Die wahren Kosten unverbundener Sicherheitstools im SOC

Die Folgen sind dann deutlich spürbar. Ich kenne Kunden, die von Warnmeldungen geradezu überschwemmt wurden, weil ihre Tools fehlkonfiguriert waren oder Dubletten produzierten – die Analysten gingen in einer Flut von Informationen unter, und echte Bedrohungen blieben unentdeckt. Oder wenn Bedrohungen aus Mangel an Fachkenntnissen – für 32 % ist dies eine der Hauptursachen von Ineffizienz im SOC – schlicht übersehen werden. Ich weiß von einem Fall, in dem der Kunde mehrere Firewalls hatte, und eine einzige Engineering-Fachkraft sollte alle drei Firewall-Anbieter managen. Allerdings überschaute der Techniker die Besonderheiten der einzelnen Produkte nicht und schrieb eine Regel, die Datenverkehr aus einer Hochrisikoregion verhindern sollte, implementierte sie aber nicht in allen Firewalls ordnungsgemäß. Das Resultat: Eine fehlerhafte Regelhierarchie ermöglichte es einem Angreifer, die Schutzmaßnahmen zu umgehen und über einen Exchange-Server in der DMZ Ransomware zu verbreiten.

Verstreute Tools gehen oft auch mit mangelnder Hygiene einher. Eine Kundschaft hatte z. B. keinen zentralen Log-Aggregator, sondern verließ sich auf Syslog-Datenhäppchen, sodass es große Sichtbarkeitslücken gab und das Unternehmen nicht einmal sicher sagen konnte, ob überhaupt Logs von allen Geräten empfangen wurden. Die Antivirenlösung war zwar das Neueste vom Neuen, wurde aber selten aktualisiert. Das alles gab die Illusion von Sicherheit, doch in Wirklichkeit war es eine einzige klaffende Sicherheitslücke.

Letztlich lautet die Rechenaufgabe für das Unternehmen: Kann eine einzige Fachkraft vier Tools managen? Und wenn nein: Was wird dabei geopfert?

Unzusammenhängende Tools können sich im weiteren Verlauf auch negativ auf die Compliance und die operative Disziplin auswirken. Ich weiß von SOC-Teams, die kurzerhand eigene Ticket-Systeme geholt haben, nur um die Engpässe der zentralisierten IT zu umgehen, und Tools ohne Freigabe oder Sicherheitsüberprüfung eingeführt haben. Dass die Dokumentation überholt ist. Dass Schatten-IT wuchert. In manchen Fällen behalten Leute noch Wochen nach der Kündigung Zugriff auf Slack und ähnliche Plattformen zur Zusammenarbeit, nur weil die Identitäts- und die HR-Systeme nicht zusammenarbeiten – ein Exfiltrationsrisiko, das offen zutage liegt.

Tool-Wildwuchs und die Kostenfrage

All dies stößt am Ende auf die harte Realität der Wirtschaftlichkeit. Jedes neue Tool erfordert die Budgetierung von Lizenzen sowie von Kosten für Engineering, Schulungen, Integration und Wartung. Wenn eure Architektur zwei Technikkräfte pro Tool erfordert, euer Budget aber nur eine für vier Tools erlaubt, dann ist das nicht nur ineffizient, sondern riskant.

Eine Organisation der öffentlichen Hand, mit der ich zusammengearbeitet habe, hat ihr Toolset erfolgreich von Hunderten von Anbietern auf 25 reduziert. Das Ergebnis? Einsparungen in Höhe von sage und schreibe $ 40 Millionen, die in Personal und Fähigkeiten reinvestiert wurden. Gewiss, manche Funktionen gingen verloren – aber es konnten bessere Leute gewonnen werden, und letztlich konnte die Sicherheitslage deutlich gestärkt werden.

Die Rationalisierung der Tools ist zuerst oft eine Maßnahme zur Kostensenkung. Vernünftiger wäre es aber, wenn Sicherheitsverantwortliche dies als Resilienzstrategie begreifen. Am besten beginnt ihr damit, eure vorhandenen Ressourcen zu überprüfen:

• Gibt es Überschneidungen bei den Funktionen der Tools?
• Sind die Tools vollständig implementiert, korrekt konfiguriert, ordentlich integriert und nutzt ihr wirklich alle verfügbaren Funktionen? Die Integration von Identitätsmanagement-, SIEM-, SOAR- und HR-Systemen ist z. B. erfolgsentscheidend, wenn es darum geht, Datenexfiltration zu verhindern.
• Sind die Erkennungen eurer Tools auf eure relevantesten Use Cases ausgelegt?
• Habt ihr eure Daten wirklich in einem Monitoring, das für euch Handlungsgrundlage ist?

Und, was vielleicht am wichtigsten ist: Welche Tools hält das Team für die wirksamsten?

Denn mit den Tools arbeiten Menschen

Lasst euch nicht von den neuesten Funktionen blenden, sondern konzentriert euch auf die Tools, die euer Team tatsächlich effektiv nutzen kann. Eine einzige gut ausgestattete und integrierte EDR-Plattform ist z. B. besser als drei Lösungen, die nur teilweise implementiert sind; das gilt vor allem dann, wenn dadurch Budget für die Einstellung, Schulung und Bindung von Analysten frei wird. In vielen Fällen ist mehr Sicherheit nicht mit mehr Tools erreichbar, sondern dadurch, dass ihr weniger Tools intelligenter einsetzt.

Es geht darum, den Analysten die effiziente Arbeit in einem zusammenhängenden Ökosystem zu ermöglichen, statt dass sie sich ihren Kontext aus unterschiedlichen Plattformen holen und zusammenflicken müssen.

Sicherheit ist eine Aufgabe für Menschen, nicht nur für Technik. Wenn eure Tools es dem Team nur schwerer machen, erfolgreich ans Ziel zu gelangen, dann ist es an der Zeit, den Ansatz zu überdenken. Die Frage muss lauten „Wie kann ich mein Team am einfachsten effizienter machen?“ statt „Welche Lücke stopfe ich als Erstes?“. Macht euch daran, ein SOC zu schaffen, das den Aspekten Integration, User-Freundlichkeit und Resilienz Priorität einräumt.

Ladet euch den Lagebericht Security 2025 herunter, wenn ihr mehr darüber erfahren wollt, wie Teams Ineffizienzen beseitigen und ein intelligenteres, stärker automatisiertes SOC aufbauen können.