Globales Investmentunternehmen

Wie sich das SIEM verändert und wonach Sicherheitsverantwortliche suchen

Zu Beginn des Jahres 2025 sehen sich viele Unternehmen, die sich im Eiltempo zu Digital Natives entwickelt haben, nun mit den Konsequenzen konfrontiert, wenn sie die Sicherheit vernachlässigen. Sie stehen drei zusammenlaufenden Druckfaktoren gegenüber: KI-beschleunigte Angriffe, eine ausufernde Cloud-Telemetrie, die die Analysten überfordert, und Budgets, die trotz steigender Erwartungen immer knapper werden. Die Kluft zwischen dem, was Verteidiger sehen müssen, und dem, was viele SIEM-Systeme tatsächlich abbilden, wird immer größer – was zu Alarmmüdigkeit, blinden Flecken und explodierenden Speicherkosten führt. Diese Umfrage konzentriert sich darauf, wie Fachkräfte diese Belastung empfinden und welche Funktionen ihrer Meinung nach diese Lücke schließen werden.

Gleichzeitig verändern Fortschritte im Bereich der KI im Stillen sowohl die Bedrohungslandschaft als auch die Arbeitsweise der Verteidiger. Automatisierte Tools helfen Angreifern heute dabei, überzeugende Phishing-Nachrichten zu erstellen, Cloud-Umgebungen in großem Umfang nach Schwachstellen zu durchsuchen und Techniken schneller anzupassen, als eine manuelle Überwachung mithalten kann. Auf der anderen Seite beginnen Sicherheitsteams damit, sich auf ihre eigenen KI-gestützten Analysen zu verlassen, um stetig wachsende Log-Volumina zu filtern, Routine-Rauschen zu unterdrücken und genau die Signale hervorzuheben, auf die es ankommt. Diese beidseitige Beschleunigung rückt moderne SIEM-Lösungen – solche, die für die Kombination aus umfassender Datenerfassung und eingebetteten, adaptiven Analysen konzipiert sind – unmittelbar in das Zentrum jeder ernsthaften Sicherheitsstrategie.

Traditionelle SIEM-Lösungen wurden nie für die heutige Flut von Telemetriedaten entwickelt. Unternehmen benötigen jetzt eine SIEM-Lösung in der Cloud, die gleichzeitig als Sicherheitsdatenspeicher fungiert, diese Daten mit fortschrittlichen Erkennungsfunktionen ausstattet und jede Warnmeldung mit einem eingebetteten Automatisierungsdienst (SOAR) koppelt, um die Untersuchung zu optimieren und eine schnelle, einheitliche Reaktion auszulösen.

In diesem Bericht werden die Ergebnisse unserer Studie vorgestellt. Sie erfahren, warum und wie Sicherheitsverantwortliche ihre Technologie neu bewerten, welche Komponenten den Erfolg von SIEM-Lösungen ausmachen und welche Innovationen die Sicherheitslandschaft als Nächstes prägen werden.

Warum Käufer sich neuen Lösungen im Bereich SIEM und SOAR zuwenden

34 Prozent der Umfrageteilnehmer geben an, dass ihre oberste Sicherheitspriorität für das kommende Jahr darin besteht, die Bedrohungserkennung und -reaktion zu verbessern.

Diese Dringlichkeit erklärt, warum SIEM und SOAR heute als eine kombinierte Notwendigkeit fungieren: SIEM liefert die Transparenz und Analysetiefe, um Probleme zu erkennen, während SOAR die Playbooks steuert, die diese Erkenntnisse in konsistente, schnelle Maßnahmen umsetzen. Teams betrachten die beiden zunehmend als untrennbar; was einst eine zusätzliche Plattform-Erweiterung war, wird nun zur Kernfunktionalität. Tatsächlich bewerten 84 % der Befragten ein im SIEM integriertes SOAR als wichtig oder extrem wichtig, um die Reaktion auf zukünftige komplexe Bedrohungen zu automatisieren.

Doch selbst ein starkes Vertrauen garantiert keine Kundenbindung. Von den Führungskräften, die „sehr zuversichtlich“ sind, dass sich ihr derzeitiges SIEM in den nächsten drei bis fünf Jahren anpassen kann, prüfen 75 % immer noch alternative Lösungen – ein Beweis dafür, dass die Erfüllung des heutigen Erkennungs- und Reaktionsauftrags nur die Basis und keine Garantie für eine langfristige Loyalität ist.

Lassen Sie uns herausfinden, warum die Verantwortlichen sich anderswo umsehen und wie sie mögliche Lösungen bewerten sollten.

Die vier wichtigsten Gründe für eine Neubewertung des SIEM-Pakets

Welche Faktoren spielen die größte Rolle bei der Überzeugung von Sicherheitsverantwortlichen, eine alternative Lösung in Betracht zu ziehen? Die Befragten nennen vier Schlüsselbereiche, die ihr Vertrauen in die Zukunft ihrer SIEM-Lösung am meisten beeinflussen.

1. Künstliche Intelligenz

Sieben von zehn Sicherheitsverantwortlichen geben an, dass KI ihr Vertrauen in ihre aktuelle SIEM-Lösung beeinflusst – mit einem Vorsprung von 30 % die häufigste Antwort. Folgerichtig geben 90 % der Unternehmen, die einen Wechsel ihres SIEM-Systems in Betracht ziehen, an, dass KI für ihre Entscheidung zum Kauf einer neuen Sicherheitslösung – ob SIEM oder eine Alternative – extrem oder sehr wichtig ist.

Die KI bietet ein enormes Potenzial zur Unterstützung und Optimierung der Sicherheit – von intelligenteren Warnmeldungen bis hin zu automatisierten Reaktionen.

Mehr als 70 % der Befragten haben mit Ermüdungserscheinungen und Fehlalarmen zu kämpfen – und viele Teilnehmer gaben an, täglich mehr als 10.000 Warnmeldungen zu erhalten. Natürlich ist die Lärmreduzierung für die Befragten ein Bereich mit hoher Priorität. Umso dringlicher ist es, die KI für eine genauere Benachrichtigung im Falle eines Fehlers und effizientere Reaktion einzusetzen.

