Einblicke in Sicherheitsabläufe 2025: Drei Viertel der Sicherheitsverantwortlichen benötigen SIEM-Innovationen

Wie sich das SIEM verändert und wonach Sicherheitsverantwortliche suchen

Mit Blick auf das Jahr 2025 sehen sich viele Unternehmen, die sich im Eiltempo zu digitalen Eingeborenen entwickelten, nun mit den Konsequenzen konfrontiert, die sich aus der Vernachlässigung der Sicherheit ergaben. Sie haben nun mit drei konvergierenden Belastungen zu kämpfen: KI-beschleunigte Angriffe, eine ausufernde Cloud-Telemetrie, die Analysten überfordert, und Budgets, die immer knapper werden, obwohl die Erwartungen steigen. Die Kluft zwischen dem, was Verteidiger sehen müssen, und dem, was viele SIEMs anzeigen, wird immer größer und führt zu Ermüdungserscheinungen, blinden Flecken und steigenden Rechnungen für den Speicherplatz. Diese Umfrage konzentriert sich darauf, wie Praktiker diese Belastung empfinden und welche Fähigkeiten ihrer Meinung nach dazu beitragen können, sie zu überwinden.

Gleichzeitig verändern die Fortschritte im Bereich der KI nach und nach sowohl die Bedrohungslandschaft als auch die Arbeitsweise der Verteidiger. Automatisierte Tools helfen Angreifern heute, überzeugende Phishing-Nachrichten zu generieren, Cloud-Fußabdrücke in großem Umfang zu untersuchen und Techniken schneller anzupassen, als dies mit einer manuellen Überwachung möglich ist. Andererseits beginnen Sicherheitsteams, sich auf ihre eigenen KI-gesteuerten Analysen zu verlassen, um die immer größer werdenden Protokollmengen zu sichten, Nebensächliches in ihren Routinen zu unterdrücken und die wichtigen Signale hervorzuheben. Diese wechselseitige Beschleunigung macht moderne SIEM-Lösungen – also solche, die eine umfangreiche Datenerfassung mit eingebetteten, adaptiven Analysen kombinieren – zu einem zentralen Bestandteil jeder ernsthaften Sicherheitsstrategie.

Traditionelle SIEM-Lösungen wurden nie für die heutige Flut von Telemetriedaten entwickelt. Unternehmen benötigen jetzt eine SIEM-Lösung in der Cloud, die gleichzeitig als Sicherheitsdatenspeicher fungiert, diese Daten mit fortschrittlichen Erkennungsfunktionen ausstattet und jede Warnmeldung mit einem eingebetteten Automatisierungsdienst (SOAR) koppelt, um die Untersuchung zu optimieren und eine schnelle, einheitliche Reaktion auszulösen.

In diesem Bericht werden die Ergebnisse unserer Studie vorgestellt. Sie erfahren, warum und wie Sicherheitsverantwortliche ihre Technologie neu bewerten, welche Komponenten den Erfolg von SIEM-Lösungen ausmachen und welche Innovationen die Sicherheitslandschaft als Nächstes prägen werden.

Warum Käufer sich neuen Lösungen im Bereich SIEM und SOAR zuwenden

Vierunddreißig Prozent der Umfrageteilnehmer geben an, dass ihre oberste Sicherheitspriorität für das kommende Jahr darin besteht, die Bedrohungserkennung und -reaktion zu verbessern.

Diese Dringlichkeit erklärt, warum SIEM und SOAR jetzt als kombinierte Notwendigkeit fungieren: SIEM liefert die Transparenz und die analytische Tiefe, um Probleme zu erkennen, während SOAR die Playbooks antreibt, die diese Erkenntnisse in konsistente, schnelle Maßnahmen umsetzen. Die Teams betrachten die beiden Komponenten zunehmend als untrennbar miteinander verbunden – was einst eine Zusatzplattform war, wird zur Kernfunktionalität. Tatsächlich stufen 84 % der Befragten eine in ihr SIEM integriertes SOAR als wichtig oder äußerst wichtig für die Automatisierung von Reaktionen auf zukünftige komplexe Bedrohungen ein.

Doch selbst ein starkes Vertrauen garantiert keine Kundenbindung. Von den Führungskräften, die „sehr zuversichtlich“ sind, dass sich ihr derzeitiges SIEM in den nächsten drei bis fünf Jahren anpassen kann, prüfen 75 % immer noch alternative Lösungen – ein Beweis dafür, dass die Erfüllung des heutigen Erkennungs- und Reaktionsauftrags nur die Basis und keine Garantie für eine langfristige Loyalität ist.

Lassen Sie uns herausfinden, warum Führungskräfte sich anderswo umsehen und wie sie mögliche Lösungen bewerten sollten.

Die vier wichtigsten Gründe für eine Neubewertung des SIEM-Pakets

Welche Faktoren spielen die größte Rolle, wenn es darum geht, Sicherheitsverantwortliche davon zu überzeugen, eine alternative Lösung in Betracht zu ziehen? Die Befragten nennen vier Schlüsselbereiche, die ihr Vertrauen in die Zukunft ihrer SIEM-Lösung am meisten beeinflussen.

1. Künstliche Intelligenz

Sieben von 10 Sicherheitsverantwortlichen geben an, dass die KI ihr Vertrauen in ihre aktuelle SIEM-Lösung beeinträchtigt – die häufigste Antwort von 30 %. Daraus folgt, dass 90 % der Unternehmen, die einen Wechsel zu SIEM-Lösungen in Erwägung ziehen, angeben, dass die KI bei ihrer Entscheidung für eine neue Sicherheitslösung, sei es SIEM oder eine Alternative, extrem oder sehr wichtig ist.

Die KI bietet ein enormes Potenzial zur Unterstützung und Optimierung der Sicherheit – von intelligenteren Warnmeldungen bis hin zu automatisierten Reaktionen.

