Einleitung
Sicherheit wird für Unternehmen immer komplexer. Anwendungsumgebungen verändern sich rasant, da DevOps-Teams die Geschwindigkeit erhöhen und die Datenmengen wachsen. Der Hype um KI hat einen Ansturm auf die Entwicklung und Nutzung von KI-Werkzeugen ausgelöst, gleichzeitig aber die Angriffsfläche vergrößert und die Verteidiger gezwungen, die Tragfähigkeit ihrer Lösungen zu überdenken.
Gleichzeitig verschärfen Angreifer ihre Taktiken: Sie stehlen Zugangsdaten in großem Umfang, stören Betriebsabläufe durch hochentwickelte Ransomware und nutzen Lücken in den Lieferketten aus. Diese Art von Sicherheitsverletzungen betrifft Millionen von Nutzern und verdeutlicht, wie schnell sich eine Schwachstelle in Cloud-Ökosystemen ausbreiten kann.
Viele Sicherheitsverantwortliche reagieren darauf mit Investitionen in zusätzliche Sicherheits- und Cloud-Operations-Tools. Doch diese weit verzweigten Sicherheitstechnologie-Stacks schaffen oft zusätzliche Probleme. Viele kommunizieren nicht miteinander, was zu mehr Arbeit und einer weniger zuverlässigen Abdeckung führt. Da Sicherheitsteams immer schlanker werden, haben sie weniger Kapazität, die Zusammenhänge zwischen isolierten Tools herzustellen.
Um zu verstehen, wie Unternehmen diese Herausforderungen bewältigen, hat Sumo Logic in Zusammenarbeit mit UserEvidence 506 Sicherheitsverantwortliche befragt. Die Daten offenbaren Überforderung und Frustration sowie einen klaren Bedarf an Sicherheits- und Cloud-Betriebstools, die vereinfachen, konsolidieren und eine verlässliche Datenbasis schaffen, der Sicherheitsverantwortliche vertrauen können.
Zentrale Erkenntnisse
Was erwartet Sie?
90 % der Sicherheitsverantwortlichen geben an, dass KI/ML äußerst oder sehr wertvoll ist, um die Alarmmüdigkeit zu verringern und die Erkennungsgenauigkeit zu verbessern. Die häufigsten Anwendungsfälle von KI konzentrieren sich jedoch auf grundlegende Aufgaben wie die Bedrohungserkennung. Die Einführung von KI in fortschrittlichen Sicherheitsworkflows ist nicht so weit verbreitet, wie es Marketingkampagnen oft suggerieren.
51%Unternehmen sind hinsichtlich ihrer Zufriedenheit mit und ihres Vertrauens in ihren Sicherheits-Stack weitgehend gespalten. Lediglich 51 % geben an, dass ihr aktuelles SIEM-System sehr effektiv darin ist, die mittlere Zeit bis zur Erkennung und Reaktion auf Bedrohungen zu verkürzen. Und nur 52 % sind sehr zuversichtlich, dass ihr aktuelles SIEM-System skalieren kann, um zukünftigen Sicherheits- und Cloud-Betriebsanforderungen gerecht zu werden.
93%93 % der Unternehmen nutzen mindestens drei Sicherheitsoperationstools, 45 % nutzen sechs oder mehr. Es überrascht nicht, dass über die Hälfte (55 %) der Befragten angibt, zu viele Insellösungen in ihrer Sicherheitsarchitektur zu haben.
Die meisten Unternehmen erleben einen rasanten Wandel in ihren Anwendungsumgebungen. Allerdings stimmen nur 37 % voll und ganz zu, dass ihre Sicherheitstools für diese Umgebungen konzipiert sind.
42%Die meisten Organisationen benötigen Tools, die eine schlanke Sicherheitsteamstruktur unterstützen, aber nur 42 % geben an, dass ihr aktueller Sicherheits-Stack dies sehr gut leistet. 87 % stimmen zu, dass einheitliche Sicherheits- und Monitoring-Tools die Teameffizienz verbessern würden.
80%80 % der Unternehmen geben an, dass Security und DevOps gemeinsame Observability-Tools verwenden, aber nur 45 % sagen, dass die beiden Teams hinsichtlich Tools und Workflows sehr gut aufeinander abgestimmt sind. Alle Befragten geben an, dass eine einheitliche Plattform für Protokolle, Metriken und Traces für ihre Sicherheits- und DevOps-Teams wertvoll wäre.
Der aktuelle Stand der Sicherheits- und Cloud-Betriebswerkzeuge
Im Zuge der digitalen Transformation haben viele Unternehmen ausgereiftere Cloud-Strategien eingeführt und sind mit sich schnell verändernden Anwendungsumgebungen konfrontiert. Sowohl Hybrid- als auch Multi-Cloud-Strategien führen dazu, dass SOC-Manager komplexere Umgebungen schützen müssen. Daher benötigen sie die richtigen Werkzeuge und ausreichende Ressourcen, um die Sicherheit aufrechtzuerhalten.
Der aktuelle Stand der Cloud-Betriebstools
Die Vorteile von Hybrid- und Multi-Cloud-Strategien sind vielfältig. Sie bieten mehr Flexibilität und verhindern, dass Unternehmen für alle Workloads auf einen einzigen Anbieter angewiesen sind. Zudem führen beide Strategien zu weniger Abhängigkeiten von einzelnen Anbietern und vereinfachen die Skalierung, was zur Kostenkontrolle beiträgt.