2. Cloud-nativ

Der zweithäufigste Faktor, der das Vertrauen der Sicherheitsverantwortlichen in ihre SIEM-Lösung einschränkt, sind mangelnde Cloud-native-Fähigkeiten (38 %). Die Befragten bevorzugen Cloud-native Plattformen unter anderem aufgrund ihrer Skalierbarkeit und der einfachen Bereitstellung. Diese Vorteile stechen besonders im Vergleich zu traditionellen Sicherheitsoptionen wie XDR oder eigenständigem SOAR hervor, die oft spezialisierter oder in ihrem Umfang begrenzter sein können.

Die wichtigsten Vorteile einer Cloud-nativen Lösung sind:

• Elastizität und Skalierbarkeit. Diese Plattformen können je nach Bedarf des Unternehmens nahtlos nach oben oder unten skaliert werden, um große Datenmengen aus verschiedenen Quellen ohne Leistungseinbußen zu verarbeiten. Diese Flexibilität wird die Einführung von mehr Cloud-basierten und verteilten Architekturen fördern.
• Echtzeit-Analysen und Aktualisierungen. Cloud-native SIEM-Lösungen helfen Unternehmen, den sich entwickelnden Bedrohungen einen Schritt voraus zu sein, indem sie Sicherheitsanalysen und –aktualisierungen in Echtzeit bereitstellen, ohne dass manuelle Patches oder Upgrades erforderlich sind.
• Einheitliche Ansicht. Cloud-native Plattformen bieten einen ganzheitlichen Überblick über die Sicherheitslandschaft, indem sie Daten aus verschiedenen Cloud-Umgebungen, der lokalen Infrastruktur und von Remote-Benutzern an einem Ort zusammenführen.
• Nahtlose Integration und Automatisierung. Eine Cloud-native SIEM-Plattform wie Sumo Logic kann in verschiedene Cloud-Dienste und -Plattformen integriert werden, sodass Unternehmen ihre Sicherheitsabläufe vereinheitlichen und Reaktionen automatisieren können, und zwar innerhalb einer einzigen Plattform.

Die Forschung bestätigt diese Vorteile: Fast vier von 10 Sicherheitsverantwortlichen würden einen Wechsel ihrer Lösung in Erwägung ziehen, da die Flexibilität und die umfassende Abdeckung durch Cloud-native SIEMs dies ermöglichen. Von denjenigen, die einen Wechsel ihrer Lösung in Betracht ziehen, gibt die Mehrheit an, dass sie Cloud-native Plattformen evaluieren.

3. Das Innovationstempo

Eine wachsende Zahl von Sicherheitsverantwortlichen – mehr als ein Drittel in dieser Studie – gibt an, dass das halsbrecherische Tempo der sicherheitstechnischen Innovationen bereits ihr Vertrauen in die SIEMs, die sie heute einsetzen, untergräbt. Die KI verändert nun jedes Quartal die Angriffstechniken, Compliance-Regeln werden fast genauso schnell verschärft und Cloud-Dienste erzeugen wöchentlich neue Protokollquellen. Ein SIEM, das nicht in der Lage ist, neue Analysen und automatisierte Playbooks in diesem Rhythmus zu übernehmen, wird schnell vom Aktivposten zur Belastung.

Sie heben drei Beschleuniger hinter der Kluft hervor: KI-gestützte Erkennungsmethoden, die sich schneller entwickeln als statische Regelsätze, Automatisierungsrahmenwerke, die die Erwartungen an eine nahezu sofortige Eindämmung erhöhen, und kontinuierlich aktualisierte Cloud-Pakete, die neue Integrationen in kürzester Zeit erfordern. Wenn ein Anbieter nicht in der Lage ist, aktualisierte Verhaltensmodelle, Erkennungsinhalte und API-Hooks im Gleichschritt mit diesen Änderungen zu veröffentlichen, müssen die Verteidiger mit der Sichtweise von gestern auf die Bedrohungen von heute reagieren – ein untragbares Risiko für jedes moderne SOC.

4. Die Rolle der Anbieterabhängigkeit bei der Erwägung von Lösungen

Flexibilität – nicht die bloße Anhäufung von Funktionen – ist die Währung moderner Sicherheit. Fast 95 % der Teams, die ein neues SIEM in Betracht ziehen, nennen den ‚Vendor Lock-in‘ als Hauptgrund für die Neubewertung ihres Technologie-Stacks. Wenn eine einzige ‚Mega-Suite‘ die Datenaufnahme, die Analyse, die Automatisierung und die Preisgestaltung kontrolliert, verlieren Sie den Spielraum, um auf sich ändernde Bedrohungen, Budgets und Architekturen zu reagieren. Ein späterer Wechsel wird komplex und kostspielig – besonders dann, wenn eigene Inhalte, Datenschemata und Workflows bereits tief mit proprietären Werkzeugen verstrickt sind. 

Das Risiko geht über wirtschaftliche Aspekte hinaus. Anbieter von Pauschallösungen neigen dazu, eher auf Kundenbindung als auf schnelle Innovation zu optimieren; sie liefern schrittweise Updates, während sich spezialisierte Angreifer täglich weiterentwickeln. Punktlösungen, die auf offene Standards setzen – wie OpenTelemetry für die Erfassung von Logs, Metriken und Traces –, ermöglichen es Ihnen, Schritt zu halten, indem Sie neue Datentypen oder Erkennungsmethoden integrieren, ohne den gesamten Technologie-Stack neu verkabeln zu müssen.