Mehr als 70 % der Befragten haben mit Ermüdungserscheinungen und Fehlalarmen zu kämpfen – und viele Teilnehmer gaben an, täglich mehr als 10.000 Warnmeldungen zu erhalten. Natürlich ist die Lärmreduzierung für die Befragten ein Bereich mit hoher Priorität. Umso dringlicher ist es, die KI für eine genauere Benachrichtigung im Falle eines Fehlers und effizientere Reaktion einzusetzen.

2. Cloud-nativ

Der zweithäufigste Faktor, der das Vertrauen der Sicherheitsverantwortlichen in ihre SIEM-Lösung einschränkt, sind Cloud-native Funktionen (38 %). Die Befragten bevorzugen Cloud-native Plattformen u. a. wegen ihrer Skalierbarkeit und einfachen Bereitstellung. Diese Vorteile heben sich von den traditionellen Sicherheitsoptionen wie XDR oder eigenständigem SOAR ab, die spezialisierter oder in ihrem Umfang begrenzt sein können.

Die wichtigsten Vorteile einer Cloud-nativen Lösung sind:

• Elastizität und Skalierbarkeit. Diese Plattformen können je nach den Anforderungen des Unternehmens nahtlos nach oben oder unten skaliert werden, um große Datenmengen aus verschiedenen Quellen ohne Leistungseinbußen zu verarbeiten. Diese Flexibilität wird die Einführung von mehr Cloud-basierten und verteilten Architekturen fördern.
• Echtzeit-Analysen und Aktualisierungen. Cloud-native SIEM-Lösungen helfen Unternehmen, den sich entwickelnden Bedrohungen einen Schritt voraus zu sein, indem sie Sicherheitsanalysen und –aktualisierungen in Echtzeit bereitstellen, ohne dass manuelle Patches oder Upgrades erforderlich sind.
• Vereinheitlichte Ansicht. Cloud-native Plattformen bieten einen ganzheitlichen Überblick über die Sicherheitslandschaft, indem sie Daten aus verschiedenen Cloud-Umgebungen, der lokalen Infrastruktur und von Remote-Benutzern an einem Ort zusammenführen.
• Nahtlose Integration und Automatisierung. Eine Cloud-native SIEM-Plattform wie Sumo Logic kann in verschiedene Cloud-Dienste und -Plattformen integriert werden, sodass Unternehmen ihre Sicherheitsabläufe vereinheitlichen und Reaktionen automatisieren können, und zwar innerhalb einer einzigen Plattform.

Die Forschung bestätigt diese Vorteile: Fast vier von 10 Sicherheitsverantwortlichen würden einen Wechsel ihrer Lösung in Erwägung ziehen, da die Flexibilität und die umfassende Abdeckung durch Cloud-native SIEMs dies ermöglicht. Von denjenigen, die einen Wechsel ihrer Lösung in Erwägung ziehen, gibt die Mehrheit an, dass sie Cloud-native Plattformen evaluieren.

3. Das Tempo der Innovation

Eine wachsende Zahl von Sicherheitsverantwortlichen – mehr als ein Drittel in dieser Studie – gibt an, dass das halsbrecherische Tempo der sicherheitstechnischen Innovationen bereits ihr Vertrauen in die SIEMs, die sie heute einsetzen, untergräbt. Die KI verändert nun jedes Quartal die Angriffstechniken, Compliance-Regeln werden fast genauso schnell verschärft und Cloud-Dienste erzeugen wöchentlich neue Protokollquellen. Ein SIEM, das nicht in der Lage ist, neue Analysen und automatisierte Playbooks in diesem Rhythmus zu übernehmen, wird schnell vom Aktivposten zur Belastung.

Sie heben drei Beschleuniger hinter der Kluft hervor: KI-gestützte Erkennungsmethoden, die sich schneller entwickeln als statische Regelsätze, Automatisierungsrahmenwerke, die die Erwartungen an eine nahezu sofortige Eindämmung erhöhen, und kontinuierlich aktualisierte Cloud-Pakete, die neue Integrationen in kürzester Zeit erfordern. Wenn ein Anbieter nicht in der Lage ist, aktualisierte Verhaltensmodelle, Erkennungsinhalte und API-Hooks im Gleichschritt mit diesen Änderungen zu veröffentlichen, müssen die Verteidiger mit der Sichtweise von gestern auf die Bedrohungen von heute reagieren – ein untragbares Risiko für jedes moderne SOC.

4. Die Rolle der Anbieterabhängigkeit bei der Erwägung von Lösungen

Flexibilität – und nicht die Ausbreitung von Funktionen – ist die Währung der modernen Sicherheit. Fast 95 % der Teams, die ein neues SIEM ins Auge fassen, nennen die Bindung an einen bestimmten Anbieter als Hauptgrund für die Neubewertung ihres Systems. Wenn eine einzige Mega-Suite die Aufnahme, Analyse, Automatisierung und Preisgestaltung steuert, verliert man die Möglichkeit, auf veränderte Bedrohungen, Budgets und Architekturen zu reagieren. Ein späterer Wechsel wird komplex und kostspielig, vor allem, wenn benutzerdefinierte Inhalte, Datenschemata und Workflows mit proprietären Tools verwoben sind. 

Das Risiko geht über die Wirtschaft hinaus. Einheitsanbieter neigen dazu, eher für eine Beibehaltung als eine schnelle Innovation zu optimieren und liefern schrittweise Aktualisierungen, während sich die Angreifer in der jeweiligen Nische täglich weiterentwickeln. Punktlösungen, die offene Standards unterstützen – wie OpenTelemetry für die Erfassung von Protokollen, Metriken und Traces – ermöglichen es, neue Datentypen oder Erkennungen zu integrieren, ohne das gesamte Paket neu zu verkabeln.

