SIEM und SOC haben Gewissheit gebracht, wo es vorher nur Hoffnung gab. Vor ein paar Jahren lebte ein großes slowakisches Produktionsunternehmen in dem Gefühl, dass seine IT-Infrastruktur in gutem Zustand war. Es gab Protokolle, die Administratoren taten ihr Bestes, und die Sicherheit war kein akuter Notfall. Bis der Angriff kam – schnell, umfassend und lähmend. Die Produktion stand still, Lieferungen wurden unterbrochen, Zahlungen blockiert.
Der Angriff offenbarte eine Schwachstelle, die zwar vermutet wurde, aber bis dahin nicht sichtbar war. Und bis man das Problem sieht, hat man den Eindruck, dass es nicht existiert. Aber die Realität holt einen ein, wenn es am schlimmsten ist – ein wiederkehrendes Muster in der gesamten Branche. Im Geschäftsleben kann das wirklich jedem passieren; wichtig ist, dass man aus der Erfahrung lernt.
In einem bestimmten Unternehmen war es dieses Ereignis aus dem Jahr 2023, das den Anstoß zu einer umfassenden Umgestaltung gab. Das Unternehmen wollte eine echte Kontrolle über Sicherheitsereignisse erlangen. Und zwar ohne ein eigenes SOC-Team aufbauen zu müssen – was für ein Produktionsunternehmen heute praktisch unmöglich ist.
Die Unsichtbarkeit war das größte Problem. Das Unternehmen hatte das Gefühl, geschützt zu sein, aber es fehlte an Fakten. Die Protokolle waren zwar vorhanden, aber über verschiedene Systeme verstreut. Wenn etwas passierte, begann die Lösung für jeden Vorfall bei Null: manuelle Problemsuche, langwierige Überprüfungen, Unsicherheit darüber, ob etwas vergessen worden war. Es fehlte an einer Zentralisierung, an automatisierten Warnmeldungen und sogar an einem zuverlässigen Einblick in die Sicherheitsereignisse. Es war klar, dass die Aufzeichnungen nur von geringem Wert waren, wenn sie nicht zentral gesammelt wurden.
Entscheidung: das SIEM auf Wazuh + SOC-Überwachung von GAMO
Nach der Analyse mehrerer Optionen, darunter teure kommerzielle Lösungen wie QRadar oder Splunk, erwies sich die Kombination aus der Open-Source-SIEM-Technologie von Wazuh und dem Managed SOC-Service von GAMO als flexibel, erschwinglich und vor allem als langfristig tragfähig für das Unternehmensmanagement.
Sie entschieden sich für eine Security Information and Event Management (SIEM)-Plattform, ein System, das die zentrale Erfassung, Auswertung und Korrelation von Aufzeichnungen und Sicherheitsereignissen in der gesamten IT-Infrastruktur ermöglicht.
Die Lösung basiert auf der öffentlich zugänglichen Wazuh-Sicherheitstechnologie, die mit dem Überwachungsdienst Security Operation Center (SOC) verbunden ist.
Das Unternehmen erhielt einen zentralen Speicherort für alle Aufzeichnungen, einen Echtzeit-Einblick in die Vorgänge in der Infrastruktur und die Möglichkeit, schnell auf Bedrohungen zu reagieren, ohne ein eigenes Team dafür aufbauen zu müssen. All dies ermöglichte die zentrale Erfassung und Korrelation von Protokollen von Servern, Netzwerken, Anwendungen und Endpunkten, die Erkennung verdächtiger Aktivitäten, Angriffe und Anomalien, die Berichterstattung an die IT-Abteilung und die Geschäftsleitung sowie die Einhaltung von Audit- und Gesetzesanforderungen.
Aber die Menschen waren der Schlüssel. „Technologie ohne Experten ist nicht genug. Sie haben vielleicht die Daten, aber Sie wissen nicht, was Sie damit machen sollen. Das SOC-Team ist unverzichtbar“, bewertete ein Kunde die Situation.
„Ein SIEM ist die Grundlage, aber seine wahre Stärke zeigt sich erst, wenn es von Spezialisten betrieben wird. Unsere Aufgabe ist es nicht nur, Vorfälle zu erfassen, sondern sie auch im Kontext zu verstehen, ihre Auswirkungen zu bewerten und Lösungen vorzuschlagen, die den Kunden langfristig schützen“, bestätigen die Spezialisten von GAMO.
Einsatz und erste Ergebnisse: Die ersten Vorfälle tauchen auf
Nach der Überprüfung der Funktionalität der vorgeschlagenen Lösung folgte in der Pilotphase des Projekts die Anpassung an den Live-Betrieb und die gleichzeitige Fehlersuche und Vervollständigung der Szenarien. Das Unternehmen erhielt daraufhin praktisch sofortigen Einblick in seine Infrastruktur.