SIEM ist nicht der Ort für Kompromisse. Sicherheitsverantwortliche, die es als Best-of-Breed-Investition behandeln, sichern sich drei dauerhafte Vorteile:

• Verhandlungsstärke – man kann jede Schicht ersetzen oder erweitern, ohne den Kern herauszureißen.
• Kontinuierliche Innovation – spezialisierte Anbieter leben oder sterben davon, dass ihre Erkennungs- und Reaktionstechnologien den Angreifern immer einen Schritt voraus sind.
• Operative Anpassung – Teams passen ihre Arbeitsabläufe an ihre Umgebung an, anstatt sich an starre Plattformvorgaben zu halten.

Kurz gesagt: Verzichten Sie auf ‚gut genug‘-Plattformen, die kurzfristige Bequemlichkeit gegen langfristige Einschränkungen eintauschen. Wählen Sie ein SIEM, das offen bleibt, mit Ihnen skaliert und Ihrem Team – und nicht Ihrem Anbieter – das letzte Wort darüber lässt, wie sich Ihre Sicherheit entwickelt.

Alles in allem beschreiben diese Anforderungen die nächste Phase moderner SecOps:

Die Daten werden nicht nur gesammelt, sondern intelligent miteinander verbunden, um schnellere Erkenntnisse, fundiertere Entscheidungen und ein proaktives Sicherheitsmanagement zu ermöglichen.

Die Suche nach dem richtigen SIEM

Während Sicherheitsverantwortliche ihre aktuellen Tools mit der Konkurrenz vergleichen, zeigt sich: SIEM ist lebendiger denn je. Unternehmen müssen lediglich das richtige SIEM wählen – auch und gerade dann, wenn sie ihre aktuelle Lösung schon lange im Einsatz haben. Fast drei Viertel (72 %) der Befragten, die eine Alternative in Betracht ziehen, nutzen ihre derzeitige Lösung bereits seit drei Jahren oder länger.

Bevor Unternehmen erhebliche Budgets und Zeit in eine neue SIEM-Lösung investieren, müssen sie einen gründlichen Bewertungsprozess durchlaufen, um sicherzustellen, dass die nächste Lösung ihren Anforderungen entspricht. Nutzen Sie diese fünfstufige Checkliste als Leitfaden für Ihren Prozess:

1. Datenerfassung: Erfassen Sie die richtigen Protokolle?

Die Herausforderung bei der Erfassung von Protokollen besteht darin, verschiedene unterschiedliche Datenquellen korrekt und effizient zusammenzufassen. Aus diesem Grund beziehen die meisten Neueinsteiger in den SIEM-Markt den Großteil ihrer Daten von ihren eigenen – und zwar ausschließlich eigenen – Endpunktlösungen. Dabei entgeht ihnen das Gesamtbild.

Cloud-native SaaS-Lösungen bieten Skalierbarkeit und Geschwindigkeit, die bei der SIEM-Protokollerfassung oberste Priorität haben sollten. Achten Sie auf Funktionen wie umfassende Quellenintegration, Dateneingabe in Echtzeit sowie Protokollspeicherung und Datenaufbewahrung.

2. Datenumwandlung: Wie werden die Daten in Ihrem SIEM umgewandelt? 

Nach der Erfassung wandelt das SIEM die Daten in ein brauchbares Format für die Analyse und die nächsten Schritte um. Die Datenumwandlung umfasst Normalisierungs-, Anreicherungs- und Korrelationsprozesse. Berücksichtigen Sie bei der Bewertung Ihres SIEM Faktoren wie die Effektivität der Normalisierung, Leistung und Skalierbarkeit, kontextbezogene Datenintegration, Genauigkeit und Relevanz sowie Auswirkungen auf Erkennung und Reaktion.

3. Erweiterte Analytik: Bietet Ihr SIEM erweiterte Analysefunktionen?

Eine Lösung ist nur so gut wie die Fähigkeit, so viele Daten wie möglich zu durchsuchen. Viele Lösungen begrenzen die Datenmenge auf 30 Tage – während die Verweildauer eines Angriffs dreimal so lang sein kann.

Moderne fortschrittliche Analysefunktionen in einer SIEM-Lösung nutzen maschinelles Lernen (ML), um große Datenmengen zu analysieren und Muster zu erkennen, die traditionellen Methoden möglicherweise entgehen. Mit der Zeit verbessern diese Modelle die Erkennung von Bedrohungen, indem sie sich an neue Bedrohungsmuster anpassen.

Eine starke UEBA-Lösung erstellt kontinuierlich ein Baseline-Protokoll für jeden Benutzer, jedes Asset und jeden Service, wendet unüberwachtes maschinelles Lernen mit Peer-Grouping an, um echte Anomalien aufzudecken, fügt kontextreiche, erklärbare Risikobewertungen hinzu und leitet die Ergebnisse direkt in automatisierte Playbooks für On-Premise-, Cloud- und SaaS-Umgebungen ein. Die Lösung sollte Protokolle in einem universellen Schema für Echtzeit-Streaming-Analysen normalisieren, zusammenhängende Anomalien zu einer einzigen Erkenntnis zusammenführen, die MITRE ATT&CK zugeordnet ist, offene APIs und das Testen von Regeln in einer Sandbox unterstützen und KI-gestützte Untersuchungen anbieten, die die Modelle frisch und das Rauschen gering halten, damit sich Analysten auf die wirklich wichtigen Bedrohungen konzentrieren können.

4. Nachforschungen: Bietet Ihr SIEM eine effektive Untersuchung?

Nachdem eine Bedrohung erkannt wurde, sollte Ihr SIEM sofort in den Untersuchungsmodus wechseln und jeden Alarm mit Echtzeit-Bedrohungsinformationen anreichern. Integrierte Feeds (über STIX/TAXII oder Anbieter-APIs) ermöglichen es der Plattform, neue IOCs und MITRE ATT&CK TTPs mit internen Telemetriedaten zu korrelieren, so dass Analysten sehen können, wo ein Ereignis in die globale Angriffslandschaft passt und warum es wichtig ist. Diese Fähigkeit wird von den Anwendern inzwischen als unverzichtbar angesehen: 85 % der Befragten stufen die sofortige Integration von Bedrohungsdaten in ihr SIEM als „extrem“ oder „sehr“ wichtig ein, um zukünftigen Bedrohungen einen Schritt voraus zu sein.