SIEM ist nicht der Ort für Kompromisse. Sicherheitsverantwortliche, die es als Best-of-Breed-Investition behandeln, sichern sich drei dauerhafte Vorteile:

• Verhandlungsstärke – man kann jede Schicht ersetzen oder erweitern, ohne den Kern herauszureißen.
• Kontinuierliche Innovation – spezialisierte Anbieter leben oder sterben davon, dass ihre Erkennungs- und Reaktionstechnologien den Angreifern immer einen Schritt voraus sind.
• Operative Anpassung – Teams passen ihre Arbeitsabläufe an ihre Umgebung an, anstatt sich an starre Plattformvorgaben zu halten.

Kurz gesagt: lehnen Sie „gute“ Plattformen ab, die eine kurzfristige Bequemlichkeit gegen langfristige Zwänge eintauschen. Entscheiden Sie sich für ein SIEM, das offen bleibt, Ihren Bedürfnissen entsprechen skalierbar ist und Ihrem Team – nicht Ihrem Anbieter “ das letzte Wort darüber gibt, wie sich die Sicherheit weiterentwickelt.

Alles in allem beschreiben diese Anforderungen die nächste Phase moderner Sicherheitsabläufe:

Die Daten werden nicht nur gesammelt, sondern intelligent miteinander verbunden, um schnellere Erkenntnisse, fundiertere Entscheidungen und ein proaktives Sicherheitsmanagement zu ermöglichen.

Die Suche nach dem richtigen SIEM

Wenn Sicherheitsverantwortliche ihre aktuellen Tools gegen die der Konkurrenz abwägen, ist das SIEM immer noch sehr relevant. Unternehmen müssen sich einfach für das richtige SIEM entscheiden, auch und gerade wenn sie ihre aktuelle Lösung schon eine Weile haben. Fast drei Viertel (72 %) der Befragten, die angeben, dass sie eine alternative Lösung in Betracht ziehen, haben ihre aktuelle Lösung seit drei Jahren oder länger.

Bevor Unternehmen viel Geld und Zeit in eine neue SIEM-Lösung investieren, müssen sie einen ausreichenden Evaluierungsprozess durchlaufen, um sicherzustellen, dass die nächste Lösung ihre Anforderungen erfüllt. Nutzen Sie diese fünfstufige Checkliste, um Ihren Prozess zu steuern:

1. Datenerfassung: Erfassen Sie die richtigen Protokolle?

Die Herausforderung bei der Erfassung von Protokollen besteht darin, verschiedene unterschiedliche Datenquellen genau und effizient zusammenzufassen. Aus diesem Grund beziehen die meisten Neueinsteiger in den SIEM-Markt den Großteil ihrer Daten von ihren eigenen Endpunktlösungen, und zwar ausschließlich von ihren eigenen Endpunktlösungen – ihnen entgeht das Gesamtbild.

Cloud-native SaaS-Lösungen bieten Skalierbarkeit und Geschwindigkeit, die bei der SIEM-Protokollerfassung oberste Priorität haben sollten. Achten Sie auf Funktionen wie umfassende Quellenintegration, Datenaufnahme in Echtzeit sowie Protokollspeicherung und Datenaufbewahrung.

2. Datenumwandlung: Wie werden die Daten in Ihrem SIEM umgewandelt? 

Nach der Erfassung wandelt das SIEM die Daten in ein brauchbares Format für die Analyse und die nächsten Schritte um. Die Datenumwandlung umfasst Normalisierungs-, Anreicherungs- und Korrelationsprozesse. Bei der Bewertung Ihres SIEM sollten Sie Faktoren wie die Effektivität der Normalisierung, Leistung, Skalierbarkeit, kontextbezogene Datenintegration, Genauigkeit, Relevanz sowie die Auswirkungen auf die Erkennung und Reaktion berücksichtigen.

3. Erweiterte Analytik: Bietet Ihr SIEM erweiterte Analysefunktionen?

Eine Lösung ist nur so gut wie die Fähigkeit, so viele Daten wie möglich zu durchsuchen. Viele Lösungen begrenzen die Datenmenge auf 30 Tage – während die Verweildauer eines Angriffs dreimal so lang sein kann.

Moderne fortschrittliche Analysefunktionen in einer SIEM-Lösung nutzen maschinelles Lernen (ML), um große Datenmengen zu analysieren und Muster zu erkennen, die traditionellen Methoden möglicherweise entgehen. Mit der Zeit verbessern diese Modelle die Erkennung von Bedrohungen, indem sie sich an neue Bedrohungsmuster anpassen.

Eine leistungsstarke UEBA-Lösung erstellt für jeden Benutzer, jedes Asset und jeden Service kontinuierlich einen Ausgangswert, wendet unüberwachtes maschinelles Lernen mit Peer-Grouping an, um echte Anomalien aufzudecken, fügt kontextreiche, erklärbare Risikobewertungen hinzu und leitet die Ergebnisse direkt in automatisierte Playbooks für Vor-Ort-, Cloud- und SaaS-Umgebungen ein. Es sollte Protokolle in ein universelles Schema für Echtzeit-Streaming-Analysen normalisieren, zusammenhängende Anomalien zu einer einzigen Erkenntnis zusammenführen, die MITRE ATT&CK zugeordnet ist, offene APIs und Sandbox-Regel-Tests unterstützen und KI-gestützte Untersuchungen anbieten, die die Modelle frisch und nebensächliche Informationen gering halten – damit sich Analysten auf die wirklich wichtigen Bedrohungen konzentrieren können.

4. Nachforschungen: Bietet Ihr SIEM eine effektive Untersuchung?

Nachdem eine Bedrohung erkannt wurde, sollte Ihr SIEM sofort in den Untersuchungsmodus wechseln und jede Warnung mit Echtzeit-Bedrohungsinformationen anreichern. Integrierte Feeds (über STIX/TAXII oder Anbieter-APIs) ermöglichen es der Plattform, neue IOCs und MITRE ATT&CK TTPs mit internen Telemetriedaten zu korrelieren, sodass Analysten sehen können, wo ein Ereignis in der globalen Angriffslandschaft einzuordnen und warum es wichtig ist. Diese Fähigkeit wird von den Anwendern inzwischen als unverzichtbar angesehen: 85 % der Befragten stufen die sofortige Integration von Bedrohungsdaten in ihr SIEM als „extrem“ oder „sehr“ wichtig ein, um zukünftigen Bedrohungen einen Schritt voraus zu sein.

