SIEM vs. SOAR: Welches System Ihr Unternehmen braucht

Wo liegen die Unterschiede zwischen SIEM und SOAR? Sollte man sie getrennt oder doch lieber gemeinsam einsetzen? Wir bringen Licht ins Dunkel.

SIEM und SOAR spielen in Diskussionen über das Thema IT-Security in Unternehmen eine zentrale Rolle. Beide Systeme verbessern den Schutz von Firmennetzwerken, doch was genau steckt dahinter? Wir erklären die Unterschiede, gehen auf Gemeinsamkeiten ein und zeigen, wie Sie beide Technologien – einzeln oder gemeinsam – optimal einsetzen.

Security-Tools: SIEM erkennt Bedrohungen frühzeitig

SIEM steht für „Security Information and Event Management“. Das bedeutet grob übersetzt „Sicherheitsinformations- und Ereignismanagement“. SIEM-Lösungen fungieren als digitaler Wachhund im Unternehmensnetzwerk – sie sammeln Daten aus allen vorhandenen IT-Systemen im Unternehmen und werten sie aus.

Zu den verwendeten Datenquellen zählen Firewalls, Router und Switches ebenso wie Server und Clients. Hinzu kommen IDS- und IPS-Lösungen zur Intrusion-Detection und -Prevention, aber auch das Active Directory, IAM-Systeme und VPN-Gateways liefern wertvolle Informationen. Virtual Private Networks steuern beispielsweise Authentifizierungsdaten, Zugriffsprotokolle und Verbindungsdaten bei.

SIEM-Systeme verknüpfen diese Datenflut zu einem Gesamtbild. Sie erkennen Zusammenhänge, die einzelnen Sicherheitslösungen verborgen bleiben. Eine SIEM-Lösung ermöglicht dadurch einen detaillierten Überblick aller Vorgänge, die an den verschiedenen Stellen im Netzwerk auftreten. 

Ein Beispiel verdeutlicht den Nutzen: Meldet sich ein und dasselbe Benutzerkonto innerhalb weniger Minuten über weit voneinander entfernte Standorte an, schlägt ein klassisches System nicht unbedingt Alarm. Ein SIEM erkennt hingegen das ungewöhnliche Muster sofort. Es verknüpft Geodaten und Log-in-Frequenz, korreliert die Einzelereignisse und warnt frühzeitig vor der potenziellen Bedrohung.

SIEM-Lösungen decken Gefahren auf, lösen aber keine automatischen Gegenmaßnahmen aus. An dieser Stelle kommen SOAR-Systeme ins Spiel.

Automatisierung: SOAR reagiert blitzschnell auf Bedrohungen

Während eine SIEM-Lösung neue Daten und Erkenntnisse auf Basis der vorhandenen Systeme und Anwendungen liefert, nutzt eine SOAR-Plattform diese Ergebnisse, um automatisiert vordefinierte und in Playbooks festgelegte Gegenmaßnahmen einzuleiten. Deshalb arbeiten in vielen Firmen beide Systeme zusammen. Ein SIEM erkennt und alarmiert, das SOAR reagiert, automatisiert und koordiniert. Auf diese Weise entlastet es IT-Security-Mitarbeiter, die mehr Zeit für komplexere Aufgaben erhalten. 

Eine SOAR-Lösung (SOAR: Security Orchestration, Automation and Response) koordiniert die Sicherheits-Tools im Unternehmen und fügt sie in einen zentralen Workflow ein. Zudem automatisiert sie Aufgaben bei der Abwehr von Cyberbedrohungen wie etwa nach einem Phishing-Vorfall. Erst lässt sie die identifizierte E-Mail löschen. Danach wird automatisch der Absender blockiert, der betroffene Rechner isoliert und die IT-Abteilung sowie der Benutzer informiert. Manuelle Maßnahmen durch einen Mitarbeiter sind nicht nötig.

Unterschiede zwischen SIEM und SOAR

Ein SIEM sammelt Daten aus verschiedenen Quellen im Unternehmen, korreliert und analysiert sie. Die Warnungen landen beim SOAR, das die Reaktion auf erkannte sicherheitsrelevante Vorfälle koordiniert und automatisiert. Das senkt den manuellen Aufwand sowie die erforderliche Zeit bei der Abwehr von Cybergefahren. Sowohl aktuelle SIEM- als auch SOAR-Lösungen arbeiten auf Basis der vorhandenen Datenquellen und Sicherheitslösungen. Gleichzeitig bieten sie dabei einen deutlich verbesserten Einblick in das, was in einem Netzwerk wirklich geschieht. Normalerweise bleibt viel davon verborgen. 

Ein SIEM ist aber immer noch stark auf menschliche Experten angewiesen, die die Warnungen untersuchen. Ein SOAR arbeitet hingegen weitgehend automatisch. SOAR-Lösungen bringen dafür eine Auswahl an vorgefertigten Playbooks mit, die häufig auftretende Sicherheitsvorfälle abdecken. Sie erfordern vorher allerdings noch eine Anpassung an die jeweilige Umgebung. 

Die mitgelieferten Playbooks decken meist Malware, Phishing-Vorfälle, Brute-Force-Attacken, verdächtige Log-ins sowie den Abfluss vertraulicher Daten (Data Loss Prevention, DLP) ab. Die IT-Mitarbeiter müssen dann nur noch die gewünschten Schwellenwerte festlegen, die vorhandenen Sicherheitslösungen anbinden und definieren, welche Maßnahmen erforderlich sind (zum Beispiel: Dürfen betroffene Benutzerkonten auch ohne menschliche Freigabe gesperrt werden oder nicht?).

Ein SIEM oder ein SOAR? Oder beides?

Im Grunde ist die Frage nicht, ob Ihr Unternehmen ein SIEM oder ein SOAR benötigt. Mit einer SIEM-Lösung lassen sich blinde Flecken im Netzwerk aufdecken und Cyberbedrohungen schneller erkennen. Ein SIEM alarmiert aber nur, es reagiert nicht automatisch. Dafür benötigen Sie zusätzlich eine SOAR-Lösung, die teilweise sogar vollautomatisch auf erkannte Gefahren reagiert und sie bekämpft. Es empfiehlt sich deshalb, sowohl ein SIEM als auch ein SOAR einzusetzen. Das verkürzt die Zeit, in der eine Attacke erkannt und bekämpft werden kann. Außerdem reduzieren die beiden Systeme zusammen den manuellen Aufwand und sorgen aufgrund ihrer Standardisierung für konsistentere Abläufe sowie eine bessere Ausnutzung der vorhandenen Security-Ressourcen.

Mit den Lösungen von NCP schützen auch Sie hybride Arbeitswelten bestens. In unserer zentralen Management-Software definieren Sie präzise, welche Nutzer, Gruppen und Anwendungen auf welche Netzwerkressourcen zugreifen dürfen. Hier erfahren Sie mehr zum Thema:

Der perfekte Baustein für Ihr Zero-Trust-Konzept