Mit dieser Anreicherung erweitern sich die Best-Practice-Untersuchungskriterien um folgende Punkte: Lokalisierung des Ausgangspunkts der Kompromittierung, Überlagerung von kontextbezogenen Informationen und Vertrauenswerten, Priorisierung von Warnmeldungen, Auslösung einer SOAR-gesteuerten automatischen Triage und aggressive Reduzierung von Fehlalarmen – und zwar bei gleichzeitiger Bereitstellung von Details auf TTP-Ebene, die die Jäger für eine tiefere Suche in der gesamten Umgebung benötigen.

5. Erleichterung der Reaktion

Bewerten Sie SIEM-Reaktionsfunktionen wie anpassbare Dashboards, rollenbasierte Zugriffskontrollen, automatisierte Berichterstellung, Verfolgung der Einhaltung von Vorschriften, Workflows für die Reaktion auf Vorfälle, Automatisierung und Orchestrierung (SOAR) von sich wiederholenden Aufgaben und Überprüfungen nach Vorfällen.

Die wichtigsten Prioritäten der Cybersicherheit

(nächste 12 Monate)

34 %

Verbesserung der Bedrohungserkennung und Reaktion

19 %

Modernisierung der Infrastruktur

18 %

Erreichen der Compliance

17 %

Ausdehnung der Sicherheit auf neue Technologien

12 %

Optimierung der Kosten bei gleichzeitiger Wahrung der Sicherheit

Die Beschleunigung der Digitalisierung und die Zukunft des SIEM

Wie wir gesehen haben, ziehen die meisten Sicherheitsverantwortlichen in Unternehmen neue SIEM-Lösungen in Betracht bzw. sie sind aktiv auf der Suche, und die digitale Transformation treibt diesen Übergang voran. Als Nächstes wollen wir uns ansehen, wie sich das SIEM verändert und was Unternehmen brauchen, um in Zukunft erfolgreich zu sein.

Vielfältige Datentelemetrie für das moderne Sicherheitsbetriebszentrum

Der Empfang von Bedrohungs- und Sicherheitsdaten aus verschiedenen Umgebungen ist ein wichtiger Bestandteil der digitalen Transformation. Daher überrascht es nicht, dass 90 % der Befragten angeben, dass die Unterstützung von Datenquellen aus Multi-Cloud- und Hybrid-Cloud-Umgebungen für ihr SIEM im Rahmen der digitalen Transformation extrem oder sehr wichtig ist.

Diese Flexibilität ist ein grundlegendes Merkmal der modernen, intelligenten Sicherheitsabläufe. Unternehmen können dem wachsenden Bedarf an der Erfassung und Verwaltung von Telemetriedaten aus verschiedenen Quellen auf zwei Arten begegnen:

Nutzung offener Standards für die Datenerfassung
Unternehmen sollten SIEM-Lösungen den Vorzug geben, die mit modernen, offenen Standards für die Datenerfassung kompatibel sind, wie z. B. Open Telemetry (OTel). OTel hat sich zum neuen De-facto-Standard für herstellerunabhängige Agenten entwickelt, die Logs, Metriken und Traces in einer Vielzahl von Umgebungen erfassen können. Dieser Standard vereinfacht die Integration von Daten aus verschiedenen Cloud-Plattformen und bietet die Flexibilität, Daten je nach Bedarf umzuwandeln und an verschiedene Ziele weiterzuleiten.

Künftig werden proprietäre Erfassungsmechanismen nur schwer mit den Anforderungen moderner, Cloud-basierter Infrastrukturen Schritt halten können. Offene Standards ermöglichen es Unternehmen, ihre Telemetrieerfassung von bestimmten Anbietern zu entkoppeln und anpassungsfähig sowie skalierbar zu bleiben, wenn sich ihre Infrastruktur weiterentwickelt.

Zukunftssichere Sicherheitsabläufe durch Datennormalisierung
SIEM-Lösungen, die sich durch Daten-Parsing, Normalisierung und das Mapping auf ein gemeinsames Schema oder Datenmodell auszeichnen, unterstützen die Anforderungen von Unternehmen an die Telemetrie aus unterschiedlichsten Quellen. Das Schreiben von Erkennungsregeln direkt auf Basis von Rohdatenlogs, wie sie von verschiedenen Sicherheitstools eingehen, ist fehleranfällig und wartungsintensiv. Der Austausch einer Sicherheitslösung gegen eine andere erfordert das Umschreiben der Regeln im Logformat des neuen Herstellers, was zu betrieblichen Engpässen führt. Zudem machen nuancierte, herstellerspezifische Logformate komplexe Korrelationen schwierig.

Wenn Unternehmen Daten in ein konsistentes Schema normalisieren, können sie Erkennungsregeln unabhängig von Änderungen an den zugrunde liegenden Sicherheitstools oder Cloud-Anbietern beibehalten und optimieren. Dieser Ansatz gewährleistet zudem eine robuste Korrelation über unterschiedliche Datenquellen hinweg, da das SIEM normalisierte Daten konsistent verarbeiten kann – ungeachtet des spezifischen Logformats des jeweiligen Herstellers. Unternehmen sollten SaaS-basierte SIEM-Plattformen wählen, die eine integrierte Unterstützung für diese Aufgaben bieten, um die internen Sicherheitsteams zu entlasten und bei sich entwickelnden Datenformaten sowie neuen Sicherheitsherausforderungen stets auf dem aktuellen Stand zu bleiben.

Die Befragten nannten Schulungs- und Qualifikationsdefizite als Hindernis für die volle Nutzung der fortschrittlichen SIEM-Funktionen.