Mit dieser Anreicherung erweitern sich die Best-Practice-Untersuchungskriterien um folgende Punkte: Lokalisierung des Ausgangspunkts der Kompromittierung, Überlagerung von kontextbezogenen Informationen und Vertrauenswerten, Priorisierung von Warnmeldungen, Auslösung einer SOAR-gesteuerten automatischen Triage und aggressive Reduzierung von Fehlalarmen – und zwar bei gleichzeitiger Bereitstellung von Details auf TTP-Ebene, die die Jäger für eine tiefere Suche in der gesamten Umgebung benötigen.

5. Erleichterung der Reaktion

Bewerten Sie SIEM-Reaktionsfunktionen wie anpassbare Dashboards, rollenbasierte Zugriffskontrollen, automatisierte Berichterstellung, Verfolgung der Einhaltung von Vorschriften, Workflows für die Reaktion auf Vorfälle, Automatisierung und Orchestrierung (SOAR) von sich wiederholenden Aufgaben und Überprüfungen nach Vorfällen.

Die wichtigsten Prioritäten der Cybersicherheit

(nächste 12 Monate)

34 %

Verbesserung der Bedrohungserkennung und Reaktion

19 %

Modernisierung der Infrastruktur

18 %

Erreichen der Compliance

17 %

Ausdehnung der Sicherheit auf neue Technologien

12 %

Optimierung der Kosten bei gleichzeitiger Wahrung der Sicherheit

Die Beschleunigung der Digitalisierung und die Zukunft des SIEM

Wie wir gesehen haben, ziehen die meisten Sicherheitsverantwortlichen in Unternehmen neue SIEM-Lösungen in Betracht bzw. sie sind aktiv auf der Suche, und die digitale Transformation treibt diesen Übergang voran. Als Nächstes wollen wir uns ansehen, wie sich das SIEM verändert und was Unternehmen brauchen, um in Zukunft erfolgreich zu sein.

Vielfältige Datentelemetrie für das moderne Sicherheitsbetriebszentrum

Der Empfang von Bedrohungs- und Sicherheitsdaten aus verschiedenen Umgebungen ist ein wichtiger Bestandteil der digitalen Transformation. Es überrascht daher nicht, dass 90 % der Befragten angeben, dass die Unterstützung von Datenquellen aus Multi-Cloud- und Hybrid-Cloud-Umgebungen für ihr SIEM im Rahmen der digitalen Transformation äußerst oder sehr wichtig ist.

Diese Flexibilität ist ein grundlegendes Merkmal moderner, intelligenter Sicherheitsabläufe. Unternehmen können dem wachsenden Bedarf an der Erfassung und Verwaltung von Telemetriedaten aus verschiedenen Quellen auf zwei Arten begegnen:

Nutzung offener Standards für die Datenerfassung
Unternehmen sollten SIEM-Lösungen bevorzugen, die mit modernen, offenen Standards für die Datenerfassung kompatibel sind, wie etwa Open Telemetry (OTel). OTel hat sich zum neuen De-facto-Standard für herstellerunabhängige Agenten entwickelt, die in der Lage sind, Protokolle, Metriken und Traces in einer Vielzahl von Umgebungen zu sammeln. Dieser Standard vereinfacht die Datenintegration aus mehreren Cloud-Plattformen und bietet die Flexibilität, Daten je nach Bedarf umzuwandeln und an mehrere Ziele weiterzuleiten.

Künftig werden proprietäre Erfassungsmechanismen nur schwer mit den Anforderungen moderner, Cloud-basierter Infrastrukturen Schritt halten können. Offene Standards ermöglichen es Unternehmen, ihre Telemetrieerfassung von bestimmten Anbietern zu entkoppeln und anpassungsfähig sowie skalierbar zu bleiben, wenn sich ihre Infrastruktur weiterentwickelt.

Zukunftssichere Sicherheitsabläufe durch Datennormalisierung
SIEM-Lösungen, die sich mittels Datenanalyse, Normalisierung und Zuordnung zu einem gemeinsamen Schema oder Datenmodell auszeichnen, fördern den Bedarf von Unternehmen an Telemetriedaten aus verschiedenen Quellen. Das direkte Eintragen von Erkennungen in Rohprotokolle, die von verschiedenen Sicherheitstools eingespeist werden, ist anfällig und arbeitsintensiv in der Wartung. Das Ersetzen einer Sicherheitslösung durch eine andere erfordert das Umschreiben von Regeln in das Protokollformat des neuen Anbieters. Dies führt jedoch zu betrieblichen Engpässen, wobei die differenzierten Protokollformate der Anbieter die Korrelation komplex gestalten.

Wenn Unternehmen ihre Daten in einem einheitlichen Schema normalisieren, können sie die Erkennungen unabhängig von Änderungen der zugrunde liegenden Sicherheitstools oder Cloud-Anbieter beibehalten und verbessern. Dieser Ansatz gewährleistet auch eine robuste Korrelation über verschiedene Datenquellen hinweg, da das SIEM normalisierte Daten konsistent und unabhängig vom Protokollformat des Anbieters verarbeiten kann. Unternehmen sollten sich für SaaS-basierte SIEM-Plattformen entscheiden, die eine integrierte Unterstützung für diese Aufgaben bieten, um die internen Sicherheitsteams zu entlasten und mit den sich entwickelnden Datenformaten und Sicherheitsherausforderungen auf dem Laufenden zu bleiben.

Die Befragten nannten Schulungs- und Qualifikationsdefizite als Hindernis für die volle Nutzung der fortschrittlichen SIEM-Funktionen.