Hybrid- und Multi-Cloud-Strategien sind die am häufigsten eingesetzten Ansätze unter den befragten Sicherheitsverantwortlichen. Knapp die Hälfte (48 %) setzt auf einen Mix aus Cloud- und On-Premises-Lösungen, während 37 % eine Multi-Cloud-Strategie verfolgen. Diejenigen, die nur einen Cloud-Anbieter nutzen oder eine vollständig lokale Infrastruktur betreiben, sind in der Minderheit.
Tatsächlich ist die Einführung von Cloud-Lösungen bei weitem der wichtigste Faktor, der Unternehmen dazu veranlasst, ihre Sicherheits- und Cloud-Betriebstools zu überdenken und zu aktualisieren. Drei Viertel (75 %) der befragten Sicherheitsverantwortlichen geben an, dass die Einführung von Cloud-Lösungen den Bedarf an einer Modernisierung dieser Tools vorantreibt.
Dennoch ist dies sicherlich nicht der alleinige Grund für diese Entscheidung. Da die Entwicklungsgeschwindigkeit zunimmt und Anwendungen immer komplexere Funktionen und Integrationen erfordern, geben die Befragten an, dass Faktoren wie die Komplexität der Anwendungen (56 %) und die DevOps-Beschleunigung (51 %) ihre Unternehmen dazu veranlassen, ihre Tools zu aktualisieren.
Gleichzeitig führt die Einhaltung von Governance-Standards und Framework-Vorgaben ebenfalls zu einem erhöhten Bedarf an modernen Sicherheits- und Cloud-Operations-Tools. 54 % der Befragten geben an, dass Compliance-Anforderungen ein Schlüsselfaktor bei dieser Entscheidung sind.
Allerdings erweisen sich Kosten und Fachkräftemangel als vergleichsweise untergeordnete Faktoren. Nur etwa ein Drittel der Befragten nennt entweder Kostendruck (35 %) oder Fachkräfte- und Ressourcenmangel (35 %) als Gründe für den Bedarf an moderneren Tools.
Die meisten Organisationen erleben einen rasanten Wandel in Bezug auf Microservices, Container und andere Elemente ihrer Anwendungsumgebungen. Die Geschwindigkeit dieses Wandels variiert jedoch. Die Hälfte (50 %) der Befragten gibt an, dass die Geschwindigkeit der Veränderungen relativ hoch ist, während ein Drittel (34 %) angibt, dass sie sehr hoch ist.
Weitere wichtige Überlegungen zur Modernisierung der Tools:
Governance-Standards und Compliance
DevOps-Beschleunigung
Kostendruck
Talent- und Ressourcenengpässe
Da sich Anwendungsumgebungen weiter verändern und sich Cybersicherheitsbedrohungen kontinuierlich weiterentwickeln, werden Sicherheitsverantwortliche voraussichtlich mit neuen Risiken und Herausforderungen konfrontiert. Die Lösung? Sicherheits- und Cloud-Betriebstools, die für moderne Anwendungsumgebungen entwickelt wurden.
Der aktuelle Stand der Sicherheitstools
Die meisten der befragten Sicherheitsverantwortlichen geben an, dass sie ihre derzeitigen Sicherheitstools im heutigen Umfeld für ausreichend halten. Insgesamt stimmen 87 % zu, dass ihre Sicherheitstools für moderne Anwendungsumgebungen konzipiert sind.
Diese Aussage ist jedoch nicht das Vertrauensvotum, das sie auf den ersten Blick zu sein scheint. Lediglich 37 % der befragten Sicherheitsverantwortlichen stimmen dieser Aussage voll und ganz zu – was darauf hindeutet, dass fast zwei Drittel zumindest einige Vorbehalte gegenüber der Funktionsweise ihrer Sicherheitstools in den heutigen Anwendungsumgebungen haben.
In einigen Fällen können diese Vorbehalte mit den aktuellen Cloud-Strategien der Organisationen zusammenhängen. Die meisten (88 %) der befragten Sicherheitsverantwortlichen geben an, dass Cloud-native Plattformen ihre Sicherheitsabläufe vereinfachen, möglicherweise weil sie von ihren Cloud-Anbietern integrierte Sicherheit erwarten. Wenn sie aber auch lokale Plattformen absichern müssen, könnten ihre Sicherheitsabläufe unnötig komplex werden.
Dies deckt sich mit den Ergebnissen des Sumo Logic 2025 Security Operations Insights Berichts, der zeigt, dass 90 % der Leiter von Sicherheitsoperationen die Unterstützung von Datenquellen aus Multi-Cloud- und Hybrid-Cloud-Umgebungen als sehr oder extrem wichtig für ihr SIEM einstufen.
In anderen Fällen können diese Vorbehalte jedoch auf Mängel in den derzeitigen SIEM-Lösungen der Organisationen zurückzuführen sein. Lediglich 37 % der Befragten geben an, über ein Cloud-natives SIEM zu verfügen, das Skalierbarkeit, einheitliche Telemetrie und integrierte KI-Funktionen mit erweiterter Analytik bietet.