Skalierbarkeit für wachsende Sicherheitsanforderungen

Mit dem Wachstum und der Transformation von Unternehmen entwickeln sich auch deren Anforderungen an Daten und Sicherheit weiter. Unsere Untersuchung hat erwartungsgemäß ergeben, dass größere Unternehmen häufiger über Probleme mit der Skalierbarkeit berichten. Im Vergleich zu anderen SIEM-Funktionen äußern die Befragten zudem eine allgemeine Unzufriedenheit mit der SIEM-Skalierbarkeit insgesamt. Diese Ergebnisse spiegeln den Bedarf an flexiblen Funktionen zur Datenverarbeitung wider und verdeutlichen, wie wichtig Skalierbarkeit ist, um die nächste SIEM-Generation einzuläuten. Da die Datenmengen kontinuierlich weiterwachsen, wird die Bedeutung der Skalierbarkeit auch in Zukunft immer weiter zunehmen.

Die Befragten geben eine hohe Zufriedenheit mit der Protokollaufnahme und der Suchgeschwindigkeit an, und eine geringe Zufriedenheit mit der Integration und Skalierbarkeit.

Skalierbarkeit ist das Herzstück der Cloud-nativen Plattform von Sumo Logic. Wenn Unternehmen wachsen, skaliert die elastische Architektur nahtlos, um wachsende Protokolldaten, Sicherheitsereignisse und Analysen aufzunehmen, ohne die Leistung zu beeinträchtigen. Die Fähigkeit zur automatischen Skalierung stellt sicher, dass Kunden unabhängig vom Datenvolumen eine konsistente und zuverlässige Leistung erhalten.

Diese Flexibilität ist mit dem Pay-as-you-grow-Modell von Sumo Logic auch zu überschaubaren Kosten möglich. Wenn die Daten skalieren und die Anforderungen schwanken, zahlen Unternehmen nur für die Kapazität, die sie benötigen.

Erweiterte Analysen

Erweiterte Analysen sind ein wesentliches Merkmal für die proaktive Erkennung von Bedrohungen in modernen SIEM-Lösungen. Drei Viertel der Befragten gaben an, dass UEBA in ihrem SIEM für die proaktive Erkennung zukünftiger Sicherheitsanomalien extrem oder sehr wichtig sei. Dieser Trend gilt für alle Branchen und Unternehmensgrößen.

Sumo Logic setzt UEBA als entscheidende Schicht ein. Die Plattform überwacht und analysiert kontinuierlich das Verhalten von Benutzern, Geräten und Anwendungen innerhalb der Umgebung. Sumo Logic UEBA kann dann subtile Abweichungen vom normalen Verhalten erkennen, die auf potenzielle Sicherheitsbedrohungen hinweisen könnten, einschließlich Insider-Angriffe, kompromittierte Konten oder fortgeschrittene anhaltende Bedrohungen (APTs).

ML-Algorithmen helfen dabei, normale Benutzeraktivitäten zu analysieren und ungewöhnliche Muster zu erkennen, wie z. B. den Zugriff auf sensible Dateien zu ungewöhnlichen Zeiten oder Versuche, Sicherheitsprotokolle zu umgehen. Sumo Logic-Kunden werden frühzeitig vor Anomalien gewarnt, die andernfalls von signatur- oder regelbasierten Erkennungsmethoden übersehen würden, bevor sie sich zu ernsthaften Verstößen auswachsen.

Dies ist die Zukunft des SIEM, und diese Fähigkeiten ermöglichen es Unternehmen, bei ihrer Sicherheitsstrategie zuversichtlich voranzuschreiten.

Aufkommende technologische Innovationen und Investitionen in das SIEM

Die Sicherheitslandschaft verändert sich zum Guten und zum Schlechten – die Cyber-Bedrohungen werden immer raffinierter, und die Technologie, um auf diese Bedrohungen zu reagieren, entwickelt sich ebenfalls weiter. Im Folgenden erfahren Sie, wie zwei wichtige Innovationen und Ansätze für SIEM die Richtung von Unternehmensinvestitionen verändern – und wie Sumo Logic beides ermöglicht.

Wie KI und Automatisierung die SIEM-Investitionen beeinflussen

Unternehmen, die aktiv nach ihrem nächsten SIEM suchen, sind wahrscheinlich Vorreiter, was die künstliche Intelligenz im Bereich der Sicherheit anbetrifft.

Die Alarmmüdigkeit treibt Käufer zunehmend zu Plattformen, die wie KI-Co-Analysten agieren und nicht nur als reine Log-Sammler fungieren. Das deutlichste Signal der Umfrage ist eindeutig: Die Befragten geben an, dass eine integrierte Automatisierungsebene (SOAR) innerhalb des SIEM unerlässlich ist, um zukünftigen, komplexeren Bedrohungen zu begegnen. Mit ihren eigenen Worten ausgedrückt: Sie wünschen sich ein System, das Ereignisse in Echtzeit korreliert, deren Relevanz erklärt und automatisch erste Abhilfemaßnahmen einleitet – damit menschliche Analysten jede Untersuchung bereits mit einem Vorsprung von mehreren Schritten beginnen.

Aufstrebende Technologien – insbesondere LLMs und KI – spielen in SIEMs der nächsten Generation eine ergänzende Rolle, anstatt sie vollständig zu ersetzen. LLMs können Textdaten in einem noch nie dagewesenen Umfang analysieren, so dass KI-gestützte SIEMs große Mengen an Sicherheitsdaten effizient verarbeiten und Bedrohungen mit größerer Genauigkeit erkennen können.

Das Ergebnis?
Eine ausgefeiltere Erkennung von Bedrohungen, Mustern und Anomalien, ohne die Sicherheitsteams zu überfordern. Da die Befragten angaben, dass die Genauigkeit bei der Erkennung von Bedrohungen und das Erreichen von Reaktionsmöglichkeiten in Echtzeit für sie oberste Priorität haben, könnte dieser Fortschritt nicht aktueller sein.