Skalierbarkeit für wachsende Sicherheitsanforderungen

Mit dem Wachstum und der Veränderung von Unternehmen ändern sich auch deren Daten- und Sicherheitsanforderungen. Natürlich hat unsere Untersuchung ergeben, dass größere Unternehmen häufiger über Skalierungsprobleme berichten. Im Vergleich zu anderen SIEM-Funktionen zeigen sich die Befragten auch mit der SIEM-Skalierbarkeit insgesamt unzufrieden. Diese Ergebnisse spiegeln den Bedarf an flexiblen Datenverarbeitungsfunktionen wider und verdeutlichen, wie wichtig die Skalierbarkeit ist, um die nächste Welle von SIEM zu erschließen. Die Datenmenge nimmt weiter zu. Dies bedeutet, dass auch die Skalierbarkeit immer wichtiger wird.

Die Befragten geben eine hohe Zufriedenheit mit der Aufnahme von Protokollen und der Suchgeschwindigkeit an, und eine geringe Zufriedenheit mit der Integration und Skalierbarkeit.

Die Skalierbarkeit ist der Kern der Cloud-nativen Plattform von Sumo Logic. Wenn Unternehmen wachsen, lässt sich die elastische Architektur nahtlos skalieren, um wachsende Protokolldaten, Sicherheitsereignisse und Analysen aufzunehmen, ohne die Leistung zu beeinträchtigen. Die Fähigkeit zur automatischen Skalierung gewährleistet, dass Kunden unabhängig vom Datenvolumen eine konsistente und zuverlässige Leistung erhalten.

Diese Flexibilität ist mit dem Pay-as-you-grow-Modell von Sumo Logic auch zu einem überschaubaren Preis zu haben. Während die Daten zunehmen und die Anforderungen schwanken, zahlen die Unternehmen nur für die Kapazität, die sie benötigen.

Erweiterte Analysen

Erweiterte Analysen sind ein wesentliches Merkmal für die proaktive Erkennung von Bedrohungen in modernen SIEM-Lösungen. Drei Viertel der Befragten gaben an, dass die UEBA in ihrem SIEM für die proaktive Erkennung zukünftiger Sicherheitsanomalien äußerst oder sehr wichtig sei. Dieser Trend gilt für alle Branchen und Unternehmensgrößen.

Sumo Logic setzt die UEBA als entscheidende Schicht ein. Die Plattform überwacht und analysiert kontinuierlich das Verhalten von Benutzern, Geräten und Anwendungen innerhalb der Umgebung. Die Sumo Logic UEBA kann dann subtile Abweichungen vom normalen Verhalten erkennen, die auf potenzielle Sicherheitsbedrohungen hinweisen könnten, einschließlich Insider-Angriffe, kompromittierte Konten oder fortgeschrittene anhaltende Bedrohungen (APTs).

ML-Algorithmen helfen dabei, normale Benutzeraktivitäten zu analysieren und ungewöhnliche Muster zu erkennen, beispielsweise den Zugriff auf sensible Dateien zu ungewöhnlichen Zeiten oder Versuche, Sicherheitsprotokolle zu umgehen. Die Kunden von Sumo Logic werden frühzeitig vor Anomalien gewarnt, die andernfalls von signatur- oder regelbasierten Erkennungsmethoden übersehen würden, bevor sie sich zu ernsthaften Verstößen entwickeln.

Dies ist die Zukunft des SIEM, wobei diese Fähigkeiten es Unternehmen ermöglichen, bei ihrer Sicherheitsstrategie zuversichtlich voranzuschreiten.

Aufkommende technologische Innovationen und Investitionen in das SIEM

Die Sicherheitslandschaft verändert sich sowohl positiv als auch negativ – die Cyberbedrohungen werden immer ausgefeilter, und die Technologien, die auf diese Bedrohungen reagieren, entwickeln sich ebenfalls weiter. Im Folgenden erfahren Sie, wie zwei wichtige Innovationen und Ansätze für das SIEM die Richtung von Unternehmensinvestitionen verändern – und wie Sumo Logic beides ermöglicht.

Wie die KI und Automatisierung die SIEM-Investitionen beeinflussen

Unternehmen, die aktiv nach ihrem nächsten SIEM suchen, sind wahrscheinlich Vorreiter, was die künstliche Intelligenz im Bereich der Sicherheit anbetrifft.

Die Warnmeldungsträgheit treibt die Käufer zu Plattformen, die sich wie KI-Co-Analysten und nicht wie bloße Protokollsammler verhalten. Das stärkste Signal aus der Umfrage ist eindeutig: Die Befragten gaben an, dass eine integrierte Automatisierungsschicht (SOAR) innerhalb des SIEM für den Umgang mit zukünftigen, komplexeren Bedrohungen unerlässlich ist. In ihren eigenen Worten: Sie wollen ein System, das Ereignisse in Echtzeit korreliert, erklärt, warum sie von Bedeutung sind, und automatisch erste Abhilfemaßnahmen einleitet, sodass menschliche Analysten bei jeder Untersuchung mehrere Schritte voraus sind.

Aufstrebende Technologien – insbesondere LLMs und KI – spielen in den SIEM-Lösungen der nächsten Generation eine ergänzende Rolle, anstatt sie vollständig zu ersetzen. LLMs können Textdaten in einem noch nie dagewesenen Umfang analysieren, sodass KI-gestützte SIEMs große Mengen an Sicherheitsdaten effizient verarbeiten und Bedrohungen mit größerer Genauigkeit erkennen können.

Das Ergebnis?
Eine anspruchsvollere Bedrohungserkennung, Mustererkennung sowie Erkennung von Anomalien, ohne dass die Sicherheitsteams überfordert werden. Da die Befragten angaben, dass die Genauigkeit der Bedrohungserkennung und die Erzielung von Echtzeit-Reaktionsmöglichkeiten für sie höchste Priorität haben, könnte dieser Fortschritt nicht aktueller sein.