Eine hybride SIEM-Lösung ist hingegen die am häufigsten eingesetzte Konfiguration unter den befragten Sicherheitsverantwortlichen. Fast die Hälfte (46 %) setzt auf eine Hybridlösung, die lokale Funktionen mit cloudbasierter Analyse kombiniert, um Bedrohungen in verschiedenen Umgebungen zu überwachen, zu erkennen und darauf zu reagieren.
Zufriedenheit mit und Vertrauen in bestehende Sicherheitsstacks
Auf die Frage nach ihrer Zufriedenheit mit und ihrem Vertrauen in die aktuellen SIEM-Lösungen ihrer Organisation äußern einige Führungskräfte im Bereich der Unternehmenssicherheit Bedenken. Die meisten Teams benötigen Tools, mit denen sie mit weniger Ressourcen mehr erreichen können, doch ihre aktuellen Lösungen erfüllen diese Anforderung nicht immer.
Wirksamkeit von SIEM-, Log-Management- und Sicherheitsanalysetools
Insgesamt geben 92 % der Organisationen an, dass ihr aktuelles SIEM-System die mittlere Zeit bis zur Erkennung und Reaktion auf Bedrohungen wirksam reduziert. Doch nur die Hälfte (51 %) gibt an, dass es sehr effektiv sei. Die verbleibende Hälfte (49 %) gibt an, dass es nur teilweise wirksam ist – oder schlimmer noch, überhaupt nicht wirksam.
Diese nahezu gleichmäßige Verteilung deutet darauf hin, dass die SIEM-Plattformen vieler Organisationen noch erhebliches Verbesserungspotenzial aufweisen. Die 41 %, die angeben, ihre Lösung sei nur etwas wirksam, haben klare Reibungspunkte, die sie daran hindern, sie als sehr effektiv zu bezeichnen.
Auch hinsichtlich des Vertrauens in die Skalierbarkeit ihres SIEM-Systems sind die Organisationen gespalten. Während 92 % Vertrauen in ihr aktuelles SIEM-System haben, geben nur etwas mehr als die Hälfte (52 %) der befragten Sicherheitsverantwortlichen an, sehr zuversichtlich zu sein, dass ihr aktuelles SIEM-System skalieren kann, um zukünftige Sicherheits- und Cloud-Betriebsanforderungen zu erfüllen.
Knapp die Hälfte (48 %) der Befragten gibt an, weniger überzeugt zu sein. 40 % sind nur etwas zuversichtlich, dass ihr SIEM skalieren kann. Um eine sichere Umgebung aufrechtzuerhalten und gleichzeitig größere Datenmengen analysieren zu können, müssen Organisationen möglicherweise eine alternative SIEM-Lösung in Betracht ziehen, die Vertrauen schafft.
Die Befragten berichten von ähnlichen Erfolgsquoten mit ihren derzeitigen Anbietern von Log-Management- und Sicherheitsanalyselösungen. Etwas mehr als die Hälfte (52 %) gibt an, mit diesen Anbietern sehr zufrieden zu sein, während 39 % nur einigermaßen zufrieden sind.
Wer mit seinem aktuellen Anbieter von Log-Management- und Sicherheitsanalyselösungen sehr zufrieden ist, bewertet die Fähigkeiten seiner Sicherheitslösungen mit größerer Wahrscheinlichkeit hoch. Mehr als die Hälfte (56 %) dieses Segments stimmt voll und ganz zu, dass ihre Sicherheitstools für moderne Anwendungsumgebungen konzipiert sind (gegenüber 37 % insgesamt).
Dies deutet darauf hin, dass diejenigen, die über leistungsstarke Tools für die Verwaltung und Analyse von Sicherheitsprotokollen verfügen, ihre Sicherheitstools eher als bereit für moderne Umgebungen betrachten – einschließlich solcher mit Hybrid- und Multi-Cloud-Strategien und schnell skalierenden Workloads.
Sumo Logic zentralisiert Protokolle aus allen Systemen und bietet Sicherheitsteams so eine einheitliche Übersicht. Es ermöglicht die Echtzeit-Erkennung von Bedrohungen mit automatisierten Warnmeldungen, um die Reaktion auf Vorfälle zu beschleunigen. Vorgefertigte Compliance-Inhalte vereinfachen Audits und die Berichterstattung an Aufsichtsbehörden. Erweiterte Suchfunktionen und Dashboards verbessern die Untersuchungen und die Ursachenanalyse. Seine Cloud-native Skalierbarkeit unterstützt moderne, hybride und Multi-Cloud-Sicherheitsoperationen.
– SecOps Manager, Spieleentwicklungs-Softwareunternehmen
Eignung für schlanke Sicherheitsteams
Sicherheitsteams werden zunehmend schlanker. Zwei Drittel der Organisationen berichten von Personalengpässen aufgrund einer Kombination aus Entlassungen und Budgetkürzungen, wie die ISC2 2024 Cybersecurity Workforce Study zeigt.
Daher benötigen Organisationen Tools, die es kleinen Teams ermöglichen, mit weniger Ressourcen mehr zu erreichen. Auf die Frage, wie gut ihre derzeitigen Tools eine schlanke Sicherheitsteamstruktur unterstützen, antworteten jedoch weniger als die Hälfte (48 %) der befragten Sicherheitsverantwortlichen mit „sehr gut“. Die meisten (41 %) der übrigen Befragten geben an, dass ihre Tools eine schlanke Struktur nur etwas gut unterstützen.