KI-gestützter SIEM-Fortschritt

Stufe 1: Betriebliche Automatisierung (heutige Ausgangssituation)

Die meisten ausgereiften SOCs haben bereits große Teile der Erkennung und Reaktion automatisiert – von der Log-Normalisierung, Korrelation und Anreicherung bis hin zur Ticket-Erstellung und sogar grundlegenden Eindämmungsmaßnahmen wie dem Deaktivieren von Konten oder dem Quarantänisieren von Hosts. Das Business-Case ist eindeutig: Den Lärm durch Fehlalarme drastisch reduzieren, eine mittlere Reaktionszeit (MTTR) von Minuten statt Stunden erreichen und Analysten von repetitiven Routineaufgaben befreien. Die Budgets fließen im Jahr 2025 verstärkt in Technologien, die regelbasierte Logik mit leichtgewichtigen Machine-Learning-Modellen kombinieren, um doppelte Warnmeldungen zu unterdrücken, Ereignisse dem MITRE ATT&CK-Framework zuzuordnen und Playbooks über einen eingebetteten Automatisierungsdienst (SOAR) auszulösen. Teams auf dieser Reifestufe konzentrieren sich darauf, das Alarmvolumen zu senken, die Bearbeitungszeit pro Vorfall zu verkürzen und mehr Vorfälle ohne Eskalation abzuschließen.

Stufe 2: Analysten-unterstützende KI (kurzfristiger Vorteil)
Der nächste große Sprung ersetzt statische Playbooks durch tiefgreifende KI, die Untersuchungen in Echtzeit leitet. Die Zusammenfassung in natürlicher Sprache, unüberwachte Anomalieerkennung, Peer-Group-Analysen und kontextuelle Risikobewertung verschmelzen miteinander, um Analysten eine schlüssige Erzählung des Vorfalls („Warum das wichtig ist“) anstelle eines rohen Ereignisstroms zu liefern. Diese Modelle führen automatisch Pivots über Logs und Threat-Intelligence-Feeds hinweg durch, wobei sie den Fortschritt der Kill-Chain hervorheben und die jeweils nächste optimale Abfrage vorschlagen. Durch die Übersetzung komplexer Muster in einfache Sprache und das Angebot von One-Click-Hunts entlastet die KI die kognitive Kapazität, beschleunigt das Triage-Verfahren und befähigt Tier-1-Analysten effektiv dazu, Fälle zu bearbeiten, die früher Senior-Expertise erforderten. Unternehmen auf dieser Stufe legen Wert auf kürzere Verweildauern bei Untersuchungen, höhere Produktivität der Analysten und eine präzisere Vorfallgenauigkeit bei sinkenden Fehlalarmraten.

Stufe 3: Auf das Unternehmen abgestimmte Intelligenz (strategisches Unterscheidungsmerkmal)
Der endgültige Reifegrad ist erreicht, wenn Sicherheitsteams domänenspezifische Sprach- und Verhaltensmodelle mit ihrer eigenen Telemetrie, Geschäftslogik und historischen Vorfalldaten trainieren. Diese maßgeschneiderten Modelle lernen die einzigartige Angriffsfläche des Unternehmens kennen – einschließlich individueller SaaS-Anwendungen, branchenspezifischer Vorschriften und Insider-Risikoprofile. So können sie wahrscheinliche Infiltrationswege prognostizieren, Anomalien im Hinblick auf ihre geschäftlichen Auswirkungen bewerten und Gegenmaßnahmen empfehlen, die auf interne Arbeitsabläufe abgestimmt sind.Durch kontinuierliches Fine-Tuning mit frischen Daten schließt sich der Rückkopplungskreis: Verbleibende Grenzfälle werden automatisiert, subtile Seitwärtsbewegungen aufgedeckt und vollständig angepasste Reaktionssequenzen orchestriert. Auf diesem Niveau liegt der Gewinn in der proaktiven Risikoreduzierung – neuartige Angriffstechniken werden blockiert, bevor ein Schaden entsteht, was den Verteidigern einen dauerhaften, durch fundiertes Angreiferwissen gestützten Sicherheitsvorteil verschafft.

Wie Sumo Logic hilft – und worin Sie investieren sollten
Acht von 10 Befragten stimmen zu, dass aktuelle SIEM-Lösungen KI-gesteuerte Analysen effektiv nutzen, um zukünftige Bedrohungen zu antizipieren und zu entschärfen. Dennoch gibt es noch erhebliches Potenzial für weiteres Wachstum. 

Auf welche KI-gestützten Analysen sollten Unternehmen besonders achten? Zu Beginn sollten sie nach entitätszentrierten Erkennungen Ausschau halten. Unabhängig davon, ob ein relevantes Ereignis von Benutzerkonten, nicht-menschlichen Servicekonten oder Systemen ausgeht – Effektivität erfordert die Korrelation dieser Ereignisse über den gesamten Angriffslebenszyklus oder die Kill-Chain hinweg zurück zu einer Entität. Analysten können dann genau sehen, was wann passiert ist. Während herkömmliche Lösungen noch immer Schwierigkeiten mit dieser Sichtweise haben, wird KI die Anomalieerkennung weiter vorantreiben, um eine höhere Genauigkeit der Warnmeldungen und niedrigere Fehlalarmraten zu erreichen.

Sicherheitsverantwortliche sollten zudem nach KI-gesteuerten Funktionen und Ergebnissen Ausschau halten, die wir bereits besprochen haben – von der prädiktiven Modellierung von Bedrohungen und der automatisierten Reaktion auf Vorfälle bis hin zur Reduzierung von Falschmeldungen und der Integration von Bedrohungsinformationen.

Mit Detection Engineering wird aus reaktiver Sicherheit proaktive Sicherheit

Bei Detection Engineering geht es um Präzision, Automatisierung und Anpassungsfähigkeit bei der Erkennung von bzw. der Reaktion auf Bedrohungen. Angesichts der sich entwickelnden Bedrohungslandschaft sieht Sumo Logic Detection Engineering als einen strukturierten und iterativen Prozess, der es Sicherheitsteams ermöglicht, Erkennungen zu verfeinern, unwichtige Informationen zu reduzieren und das kontextbezogene Bewusstsein zu verbessern.