KI-gestützter SIEM-Fortschritt

Stufe 1: Betriebliche Automatisierung (heutige Ausgangssituation)

Die meisten ausgereiften SOCs haben bereits große Teile der Erkennung und Reaktion automatisiert – Protokollnormalisierung, Korrelation, Anreicherung, Ticket-Erstellung und sogar grundlegende Eindämmungsmaßnahmen wie das Deaktivieren von Konten oder die Quarantäne von Hosts. Der Geschäftsnutzen ist einfach: weniger falsche Warnmeldungen, kürzere Reaktionszeiten von wenigen Minuten statt Stunden und die Befreiung der Analysten von monotonen, sich wiederholenden Aufgaben. Die Budgets im Jahr 2025 fließen weiterhin in Technologien, die regelbasierte Logik mit leichtgewichtigen Machine-Learning-Modellen kombinieren, um doppelte Warnmeldungen zu unterdrücken, Ereignisse MITRE ATT&CK zuzuordnen und Playbooks über einen eingebetteten Automatisierungsdienst (SOAR) auszulösen. Teams in dieser Phase konzentrieren sich darauf, das Volumen der Warnmdeldungen zu reduzieren, die Kontaktzeit der Analysten pro Vorfall zu verringern und mehr Vorfälle ohne Eskalation abzuschließen.

Stufe 2: Analysten-assistive KI (kurzfristiger Vorteil)
Der nächste Schritt ersetzt statische Playbooks durch eine tiefe KI, die Untersuchungen in Echtzeit leitet. Die Zusammenfassung in natürlicher Sprache, die unüberwachte Erkennung von Anomalien, die Peer-Group-Analyse und die kontextbezogene Risikobewertung führen dazu, dass Analysten anstelle eines rohen Ereignisstroms zusammenhängende Informationen darüber erhalten, „warum dies wichtig ist“. Diese Modelle durchforsten automatisch Protokolle und Bedrohungsdaten, zeigen den Verlauf der Kill-Chain auf und schlagen die nächstbeste Abfrage vor. Durch die Übersetzung komplexer Muster in eine verständliche Sprache und die Möglichkeit der Ein-Klick-Suche entlastet die KI die kognitive Belastung, beschleunigt die Triage und versetzt Tier-1-Analysten in die Lage, Fälle zu bearbeiten, für die früher das Fachwissen von Experten erforderlich war. Unternehmen legen hierbei Wert auf kürzere Untersuchungszeiten, eine höhere Produktivität der Analysten sowie eine höhere Genauigkeit der Vorfälle, da die Raten der Falschmeldungen sinken.

Stufe 3: Auf das Unternehmen abgestimmte Intelligenz (strategisches Unterscheidungsmerkmal)
Der endgültige Reifegrad ist erreicht, wenn Sicherheitsteams domänenspezifische Sprach- und Verhaltensmodelle anhand ihrer eigenen Telemetriedaten, Geschäftslogik und historischen Vorfallsdaten trainieren. Diese maßgeschneiderten Modelle lernen die einzigartige Angriffsfläche des Unternehmens kennen – benutzerdefinierte SaaS-Anwendungen, Branchenvorschriften, Insider-Risikoprofile –, sodass sie wahrscheinliche Eindringungspfade prognostizieren, Anomalien anhand der Auswirkungen auf das Geschäft bewerten und Gegenmaßnahmen empfehlen können, die auf die internen Arbeitsabläufe abgestimmt sind. Die kontinuierliche Feinabstimmung anhand neuer Daten schließt die Feedback-Schleife, automatisiert verbleibende Randfälle, deckt subtile Seitwärtsbewegungen auf und orchestriert vollständig angepasste Reaktionssequenzen. Auf dieser Ebene liegt der Vorteil in der proaktiven Risikominderung – neue Techniken werden blockiert, bevor ein Schaden angerichtet wird, und die Verteidiger erhalten einen dauerhaften, auf Angreiferwissen basierenden Sicherheitsvorsprung.

Wie Sumo Logic hilft – und worin Sie investieren sollten
Acht von 10 Befragten stimmen zu, dass aktuelle SIEM-Lösungen KI-gesteuerte Analysen effektiv nutzen, um zukünftige Bedrohungen zu antizipieren und zu entschärfen. Aber es gibt erhebliche Möglichkeiten für weiteres Wachstum. 

Auf welche KI-gesteuerten Analysen sollten Unternehmen achten? Zunächst einmal sollten sie nach entitätszentrierten Erkennungen suchen. Unabhängig davon, ob ein Ereignis von Interesse von Benutzerkonten, nicht-menschlichen Dienstkonten oder Systemen stammt, erfordert die Effektivität eine Korrelation dieser Ereignisse über den gesamten Angriffslebenszyklus oder die Kill Chain zurück zu einer Entität. Analysten können dann sehen, was passiert ist und wann. Während ältere Lösungen noch mit dieser Ansicht zu kämpfen haben, wird die KI die Erkennung von Anomalien weiter vorantreiben, um die Zuverlässigkeit der Warnungen zu erhöhen und die Rate der Falschmeldungen zu senken.

Sicherheitsverantwortliche sollten zudem nach KI-gesteuerten Funktionen und Ergebnissen Ausschau halten, die wir bereits besprochen haben – von der prädiktiven Modellierung von Bedrohungen und der automatisierten Reaktion auf Vorfälle bis hin zur Reduzierung von Falschmeldungen und der Integration von Bedrohungsinformationen.

Mit Detection Engineering wird die Sicherheit von reaktiv zu proaktiv

Bei Detection Engineering geht es um Präzision, Automatisierung und Anpassungsfähigkeit bei der Erkennung von bzw. der Reaktion auf Bedrohungen. Angesichts der sich entwickelnden Bedrohungslandschaft sieht Sumo Logic Detection Engineering als einen strukturierten und iterativen Prozess, der es Sicherheitsteams ermöglicht, Erkennungen zu verfeinern, unwichtige Informationen zu reduzieren und das kontextbezogene Bewusstsein zu verbessern.