Eine einheitliche Plattform, die Automatisierung, KI-/ML-Funktionen und Skalierbarkeit bündelt, ist für schlanke Sicherheitsteams zunehmend unerlässlich. Da die richtigen Kompetenzen weiterhin schwer zu finden sind, müssen Organisationen zur Erfüllung der Sicherheitsanforderungen über Talente allein hinausblicken.
Die meisten Befragten (87 %) stimmen zu, dass einheitliche Sicherheits- und Monitoring-Tools die Teameffizienz verbessern würden, wobei 42 % dieser Aussage voll und ganz zustimmen.
Sumo Logic spielt eine entscheidende Rolle in unseren Sicherheitsoperationen, indem es durch seine Cloud SIEM Insights proaktiv potenzielle Bedrohungen identifiziert. Seine Leistungsfähigkeit hat unseren Ansatz im Bereich Sicherheit grundlegend verändert und ermöglicht es uns, mit einem so kleinen Team effizienter und wirkungsvoller zu arbeiten.
– Jessica Herold, Flock Safety
Überlegungen zu SIEM-Plattformen und Cybersicherheitstools
Die meisten Verantwortlichen für Unternehmenssicherheit priorisieren KI/ML-Funktionen und Echtzeit-Sichtbarkeit in SIEM-Plattformen und Cybersicherheitstools. Die meisten Unternehmen evaluieren die Anbieter ihrer Sicherheitslösungen jedoch relativ selten, wahrscheinlich aufgrund von Vendor-Lock-in. Folglich verpassen sie möglicherweise Gelegenheiten, auf diese fortschrittlichen Funktionen zuzugreifen.
Automatisierung und KI-Nutzung
Wenn es um die Erkennung und Reaktion auf Bedrohungen geht, ist Automatisierung für Sicherheitsverantwortliche eine Grundvoraussetzung. 70 % der Befragten geben an, ihren Prozess zur Erkennung und Abwehr von Bedrohungen vollständig oder größtenteils automatisiert zu haben, wobei 25 % angeben, dass er vollständig automatisiert ist. Diejenigen, die sich auf einen überwiegend oder vollständig manuellen Prozess verlassen, bilden die absolute Minderheit.
Allerdings ist die Einführung von KI nicht so weit verbreitet. Während 96 % der befragten Sicherheitsverantwortlichen angeben, KI eingeführt zu haben, sind ihre Anwendungsfälle relativ einfach. Dies widerspricht den Marketingerzählungen, die nahelegen, dass die meisten Sicherheitsverantwortlichen KI umfassend in ihre Sicherheits- und Cloud-Betriebsabläufe integriert haben.
Fast die Hälfte (49 %) der Befragten nutzt KI/ML zur Bedrohungserkennung. Weitere Anwendungsfälle von KI/ML sind die automatisierte Reaktion (20 %) und die Anomalieerkennung (17 %). Die Incident-Triage (9 %) ist der am seltensten genannte Anwendungsfall für KI/ML.
Von denen, die KI/ML nutzen, ist die Mehrheit optimistisch, was den Wert angeht, den diese Technologie schafft – auch wenn ihre aktuellen Anwendungsfälle relativ begrenzt sind. 90 % dieser Befragten geben an, dass KI/ML äußerst oder sehr wertvoll ist, um die Alarmmüdigkeit zu reduzieren und die Erkennungsgenauigkeit zu verbessern. Die Hälfte (49 %) gibt an, dass es extrem wertvoll ist.
Dies deckt sich mit den Erkenntnissen aus dem Sumo Logic 2025 Security Operations Insights Report, der zeigt, dass 90 % der Befragten KI als extrem oder sehr wichtig für ihre Entscheidung zum Kauf einer neuen Sicherheitslösung einstufen. Da Sicherheitsteams immer schlanker werden, gewinnen zeitsparende Technologien wie KI zunehmend an Bedeutung.
Von denen, die KI/ML nutzen, ist die Mehrheit optimistisch, was den Wert angeht, den diese Technologie schafft – auch wenn ihre aktuellen Anwendungsfälle relativ begrenzt sind. 90 % dieser Befragten geben an, dass KI/ML äußerst oder sehr wertvoll ist, um die Alarmmüdigkeit zu reduzieren und die Erkennungsgenauigkeit zu verbessern. Die Hälfte (49 %) gibt an, dass es extrem wertvoll ist.
Dies deckt sich mit den Erkenntnissen aus dem Sumo Logic 2025 Security Operations Insights Report, der zeigt, dass 90 % der Befragten KI als extrem oder sehr wichtig für ihre Entscheidung zum Kauf einer neuen Sicherheitslösung einstufen. Da Sicherheitsteams immer schlanker werden, gewinnen zeitsparende Technologien wie KI zunehmend an Bedeutung.
Echtzeitfunktionen
Wenn es um wesentliche Funktionen für Sicherheitstools geht, sind KI und Automatisierung nur der Anfang. Die Daten legen nahe, dass die Bedeutung von Echtzeit-Bedrohungserkennung, -analyse und -transparenz kaum überschätzt werden kann.
Bei der Evaluierung moderner SIEM-Plattformen priorisieren die meisten Unternehmen sowohl Echtzeitanalysen als auch KI/ML-Funktionen. 96 Prozent der befragten Sicherheitsverantwortlichen nutzen KI/ML in ihren Sicherheitsoperationen, und 61 Prozent geben an, dass KI/ML-Funktionen in einer SIEM-Plattform höchste Priorität haben.