So geht Sumo Logic an die Sache heran:

1. Logs-first-Ansatz
Detection Engineering beginnt mit einer umfassenden Protokollsammlung von Cloud-Umgebungen, Vor-Ort-Infrastrukturen und SaaS-Anwendungen.

Durch die Normalisierung und Ergänzung von Protokollen können Sicherheitsteams verwertbare Signale aus Rohdaten extrahieren.

2. KI-gesteuerte Analysen und Korrelationen
Sumo Logic wendet maschinelles Lernen an, um Muster, Anomalien und potenzielle Bedrohungen zu erkennen. 

Verhaltensanalysen und UEBA helfen dabei, normale von verdächtigen Aktivitäten zu unterscheiden.

3. Cloud-natives SIEM für agile Regelentwicklung
Die Erstellung benutzerdefinierter Regeln ermöglicht es Teams, Erkennungen zu definieren, die ihren spezifischen Bedrohungsmodellen entsprechen.

Sicherheitsteams können die Erkennungslogik auf der Grundlage von realen Angriffsdaten iterieren und verfeinern. 

Die Cloud-native Architektur gewährleistet eine schnelle Regelbereitstellung und -aktualisierung ohne Betriebsaufwand.

4. Unterdrückung nutzloser Informationen mittels Automatisierung
Die Korrelation und Unterdrückung reduzieren Falschmeldungen, sodass hochgradig zuverlässige Warnmeldungen erzeugt werden.

Entity-Centric Detection aggregiert Signale von Benutzern, Endpunkten und Anwendungen für kontextbezogene Erkennungen.

KI-unterstützte Untersuchungen helfen Analysten, Warnmeldungen schneller zu verstehen und darauf zu reagieren.

5. Integration von Bedrohungsdaten
Sumo Logic nimmt mehrere Bedrohungsdaten-Feeds auf und verbessert die Erkennungsabdeckung mit aktuellen IOCs (Indicators of Compromise).

Erkennungen können automatisch mit kontextbezogenen Bedrohungsdaten angereichert werden, um die Reaktionsmaßnahmen zu priorisieren.

Mit diesen Schritten können Unternehmen das Detection Engineering als Zyklus einrichten: Analysten testen und validieren Feeds, wobei sie immer bessere Regeln und Signale entwickeln.

Wie Sumo Logic die aufkommenden Intelligent SecOps unterstützt

Investitionen in Intelligent SecOps ermöglichen es Unternehmen, die Cybersicherheit während des gesamten Entwicklungsprozesses zu berücksichtigen – und nicht erst, wenn eine Bedrohung auftritt. Es verbindet Geschwindigkeit und Agilität mit Sicherheit und reduziert die Engpässe älterer Sicherheitsmodelle.

Das Cloud-SIEM von Sumo Logic erleichtert die Zusammenarbeit zwischen diesen drei Teams, indem es eine einheitliche Plattform bietet, die traditionelle Silos aufbricht. Die Plattform bietet Echtzeittransparenz über Cloud- und On-Premise-Umgebungen hinweg, um sicherzustellen, dass alle Teams auf dieselben Sicherheitsinformationen zugreifen können.

Sumo Logic fördert die Zusammenarbeit durch:

Integrierte, anpassbare Dashboards. Jedes Team erhält aus denselben Datenquellen unterschiedliche Einblicke, die es benötigt. Die Umfrageteilnehmer unterstrichen die Wichtigkeit dieser Funktionen und betonten den Bedarf an mehr anpassbaren Dashboards und Berichtsfunktionen in ihrem SIEM.

Kontinuierliche Überwachung und Protokollierung. Teams können Sicherheitsereignisse und Protokolle zur Anwendungsleistung innerhalb derselben Plattform überwachen und gemeinsam daran arbeiten, Anwendungen während der Entwicklung und nach der Bereitstellung zu sichern.

Automatisierte Arbeitsabläufe und Playbooks. Sumo Logic ermöglicht die Erstellung automatisierter Workflows, die Sicherheitsprüfungen in die Entwicklungspipeline einbeziehen. Das Ergebnis ist ein Security-by-Design-Ansatz, der DevSecOps dabei unterstützt, Schwachstellen zu beheben, bevor sie sich auf die Produktion auswirken.

Intelligent SecOps ebnet den Weg für einen proaktiven und fortschrittlichen Ansatz für die Sicherheit. Sumo Logic vereint Protokolle, Metriken und Sicherheitsanalysen, um die DevSecOps-Zusammenarbeit zu ermöglichen und moderne, Cloud-native Umgebungen zu sichern.

Steigern Sie den ROI Ihres SIEM vom Status Quo auf exzellent

Nur die Hälfte der Befragten bewertet den ROI ihrer SIEM-Lösung als gut. Sicherheitsteams brauchen Funktionen, mit denen sie besser arbeiten können:

Leistungsstarke Korrelation, die die Flut von Warnmeldungen reduziert und nur echte Vorfälle anzeigt.

Automatisierung, die sich wiederholende Aufgaben eliminiert und Analysten die Freiheit gibt, sich auf sinnvolle Projekte zu konzentrieren.

Ein SIEM mit diesen Funktionen ermöglicht es Ihnen, Burnout zu verhindern, Talente zu halten und das Sicherheitsteam wie Helden aussehen zu lassen. Beweisen Sie den Wert Ihrer Investition, indem Sie Ihr Team befähigen und Ihr Unternehmen schützen.

Investieren Sie in unsere Cloud-native Plattform und somit in eine Cybersicherheitslösung, die skalierbar und anpassungsfähig ist. Fordern Sie eine Demo an, um zu sehen, wie unsere proaktive Überwachung Ihr Unternehmen schützen kann, wenn Sie es am meisten brauchen.

Methodik

Sumo Logic beauftragte das unabhängige Marktforschungsinstitut UserEvidence mit der Durchführung der Studie 2025 Security Operations Insights Survey.

Wer waren die Umfrageteilnehmer?