So geht Sumo Logic an die Sache heran:

1. Logs-first-Ansatz
Detection Engineering beginnt mit einer umfassenden Protokollsammlung von Cloud-Umgebungen, Vor-Ort-Infrastrukturen und SaaS-Anwendungen.

Durch die Normalisierung und Ergänzung von Protokollen können Sicherheitsteams verwertbare Signale aus Rohdaten extrahieren.

2. KI-gesteuerte Analysen und Korrelationen
Sumo Logic wendet maschinelles Lernen an, um Muster, Anomalien und potenzielle Bedrohungen zu erkennen. 

Verhaltensanalysen und UEBA helfen dabei, normale von verdächtigen Aktivitäten zu unterscheiden.

3. Cloud-natives SIEM für agile Regelentwicklung
Die Erstellung benutzerdefinierter Regeln ermöglicht es Teams, Erkennungen zu definieren, die ihren spezifischen Bedrohungsmodellen entsprechen.

Sicherheitsteams können die Erkennungslogik auf der Grundlage realer Angriffsdaten iterieren und verfeinern. 

Die Cloud-native Architektur gewährleistet eine schnelle Regelbereitstellung und -aktualisierung ohne Betriebsaufwand.

4. Unterdrückung nutzloser Informationen mittels Automatisierung
Die Korrelation und Unterdrückung reduzieren Falschmeldungen, sodass hochgradig zuverlässige Warnmeldungen erzeugt werden.

Entity-Centric Detection aggregiert Signale von Benutzern, Endpunkten und Anwendungen für kontextbezogene Erkennungen.

KI-unterstützte Untersuchungen helfen Analysten, Warnmeldungen schneller zu verstehen und darauf zu reagieren.

5. Integration von Bedrohungsdaten
Sumo Logic nimmt mehrere Bedrohungsdaten-Feeds auf und verbessert die Erkennungsabdeckung mit aktuellen IOCs (Indicators of Compromise).

Erkennungen können automatisch mit kontextbezogenen Bedrohungsdaten angereichert werden, um die Reaktionsmaßnahmen zu priorisieren.

Mit diesen Schritten können Unternehmen das Detection Engineering als Zyklus einrichten: Analysten testen und validieren Feeds, wobei sie immer bessere Regeln und Signale entwickeln.

Wie Sumo Logic die aufkommenden Intelligent SecOps unterstützt

Investitionen in Intelligent SecOps ermöglichen es Unternehmen, die Cybersicherheit während des gesamten Entwicklungsprozesses zu berücksichtigen – und nicht erst, wenn eine Bedrohung auftritt. Es verbindet Geschwindigkeit und Agilität mit Sicherheit und reduziert die Engpässe älterer Sicherheitsmodelle.

Das Cloud SIEM von Sumo Logic erleichtert die Zusammenarbeit zwischen diesen drei Teams, indem es eine einheitliche Plattform bietet, die traditionelle Silos aufbricht. Die Plattform bietet Echtzeit-Transparenz über Cloud- und Vor-Ort-Umgebungen hinweg, um sicherzustellen, dass alle Teams auf die gleichen Sicherheitsinformationen zugreifen können.

Sumo Logic fördert die Zusammenarbeit durch:

Integrierte, anpassbare Dashboards. Jedes Team erhält aus denselben Datenquellen unterschiedliche Einblicke, die es benötigt. Die Umfrageteilnehmer unterstrichen die Wichtigkeit dieser Funktionen und betonten den Bedarf an mehr anpassbaren Dashboards und Berichtsfunktionen in ihrem SIEM.

Kontinuierliche Überwachung und Protokollierung. Teams können Sicherheitsereignisse und Protokolle zur Anwendungsleistung innerhalb derselben Plattform überwachen und gemeinsam daran arbeiten, Anwendungen während der Entwicklung und nach der Bereitstellung zu sichern.

Automatisierte Workflows und Playbooks. Sumo Logic ermöglicht die Erstellung automatisierter Arbeitsabläufe, die Sicherheitsprüfungen in die Entwicklungspipeline einbeziehen. Das Ergebnis ist ein Security-by-Design-Ansatz, der DevSecOps dabei unterstützt, Schwachstellen zu beheben, bevor sie in die Produktion gelangen.

Intelligent SecOps ebnet den Weg für einen proaktiven und fortschrittlichen Ansatz für die Sicherheit. Sumo Logic vereint Protokolle, Metriken und Sicherheitsanalysen, um die DevSecOps-Zusammenarbeit zu ermöglichen und moderne, Cloud-native Umgebungen zu sichern.

Steigern Sie den ROI Ihres SIEM vom Status Quo auf exzellent

Nur die Hälfte der Befragten bewertet den ROI ihrer SIEM-Lösung als gut. Sicherheitsteams brauchen Funktionen, mit denen sie besser arbeiten können:

Leistungsstarke Korrelation, die die Flut von Warnmeldungen reduziert und nur echte Vorfälle anzeigt.

Automatisierung, die sich wiederholende Aufgaben eliminiert und Analysten die Freiheit gibt, sich auf sinnvolle Projekte zu konzentrieren.

Mit einem SIEM, das über diese Funktionen verfügt, können Sie Burnout verhindern, Talente bei der Stange halten und das Sicherheitsteam wie Helden aussehen lassen. Beweisen Sie den Wert Ihrer Investition, indem Sie Ihr Team befähigen und Ihr Unternehmen schützen.

Investieren Sie in unsere Cloud-native Plattform und somit in eine Cybersicherheitslösung, die skalierbar und anpassungsfähig ist. Beantragen Sie eine Demo, um zu sehen, wie unsere proaktive Überwachung Ihr Unternehmen schützen kann, wenn Sie es am meisten brauchen.