„Mit leistungsstarken Abfragefunktionen, intuitiver KI-Integration und Mobot (die Dojo AI an Ihrer Seite) ist nichts unmöglich – und dank der Möglichkeit, das Rauschen innerhalb der Plattform automatisiert zu reduzieren, erhalten Sie genau dann und dort optimierte Einblicke, wo Sie sie benötigen.“
– Brandon Hewgill, Leiter der Informationssicherheit bei Patrianna
Weitere wichtige Faktoren sind Echtzeitanalysen (63 %), Cloud-natives Design (58 %) und Skalierbarkeit (55 %). Das Budget ist ebenfalls ein wichtiger Faktor bei der Auswahl einer neuen SIEM-Plattform. Mehr als die Hälfte (58 %) der Befragten gaben an, dass Kosteneffizienz ein Schlüsselfaktor in diesem Entscheidungsprozess ist.
Die Echtzeit-Bedrohungserkennung minimiert die Zeit, die Cyberangriffe haben, um Schaden anzurichten, was diese Fähigkeit für die meisten Sicherheitsverantwortlichen unerlässlich macht. 89 Prozent der Befragten stimmen zu, dass die Echtzeit-Bedrohungserkennung für ihr Team höchste Priorität hat, wobei die Hälfte (51 %) dieser Aussage voll und ganz zustimmt.
Darüber hinaus sagen 93 % der befragten Sicherheitsverantwortlichen, dass es für sie extrem oder sehr wichtig ist, in Echtzeit Einblick in die gesamte Umgebung des Unternehmens zu haben – einschließlich Cloud, Anwendungen und Infrastruktur. Mehr als die Hälfte (54 %) geben an, dass dies extrem wichtig ist.
Sumo Logic spielt eine entscheidende Rolle bei der Erkennung und Untersuchung von Vorfällen, indem es zeitnahe Warnmeldungen bereitstellt und relevante Protokolldaten mit jedem Vorfall verknüpft. Dies hilft uns, schneller zu reagieren und die Auswirkungen auf den Kunden zu minimieren. Die Flexibilität der Plattform ermöglicht es uns, sie an unsere sich entwickelnden Überwachungsanforderungen anzupassen und zu skalieren.
– VP Platform, Boku
Häufigkeit der Überprüfung von Sicherheitsanbietern
Für viele Organisationen ist die Einführung neuer Cybersicherheitstools mit KI/ML- und Echtzeitfunktionen leichter gesagt als getan. Die meisten Organisationen überprüfen und konsolidieren ihre Sicherheits-Stacks relativ selten.
Nur 41 % der Befragten geben an, vierteljährlich Anbieter in ihrem Sicherheits-Stack zu konsolidieren oder zu evaluieren. Die Mehrheit (59 %) überprüft Sicherheitsanbieter höchstens zweimal im Jahr, während ein Viertel (26 %) dies jährlich tut.
Diejenigen, die angeben, mit ihrem aktuellen Anbieter für Log-Management und Sicherheitsanalysen sehr zufrieden zu sein, werden mit größerer Wahrscheinlichkeit häufiger Anbieter in ihrem Sicherheits-Stack konsolidieren oder evaluieren. Mehr als die Hälfte (54 %) dieses Segments führt diese Überprüfungen vierteljährlich durch, was darauf hindeutet, dass häufigere Evaluierungen zu robusteren Cybersicherheitsfähigkeiten führen können.
Allerdings können finanzielle Anreize, mehrere Produkte von einem einzigen Anbieter zu kaufen, diese Muster beeinflussen. Die Annahme, dass ihre Lösungen besser zusammenarbeiten könnten, mag ein Grund für diese Zurückhaltung sein, Sicherheitsanbieter häufiger zu überprüfen.
Das Argument für eine einheitliche, durch Telemetriedaten gestützte SOC-Plattform
Während SIEM-Plattformen typischerweise für die Bedrohungserkennung, -untersuchung und -abwehr (TDIR) konzipiert sind, erwarten Sicherheitsverantwortliche in Unternehmen oft, dass diese Lösungen mehr leisten. Wenn ihre SIEM-Systeme nicht die gewünschten Ergebnisse liefern, greifen sie oft auf Investitionen in zusätzliche Software zurück. Dies führt häufig zu ausufernden Technologie-Stacks, unzusammenhängenden Tools und angespannten Budgets.
SIEM-Funktionen und -Einschränkungen
Wenn es um SIEM-Funktionen geht, ist die Bedrohungserkennung nicht die am häufigsten genannte Fähigkeit unter den befragten Sicherheitsverantwortlichen. Mehr als drei Viertel (78 %) geben an, ihr SIEM-System zur Überwachung der Cloud-Sicherheit zu nutzen, während 72 % dessen Funktionen zur Bedrohungserkennung einsetzen.
Darüber hinaus nutzen 70 % der Befragten ihr SIEM für Security Orchestration, Automation, and Response (SOAR), während 62 % es für das Protokollmanagement verwenden. Die Befragten gaben im Durchschnitt an, 4,1 SIEM-Funktionen zu nutzen. Mehr als ein Drittel (35 %) gibt an, fünf oder mehr Funktionen zu nutzen.