Für die Studie wurden über 500 IT- und Sicherheitsverantwortliche aus Großunternehmen befragt.

Vier von 10 der befragten Unternehmen haben bis zu 1.000 Mitarbeiter, drei von 10 haben zwischen 1.001 und 5.000 Mitarbeiter und drei von 10 haben mehr als 5.000 Mitarbeiter.

Drei Viertel der Befragten kamen aus Unternehmen des IT-Sektors, 7 % aus dem verarbeitenden Gewerbe, 5 % aus dem Finanzdienstleistungssektor und 4 % aus dem Einzelhandel.

Die Befragten waren überwiegend in Führungspositionen im Sicherheitsbereich tätig. Mehr als die Hälfte der Befragten waren IT-Direktoren, Sicherheitsleiter (33 %) oder Informationssicherheitsleiter (21 %). Zu den weiteren Positionen zählten Sicherheitsingenieur (8 %), Sicherheitschef (7 %) und Leitender Sicherheitsarchitekt (4 %).

Auf ihrem Weg zur digitalen Transformation wählte die Hälfte einen hybriden (SaaS) Ansatz (49 %), 24 % waren dabei, eine Cloud-Migration durchzuführen, und 11 % waren mit einer bestehenden Architektur in die Cloud umgezogen.

UserEvidence

UserEvidence ist ein Softwareunternehmen und unabhängiger Forschungspartner, der B2B-Technologieunternehmen dabei unterstützt, originäre Research-Inhalte von Experten aus deren jeweiliger Branche zu erstellen. Alle von UserEvidence durchgeführten Untersuchungen sind verifiziert und authentisch gemäß deren Forschungsgrundsätzen: Identitätsprüfung, Signifikanz und Repräsentativität, Qualität und Unabhängigkeit sowie Transparenz. Sämtliche Studien von UserEvidence basieren auf echtem Nutzer-Feedback – ohne Einflussnahme, Voreingenommenheit oder Beschönigung durch unsere Kunden.

Prinzipien der UserEvidence-Forschung

Hier ist die Übersetzung für den abschließenden Teil der UserEvidence-Beschreibung:„Diese Grundsätze leiten alle Forschungsaktivitäten bei UserEvidence – unabhängig davon, ob wir im Rahmen unseres ‚Customer Evidence‘-Angebots mit den Anwendern eines Herstellers zusammenarbeiten oder mit Branchenexperten in einem spezifischen Fachgebiet für unser ‚Research Content‘-Angebot. Das Ziel dieser Prinzipien ist es, Käufern das Vertrauen und die Gewissheit zu geben, dass sie authentische und verifizierte Forschungsergebnisse sehen, die auf echtem Nutzerfeedback basieren – ohne Einflussnahme, Voreingenommenheit oder Beschönigung durch den Hersteller.

Grundsatz 1 – Identitätsprüfung.
Bei jeder von uns durchgeführten Studie verifiziert UserEvidence unabhängig, dass ein Studienteilnehmer entweder ein tatsächlicher Nutzer eines Herstellers (im Fall von Customer Evidence) oder ein Branchenexperte (im Fall von Research Content) ist. Wir nutzen eine Vielzahl menschlicher und algorithmischer Verifizierungsmechanismen, einschließlich der Überprüfung von geschäftlichen E-Mail-Domains (damit ein Hersteller beispielsweise nicht einfach 17 Gmail-Adressen erstellen kann, die alle positive Bewertungen abgeben).

Prinzip 2 – Signifikanz und Darstellung
UserEvidence ist überzeugt, dass Vertrauen dadurch entsteht, dass ein ehrliches und vollständiges Bild des Erfolgs (oder Misserfolgs) von Anwendern gezeichnet wird. Wir streben in unserer Forschung nach statistischer Signifikanz und untermauern unsere Ergebnisse mit einer großen und repräsentativen Menge an Nutzerantworten, um eine höhere Verlässlichkeit unserer Analysen zu gewährleisten. Unser Ziel ist es, ein breites Spektrum an Anwendern über verschiedene Branchen, Hierarchiestufen und Personas hinweg zu befragen. So vermitteln wir ein Gesamtbild der Nutzung und ermöglichen es Käufern, relevante Daten von anderen Nutzern aus ihrem eigenen Segment zu finden – anstatt nur eine Handvoll vom Hersteller handverlesener, zufriedener Kunden zu sehen.

Grundsatz 3 – Qualität und Unabhängigkeit
UserEvidence verpflichtet sich dazu, jederzeit qualitativ hochwertige und unabhängige Forschung zu betreiben. Dies beginnt bereits am Anfang des Forschungsprozesses mit dem Design von Umfragen und Fragebögen, um präzise und fundierte Antworten zu generieren. Unser Ziel ist es, Voreingenommenheit (Bias) im Studiendesign zu minimieren und, wo immer möglich, große Stichproben an Befragten zu nutzen. Obwohl UserEvidence vom Hersteller für die Durchführung der Forschung vergütet wird, ist Vertrauen unser Kerngeschäft und unsere Priorität. Wir gestatten es Herstellern zu keinem Zeitpunkt, die Ergebnisse zu verändern, zu beeinflussen oder falsch darzustellen – selbst wenn diese unvorteilhaft ausfallen.

Grundsatz 4 – Transparenz
Wir sind der Überzeugung, dass Forschung nicht in einer ‚Blackbox‘ stattfinden sollte. Aus Gründen der Transparenz weist jede UserEvidence-Studie das statistische N (die Anzahl der Befragten) aus. Zudem haben Käufer die Möglichkeit, die zugrunde liegenden anonymisierten (de-identifizierten) Rohdaten und Antworten einzusehen, die mit einer Statistik, einem Diagramm oder einer Studie verknüpft sind. UserEvidence stellt Kunden klare Zitierrichtlinien für die Nutzung der Forschungsergebnisse zur Verfügung. Diese beinhalten Vorgaben zur Veröffentlichung der Forschungsmethodik sowie der Stichprobengröße.