatte, dann hat man nur die Hälfte gelöst.

Vollkommen richtig @tko was jedoch ein grundsätzliches Problem ist.

Das böse Erwachen kommt bei vielen Lösungen oft mit den Schlagworten „aggregieren“ und „korrelieren“ um die Ergebnisse zu strukturieren und zu systematisieren.

Da macht Wazuh schon einen guten Job - alleine schon als Logging und Reporting-Plattform kann das einiges. Das ist halt gleichzeitig Fluch und Segen, denn den wirklich wichtigen Job durch die Meldungen durchzugucken, und Erkennungsregeln und Ausschlussregeln zu schreiben, die sich nicht schon aus Vorgaben oder importierten Rulesets ergeben, nimmt einem halt niemand ab.

Ein bisschen SOC-Analyst schwimmt da immer mit einem mit.

Beispiel - die Firma hinter Linuzifer hat vor ein paar Wochen mal mit Certiception einen etwas elaborierten Honeypot gebaut - sieht aus, riecht und schmeckt nach einem unsicher konfiguriertem Active Directory… und wenn ein Alert aus dieser Installation in dein SIEM fällt, dann ist alles zwischen „Sofort die Kaffeetasse fallen lassen und dich an eine Tastatur begeben“ und „Mit einem Hechtsprung das Netzwerkkabel vom Server aus der Wand reissen“. prinzipiell denkbar.

Bloss… wenn das nur ein weiterer Alert unter vielen ist, der zwischen allen anderen untergeht… weil man sich nie die Zeit genommen hat das alles in der eigenen Infrastruktur mal geradezubiegen.

Man zahlt diese SIEM Gebühren ja nicht nur für die Software… sondern auch für die Augäpfel, die darauf gucken, und im Zweifel zum Hörer greifen.

(Disclaimer - mein Partner ist SOC Analyst - ich habe dazu ein eher praktisch orientiertes Verhältnis)

Außerdem - herzlich willkommen @rcsakli !

Hallo Ralf und Thorsten, vielen Dank für euren Input! Nachdem die IT-Abteilung meines Kunden notorisch überlastet ist, kommt wazuh eher nicht in Betracht. Ich habe mir Cosanto mal angeschaut, macht einen seriösen Eindruck, werde mal Kontakt aufnehmen.

Reinhold, ich stelle Dir gern den Kontakt her und gebe Dir die Adresse des Vertriebs. Diese schicke ich Dir gern per Mail.

Hallo Ralf, danke für die Empfehlung! Ich habe gerade mit Kai telefoniert und einen guten Eindruck! Jetzt warte ich auf das Pricing …

Das freut mich. Halte mich dazu gern auf dem Laufenden.

Hallo in die Runde! Bei Unternehmen, die KRITIS unterliegen und was tun MÜSSEN, ist der Einsatz einer SIEM/SOC/VM-Lösung wie von Cosanta eine tolle Sache. Aber bei € 60.000,- aufwärts im unteren Mittelstand nur schwierig zu platzieren. Bei meiner Reha-Klinik, die mit knapp 500 Mitarbeitern zwar NIS-2 unterliegen wird, aber vermutlich, da nicht KRITIS, keine „besonderen Maßnahmen SzA“ ergreifen muss, wären es ca. € 130.000,- p.a.! Es muss wohl erst der Leidensdruck steigen, bevor die sich mit sowas ernsthaft beschäftigen.

Ich wette nach wie vor dass mit der nächsten Version von B3S das Thema SzA auf Krankenhäuser zukommen wird… empfehle meinen Kunden auch bei Neuinvestitionen von vernetzten Medizingeräten auch auf Protokoll-Möglichkeiten zu achten.

Hallo Reinhold,
vielen Dank für die Info und ja das ist echt ne Stange Geld, die da zu bezahlen sind. Also mich beeindrucken die Produkte der Cosanta auch sehr doch die 60k Euro müssen auch erstmal locker sitzen unabhängig der Anforderungen. Die Abwägung der Wirtschaftlichkeit gibt ja Spielraum. Wir werden uns dennoch die Wazuh-Lösung ansehen. Vielleicht wird das ein Thema sein, an dem wir gemeinsam mal weiterdenken können.

Und die starten erst mal mit einem PoC, was in der Komplexität üblich und auch sinnvoll ist. Der kleinere und mittlere Mittelstand ist alleine von knapp € 10.000,- für ein PoC geschockt. Hier treffen Profis auf Dilettanten und wir müssen den Prozess moderieren …

Hast du schon Infos, wann die nächste Version des B3S erscheinen soll? Die jetzige Version ist aus 2019, was in der IT gefühlt „Jahrhunderte“ Zeitdifferenz sind.

Die letzte Version zur Medizinischen Versorgung ist tatsächlich noch nicht so alt - Version 1.2 vom Dezember 2022 - aber die Eignungsfeststellung läuft ja in einem halben Jahr ab, und 1.2 kam damals auch ohne lange vorherige Ankündigung.

Von der TH Braunschweig wurde im Sommer 2023 ein Fragebogen an alle deutschen Krankenhäuser verschickt (wir sprachen da schon darüber, das schreibe ich jetzt hier eher für den Rest), bei dem es um alle Details der Angriffsdetektion in deutschen Krankenhäusern ging.

Alle Häuser, von denen ich weiß dass sie zu dem Zeitpunkt in dieser Richtung nichts großartiges zu bieten hatten, haben diesen Fragebogen ignoriert. Seitdem geht ein Teil von mir einfach davon aus - wer auch immer den Fragebogen beantwortet hat, hat vermutlich gemeldet dass sie da gut aufgestellt sind oder das Thema zumindest schon bearbeiten - vielleicht ist die TH dann zu dem Schluss gekommen die Situation sei besser, als sie ist.

Falls die Ergebnisse des Fragebogens nun in die Frage einfließen „Können wir Krankenhäusern die Anforderung über Systeme zur Angriffserkennung aufbürden?“ könnte man zu dem Ergebnis kommen „Du, sieht aus als haben die das eh schon auf breiter Front“.

Hat jemand Erfahrungen mit https://www.greenbone.net/? Die schreiben, sie seien auch für „Kleinstunternehmen“ geeignet.