Um diese Funktionen zu nutzen, setzen die meisten Unternehmen auf ihr SIEM-System, um Daten aus mehreren Datenquellen aufzunehmen. Zu den am häufigsten genannten Protokolltypen unter den Umfrageteilnehmern zählen Identitäts- und Zugriffsprotokolle (71 %), Cloud-Audit-Protokolle (69 %), Anwendungsprotokolle (66 %) und Infrastrukturprotokolle (64 %).
Im Durchschnitt geben die Befragten an, 4,14 Datenquellen in ihr SIEM einzubinden. Mehr als ein Drittel (36 %) gibt an, ihr SIEM-System zur Integration von fünf oder mehr Datenquellen zu nutzen.
Organisationen, die nur über eine oder zwei Datenquellen verfügen, können sich dafür entscheiden, die Daten auf nativen Plattformen auszuwerten, anstatt in ein SIEM zu investieren. Je komplexer Ihre Systemarchitektur wird und je mehr Datenquellen Sie überwachen müssen, desto wichtiger ist eine Lösung, die Daten aus einer Vielzahl von Quellen erfassen kann.
Wir benötigten eine angemessene SaaS-Transparenz und -Protokollierung, und Sumo Logic war eine der wenigen Lösungen, die einen hervorragenden Terraform-Provider und einen gehosteten Collector boten. Der innovative Ansatz von Sumo Logic passt gut zu unserer Struktur und hat sich für uns als nützlich erwiesen.
– Sajeeb Lohani, Global Technical Information Security Officer (TISO)
Aufgeblähte Sicherheitstechnologie-Stacks
Wenn Sicherheitsverantwortliche mehrere Tools benötigen, um verschiedene Datenquellen zu erfassen oder unterschiedliche Teile des Stacks zu überwachen, kaufen sie oft zusätzliche Tools, um die Lücke zu schließen. Tatsächlich verfügen 93 % der Befragten über mindestens drei Tools in ihrem Stack für Sicherheitsoperationen. Fast die Hälfte (45 %) nutzt sechs oder mehr Tools für Sicherheitsoperationen, und 10 % nutzen mehr als zehn.
Die Unternehmensgröße hat einen gewissen Einfluss auf die Nutzung von Tools, wobei größere Unternehmen eher dazu neigen, mehr Tools zu verwenden. Während 40 % der Organisationen mit 500 bis 999 Mitarbeitern sechs oder mehr Tools verwenden, sind es bei Organisationen mit 10.000 oder mehr Mitarbeitern 51 %.
In vielen Fällen kommunizieren diese Tools nicht miteinander. Mehr als die Hälfte (55 %) der Befragten stimmt zu oder stimmt voll und ganz zu, dass sie mit zu vielen Insellösungen in ihrer Sicherheitsarchitektur zu kämpfen haben. Isolierte Tools können schnell mehr Rauschen als Signal erzeugen, was zu einer Alarmmüdigkeit führt.
Auf die Frage nach ihren größten Problemen mit ihren aktuellen Sicherheitsoperationstools gaben 40 % der Befragten an, dass sie mit zu vielen voneinander isolierten Tools jonglieren. Wenn Tools keine Daten austauschen, wird es schwierig, Bedrohungen in der gesamten Umgebung zu beurteilen oder die gesamte Angriffskette zu erkennen. Dadurch entstehen Sicherheitslücken, die Angreifer leicht ausnutzen können, was die Reaktion auf Sicherheitsvorfälle verlangsamt.
Das häufigste Problem unter den befragten Sicherheitsverantwortlichen ist jedoch das Budget. Fast zwei Drittel (63 %) geben an, dass die hohen Betriebskosten ihr größtes Problem darstellen. Dies deutet darauf hin, dass Investitionen in zu viele Tools sowohl operative Probleme als auch Budgetbeschränkungen verursachen.
Vereinheitlichen Sie Sicherheits- und Cloud-Betrieb, um mangelnde Abstimmung zu beheben
Eine mangelnde Abstimmung zwischen den Sicherheits- und DevOps-Teams verschärft diese Probleme wahrscheinlich noch – und die fragmentierte Zuständigkeit für Cloud-Operations-Tools trägt auch nicht zur Verbesserung bei. Es gibt unter den Befragten keinen eindeutigen Standard für Zuständigkeiten. Während 37 % angeben, dass die IT-Abteilung diese Tools verantwortet, berichten 16 %, dass die Sicherheitsabteilung sie verantwortet, und 15 % geben an, dass die DevOps-Abteilung dafür zuständig ist.
Während die meisten Befragten (80 %) angeben, dass Security und DevOps gemeinsame Observability-Tools verwenden, geben weniger als die Hälfte (45 %) an, dass die beiden Teams hinsichtlich Tools und Workflows sehr gut aufeinander abgestimmt sind. Ein ähnlicher Prozentsatz (43 %) gibt an, dass die beiden Teams nur teilweise aufeinander abgestimmt sind.