Methodik

Sumo Logic beauftragte das unabhängige Marktforschungsinstitut UserEvidence mit der Durchführung der Studie „Einblicke in Sicherheitsabläufe 2025“.

Wer waren die Umfrageteilnehmer?

Für die Studie wurden über 500 IT- und Sicherheitsleiter aus Großunternehmen befragt.

Vier von 10 der befragten Unternehmen haben bis zu 1.000 Mitarbeiter, drei von 10 haben zwischen 1.001 und 5.000 Mitarbeiter und drei von 10 haben mehr als 5.000 Mitarbeiter.

Drei Viertel der Befragten kamen aus Unternehmen des IT-Sektors, 7 % aus dem verarbeitenden Gewerbe, 5 % aus dem Finanzdienstleistungssektor und 4 % aus dem Einzelhandel.

Die Befragten waren überwiegend in Führungspositionen im Sicherheitsbereich tätig. Mehr als die Hälfte der Befragten waren IT-Direktoren, Sicherheitsleiter (33 %) oder Informationssicherheitsleiter (21 %). Zu den weiteren Positionen zählten Sicherheitsingenieur (8 %), Sicherheitschef (7 %) und Leitender Sicherheitsarchitekt (4 %).

Auf ihrem Weg zur digitalen Transformation wählte die Hälfte einen hybriden (SaaS) Ansatz (49 %), 24 % waren dabei, eine Cloud-Migration durchzuführen, und 11 % waren mit einer bestehenden Architektur in die Cloud umgezogen.

UserEvidence

UserEvidence ist ein Softwareunternehmen und unabhängiger Forschungspartner, der B2B-Technologieunternehmen dabei hilft, originale Forschungsinhalte von Praktikern aus ihrer Branche zu erstellen. Alle von UserEvidence durchgeführten Untersuchungen sind gemäß den Untersuchungsgrundsätzen von UserEvidence verifiziert und authentisch: Identitätsprüfung, Signifikanz und Repräsentation, Qualität und Unabhängigkeit sowie Transparenz. Alle Untersuchungen von UserEvidence basieren auf echtem Nutzerfeedback, ohne Einmischung, Voreingenommenheit oder Einflussnahme unserer Kunden.

Prinzipien der UserEvidence-Forschung

Diese Grundsätze leiten alle Forschungsbemühungen bei UserEvidence – ob wir nun mit den Nutzern eines Anbieters für unser Angebot „Customer Evidence“ oder mit Branchenexperten in einem bestimmten Bereich für unser Angebot „Research Content“ arbeiten. Das Ziel dieser Prinzipien ist es, den Käufern das Vertrauen zu geben, dass Sie authentische und überprüfte Recherchen sehen, die auf echtem Nutzerfeedback basieren, ohne Einmischung, Voreingenommenheit und Verdrehung durch den Anbieter.

Grundsatz 1 – Identitätsprüfung.
Bei jeder Studie, die wir durchführen, verifiziert UserEvidence unabhängig, dass ein Teilnehmer unserer Forschungsstudie ein echter Nutzer eines Anbieters (im Fall von Customer Evidence) oder ein Branchenexperte (im Fall von Research Content) ist. Wir verwenden verschiedene menschliche und algorithmische Verifizierungsmechanismen, einschließlich der Verifizierung von Unternehmens-E-Mail-Domains (damit ein Anbieter nicht einfach 17 gmail-Adressen anlegen kann, die alle positive Bewertungen abgeben).

Prinzip 2 – Signifikanz und Darstellung
UserEvidence ist der Ansicht, dass Vertrauen durch eine ehrliche und vollständige Darstellung des Erfolgs (oder des Mangels an Erfolg) der Nutzer aufgebaut wird. Wir streben nach statistischer Signifikanz in unserer Forschung und untermauern unsere Ergebnisse mit einer großen und repräsentativen Menge von Nutzerantworten, um mehr Vertrauen in unsere Analyse zu schaffen. Unser Ziel ist es, eine Vielzahl von Nutzern aus verschiedenen Branchen, Altersgruppen und Personengruppen zu erfassen, um ein umfassendes Bild der Nutzung zu vermitteln und es den Käufern zu ermöglichen, relevante Daten von anderen Nutzern in ihrem Segment zu finden und nicht nur eine Handvoll vom Anbieter kuratierter zufriedener Kunden.

Grundsatz 3 – Qualität und Unabhängigkeit
UserEvidence verpflichtet sich, jederzeit qualitativ hochwertige und unabhängige Studien durchzuführen. Dies beginnt bereits am Anfang des Studienverfahrens mit der Gestaltung der Umfrage sowie des Fragebogens, um genaue und aussagekräftige Antworten zu erhalten. Wir sind bestrebt, die Verzerrungen in unserem Studiendesign zu reduzieren, und verwenden nach Möglichkeit große Stichproben von Befragten. UserEvidence wird zwar vom Anbieter für die Durchführung der Untersuchung entschädigt, jedoch ist Vertrauen unser Geschäft und unsere Priorität, daher erlauben wir den Anbietern zu keinem Zeitpunkt, die Ergebnisse zu ändern, zu beeinflussen oder falsch darzustellen (selbst wenn sie ungünstig sind).

Grundsatz 4 – Transparenz
Wir sind der Meinung, dass die Marktforschung nicht in einer Black Box stattfinden sollte. Aus Gründen der Transparenz enthalten alle UserEvidence-Untersuchungen das statistische N (Anzahl der Befragten), und Käufer können die zugrunde liegenden verblindeten (de-identifizierten) Rohdaten und Antworten im Zusammenhang mit jeder Statistik, jedem Diagramm oder jeder Studie einsehen. UserEvidence bietet klare Zitierrichtlinien für Kunden bei der Nutzung von Forschungsergebnissen, einschließlich Richtlinien zur Weitergabe der Forschungsmethodik und der Stichprobengröße.