Die größte Herausforderung war der Abgleich von Datensätzen aus Altsystemen und die Einrichtung spezifischer, maßgeschneiderter Nutzungsregeln. Innerhalb der ersten Wochen hatte das System bereits eine Reihe von Vorfällen erfasst, die zuvor unbemerkt geblieben wären:
- Brute-Force-Angriffe auf VPNs und Systeme
Schnelle und wiederholte Versuche, Passwörter zu erraten, die das SOC-Team/der Operator durch eine Reihe fehlgeschlagener Anmeldungen von derselben Quelle oder eine ungewöhnliche Häufigkeit von Versuchen identifiziert. - Versuche, mit bösartigen C&C-Servern zu kommunizieren
Ein infiziertes Gerät versucht, eine Verbindung mit einem externen Verwaltungsserver herzustellen, was der SOC-Operator durch ungewöhnliche Kommunikation mit verdächtigen IP-Adressen außerhalb des normalen Betriebs erkennt. - Active Directory-Konten werden nach verdächtigen Aktivitäten gesperrt
Wenn Benutzerkonten nach einer Reihe von fehlgeschlagenen Anmeldungen oder anderen verdächtigen Aktivitäten gesperrt werden, deutet dies auf einen nicht autorisierten Zugriffsversuch oder eine interne Sicherheitsmaßnahme hin. - Erkannte Malware-Dateien
Das System identifiziert bösartige Dateien anhand ihrer Merkmale oder ihres Verhaltens. Sie enthalten oft Backdoors, Ransomware-Komponenten oder Spyware-Code. SOC kennzeichnet sie, isoliert sie und überprüft die Quelle der Infektion. - Zugriffe auf nicht vertrauenswürdige Domains
Erkannte Verbindungen zu Domains mit fragwürdigem Ruf, (il)legale Plattformen. In diesem Fall blockiert und verifiziert SOC diese Verbindungen. - Unerwünschte Benutzeraktivitäten
Massive oder unerwartete Datenmanipulationen (z.B. Löschen) können auf einen internen Fehler, absichtliche Manipulationen oder das Vorhandensein von Ransomware hinweisen. Das SOC betrachtet das Ereignis als einen kritischen Vorfall: Die Priorität liegt darin, sofortige Maßnahmen zu ergreifen und die Ausbreitung zu stoppen.
Vorher vs. Jetzt: Die Hoffnung ist zur Gewissheit geworden
Derzeit sind mehr als 95 % der Infrastruktur des Unternehmens geschützt, und das SOC-Team arbeitet mit Dutzenden von Korrelationsregeln, die auf die Umgebung des Kunden zugeschnitten sind. Es erstellt in Echtzeit und regelmäßig aufschlussreiche Berichte und Empfehlungen für das Management. Auf kritische Vorfälle wird sofort reagiert.
„Bevor wir SIEM einsetzten, hatten wir das Gefühl, dass unsere IT sicher ist, aber uns fehlten die Fakten. Heute können wir Vorfälle in Echtzeit sehen und haben die Gewissheit, dass wir ein professionelles Team haben, das über uns wacht“, so ein zufriedener Kunde.
Ein Kunde fasste den Wandel treffend zusammen: „Wir haben vorher gehofft. Heute haben wir Beweise.“ Die Entscheidungsfindung hat sich von der Ebene der Gefühle auf die Ebene der messbaren Daten verlagert. Die Erkennung erfolgt schneller, die Reaktion ist professionell, die Risiken sind unter Kontrolle. Und Vorbeugung kostet weniger als die Beseitigung von Ausfällen! Das Unternehmen hat dies aus erster Hand erfahren.
Das Unternehmen plant bereits, die Überwachung auf die operative Technologie (OT) auszuweiten und automatisierte Reaktionen mit Hilfe von Security Orchestration, Automation and Response (SOAR) zu implementieren, was die Reaktion auf Vorfälle erheblich beschleunigen wird. Das Ziel ist klar: Sicherheit auf die nächste Stufe zu heben und die Reaktionszeit auch bei komplexeren Bedrohungen zu minimieren.
Mut zum Kunden und Kompetenz im Team verbinden
Dieser Fall zeigt, dass modernes SIEM und professionelles SOC kein Vorrecht von Konzernen sind. Auch ein mittelgroßes Unternehmen kann über eine erstklassige Sicherheitsüberwachung verfügen, ohne dass extreme Kosten anfallen oder ein eigenes Expertenteam erforderlich ist. Der Kunde hat eine mutige Entscheidung getroffen, in Sicherheit investiert und seine Schwächen offen benannt. GAMO brachte Expertise, technisches Know-how und Reaktionsfähigkeit in kritischen Momenten mit.
„Ohne das Vertrauen und die Zusammenarbeit mit dem Team des Kunden wäre das nicht möglich gewesen. Jeder Schritt, den wir heute als Erfolg sehen, ist das Ergebnis der Zusammenarbeit“, schließt das GAMO-Team.
Es ist der Beweis dafür, dass die Kombination von technologischer Kompetenz und Entschlossenheit zu einem widerstandsfähigeren, sichereren und vor allem zuversichtlicheren Unternehmen führen kann.