Die Daten legen einen Zusammenhang zwischen aufeinander abgestimmten Sicherheits- und DevOps-Teams und dem Erfolg mit Tools für Sicherheit und Cloud-Betrieb nahe. Von den Teams, die angeben, sehr gut aufeinander abgestimmt zu sein:
sind mit ihrem derzeitigen Anbieter für Protokoll-Management und Sicherheitsanalysen sehr zufrieden (gegenüber 52 % insgesamt).
sagen, dass ihr SIEM sehr effektiv darin ist, die mittlere Zeit bis zur Erkennung und Reaktion auf Bedrohungen zu reduzieren (gegenüber 51 % insgesamt).
sind sehr zuversichtlich, dass ihr aktuelles SIEM-System auch zukünftigen Anforderungen gerecht wird (gegenüber 52 % insgesamt).
stimmen voll und ganz zu, dass ihre Sicherheitstools für moderne Anwendungsumgebungen konzipiert sind (gegenüber 37 % insgesamt).
Angesichts der weit verbreiteten Probleme bei der Teamausrichtung und den Verantwortlichkeiten für Software ist es nicht verwunderlich, dass praktisch alle Befragten der Meinung sind, eine einheitliche Sicherheits- und Cloud-Betriebsplattform wäre von Vorteil. Alle (100 %) der befragten Sicherheitsverantwortlichen geben an, dass eine einheitliche Plattform für Protokolle, Metriken und Traces für ihre Sicherheits- und DevOps-Teams von großem Wert wäre. Etwas mehr als die Hälfte (51 %) gibt an, dass eine einheitliche Plattform extrem wertvoll wäre, und 40 % geben an, dass sie sehr wertvoll wäre.
Da wir unser Geschäft ständig verändern und neue Dienstleistungen für unsere Kunden hinzufügen, Website-Updates durchführen und verschiedene Integrationen zur Umsatzsteigerung umsetzen, sind wir mit der Leistungsfähigkeit von Sumo Logic in unserem Werkzeugkasten zuversichtlich, dass wir Protokolle erfassen, auswerten und durchsuchen können. Wir können auch Berichte von beliebigen Drittanbietern erstellen, unabhängig davon, ob diese aktuell von Sumo Logic unterstützt werden oder nicht, da wir beliebige Datenquellen verwenden und die Daten normalisieren können.
– John Sacchetti, Director für Cybersecurity und Networking, DXL
Schlussfolgerung
Die Verantwortlichen für die Unternehmenssicherheit sind verständlicherweise überfordert. Da sich Anwendungsumgebungen weiterentwickeln und Cyberangriffe immer ausgefeilter werden, müssen Sicherheitsteams schlanker werden und gleichzeitig mit weniger Ressourcen mehr leisten. Da KI die Bedrohungslandschaft zunehmend komplexer macht, kommt eine weitere Technologie hinzu, die überwacht, gesichert und im Sicherheitsbereich eingesetzt werden muss.
Nur 37 % der Sicherheitsverantwortlichen stimmen voll und ganz zu, dass ihre Sicherheitstools für diese sich schnell verändernden Umgebungen ausgelegt sind. 93 Prozent nutzen bereits drei oder mehr Sicherheitsoperations-Tools, und über die Hälfte (55 %) hat bereits zu viele Insellösungen in ihrer Sicherheitsarchitektur.
Die Lösung ist nicht ein größerer Sicherheitstechnologie-Stack mit mehr isolierten Tools. Stattdessen handelt es sich um eine einheitliche Plattform, die als zentrale Quelle der Wahrheit für DevSecOps dient und Echtzeit-Einblicke und Transparenz über die gesamte Umgebung hinweg bietet.
Seit über 15 Jahren bietet Sumo Logic diese zentrale Quelle der Wahrheit. Sumo Logic wurde für Cloud-native und hybride Umgebungen entwickelt, verarbeitet unstrukturierte Protokolle, kombiniert Sicherheits- und Protokollanalysedaten und ist problemlos skalierbar.
Als integrierte intelligente Sicherheitsbetriebsplattform, die auf Exabyte-Scale-Protokollanalysen und Cloud-nativer Architektur basiert, vereint Sumo Logic Sicherheit und DevOps und schafft so eine Zusammenarbeit zwischen Sicherheit und Observability.
Methodik und Demografie
Zur Erstellung dieses Berichts beauftragte Sumo Logic UserEvidence mit der Durchführung einer unabhängigen Marktumfrage unter 506 Sicherheitsverantwortlichen und -praktikern im Oktober 2025. Die Stichprobe der Studie war herstellerneutral und richtete sich nicht speziell an Kunden von Sumo Logic oder UserEvidence, obwohl diese nicht von der Teilnahme ausgeschlossen waren.
Die meisten Befragten (81 %) waren Sicherheitsverantwortliche auf Manager- oder Direktorenebene, vorwiegend Informationssicherheitsmanager oder Sicherheitsmanager (31 %) beziehungsweise Direktoren für IT-Sicherheit oder Risikomanagement (21 %). Die restlichen 19 % waren Sicherheitspraktiker.
Alle Befragten repräsentierten Organisationen mit mindestens 500 Mitarbeitern. Die größten Segmente waren Organisationen mit 500 bis 999 Mitarbeitern (40 %) und Organisationen mit 1.000 bis 4.999 Mitarbeitern (31 %).
Die meisten Befragten (72 %) arbeiteten für Organisationen in der IT-Branche. Die übrigen stammten aus Organisationen des verarbeitenden Gewerbes (7 %), des Finanzdienstleistungssektors (7 %), des Gesundheitswesens (4 %) und anderer Branchen.
Über Sumo Logic
Sumo Logic, Inc. trägt dazu bei, die digitale Welt sicher, schnell und zuverlässig zu machen, indem kritische Sicherheits- und Betriebsdaten über die Intelligent Operations Platform vereinheitlicht werden. Die Plattform wurde entwickelt, um der zunehmenden Komplexität moderner Herausforderungen in der Cybersicherheit und im Cloud-Betrieb zu begegnen und digitale Teams in die Lage zu versetzen, von der Reaktion zur Vorsorge überzugehen – indem sie agentenbasierte, KI-gestützte SIEM- und Log-Analysen in einer einzigen Plattform kombiniert, um moderne Herausforderungen zu erkennen, zu untersuchen und zu lösen. Kunden auf der ganzen Welt verlassen sich auf Sumo Logic, um verlässliche Erkenntnisse zu gewinnen, sich vor Sicherheitsbedrohungen zu schützen, Zuverlässigkeit zu gewährleisten und wertvolle Einblicke in ihre digitalen Umgebungen zu erhalten. Weitere Informationen finden Sie unter www.sumologic.com.
Über UserEvidence
UserEvidence ist ein Softwareunternehmen und unabhängiger Forschungspartner, der B2B-Technologieunternehmen dabei unterstützt, originäre Research-Inhalte von Praktikern aus ihrer Branche zu erstellen. Alle von UserEvidence durchgeführten Studien sind gemäß ihren Forschungsprinzipien verifiziert und authentisch: Identitätsprüfung, Signifikanz und Repräsentativität, Qualität und Unabhängigkeit sowie Transparenz. Alle UserEvidence-Studien basieren auf echtem Nutzerfeedback ohne Einflussnahme, Voreingenommenheit oder Beeinflussung seitens unserer Kunden.
UserEvidence-Forschungsprinzipien
Diese Prinzipien leiten alle Forschungsbemühungen bei UserEvidence – sei es die Zusammenarbeit mit den Nutzern eines Anbieters für unser Angebot “Customer Evidence” oder mit Branchenexperten in einem bestimmten Bereich für unser Angebot “Research Content”. Ziel dieser Prinzipien ist es, Käufern das Vertrauen und die Gewissheit zu geben, dass sie authentische und verifizierte Forschungsergebnisse auf der Grundlage von echtem Nutzerfeedback einsehen, ohne Eingriffe, Voreingenommenheit oder Manipulation seitens des Anbieters.
1. Identitätsprüfung
In jeder Studie, die wir durchführen, überprüft UserEvidence unabhängig, ob ein Teilnehmer unserer Forschungsstudie ein tatsächlicher Nutzer eines Anbieters (im Falle von Customer Evidence) oder ein Branchenexperte (im Falle von Research Content) ist. Wir verwenden eine Vielzahl von menschlichen und algorithmischen Verifizierungsmechanismen, darunter die Verifizierung von E-Mail-Domänen von Unternehmen (d. h., damit ein Anbieter nicht einfach 17 Gmail-Adressen erstellen kann, die alle positive Bewertungen abgeben) sowie musterbasierte Bot- und KI-Abwehr.
2. Signifikanz und Repräsentation
UserEvidence ist der Ansicht, dass Vertrauen durch eine ehrliche und vollständige Darstellung des Erfolgs (oder Misserfolgs) der Nutzer aufgebaut wird. Wir streben in unserer Forschung nach statistischer Signifikanz und untermauern unsere Ergebnisse mit einer großen und repräsentativen Menge an Nutzerantworten, um mehr Vertrauen in unsere Analyse zu schaffen. Unser Ziel ist es, eine breite Palette von Nutzern aus verschiedenen Branchen, Hierarchieebenen und mit unterschiedlichen Nutzerprofilen zu erfassen, um ein umfassendes Bild der Nutzung zu erhalten und Käufern zu ermöglichen, relevante Daten von anderen Nutzern in ihrem Segment zu finden und nicht nur von einer Handvoll vom Anbieter ausgewählter zufriedener Kunden.
3. Qualität und Unabhängigkeit
UserEvidence ist bestrebt, jederzeit hochwertige und unabhängige Forschung zu betreiben. Dies beginnt bereits zu Beginn des Forschungsprozesses mit der Gestaltung von Umfragen und Fragebögen, um genaue und substanzielle Antworten zu erhalten. Wir bemühen uns, Verzerrungen in unserem Studiendesign zu minimieren und nach Möglichkeit große Stichproben von Befragten einzusetzen. Obwohl UserEvidence vom Anbieter für die Durchführung der Studie vergütet wird, ist Vertrauen unser Geschäft und unsere Priorität, und wir gestatten es den Anbietern zu keinem Zeitpunkt, die Ergebnisse zu ändern, zu beeinflussen oder falsch darzustellen (selbst wenn sie ungünstig sind).
4. Transparenz
Wir sind der Ansicht, dass Forschung nicht in einer Blackbox durchgeführt werden sollte. Aus Gründen der Transparenz enthält jede UserEvidence-Studie das statistische N (Anzahl der Befragten), und Käufer können die zugrunde liegenden verblindeten (de-identifizierten) Rohdaten und Antworten zu jeder Statistik, jedem Diagramm oder jeder Studie einsehen. UserEvidence bietet Kunden klare Zitierrichtlinien für die Nutzung von Forschungsergebnissen, einschließlich Richtlinien zur Weitergabe der Forschungsmethodik und der Stichprobengröße.