Splunk ist der Platzhirsch im SIEM-Markt. Seit über 20 Jahren das Standardwerkzeug in Enterprise-SOCs, mittlerweile Teil des Cisco-Portfolios, mit einem Ökosystem aus tausenden Apps und Integrationen. Wer über SIEM spricht, spricht oft zuerst über Splunk.

Und trotzdem entscheiden sich immer mehr mittelständische Unternehmen dagegen. Nicht weil Splunk schlecht wäre — sondern weil es für ihre Anforderungen die falsche Lösung ist. Dieser Artikel erklärt, warum XIEM® die bessere Wahl ist — für Unternehmen, die wirksame Sicherheit brauchen, nicht das größte Logo auf dem Chart.

Das Preisproblem: Wenn Log-Volumen zum Geschäftsrisiko wird

Splunks Lizenzmodell basiert auf dem täglichen Ingest-Volumen — gemessen in Gigabyte pro Tag. Das klingt zunächst logisch: Wer mehr Daten einspeist, zahlt mehr. In der Praxis bedeutet es: Jede zusätzliche Log-Quelle, jeder neue Server, jede Cloud-Integration erhöht die Lizenzkosten. Unternehmen beginnen, Entscheidungen über ihre Sicherheitsarchitektur anhand von Lizenzkosten zu treffen statt anhand von Risiken.

Das ist kein theoretisches Problem. In der Branche hat sich der Begriff „Splunk Tax” etabliert — die Praxis, Log-Quellen bewusst nicht anzubinden, weil das Ingest-Budget ausgeschöpft ist. Firewall-Logs werden gedrosselt, Endpoint-Telemetrie gefiltert, Cloud-Audit-Logs gar nicht erst eingebunden. Das Ergebnis: Ein SIEM, das per Design blind ist für die Datenquellen, die es am dringendsten bräuchte.

Die Einstiegskosten für Splunk Enterprise liegen für mittelständische Unternehmen typischerweise im sechsstelligen Bereich pro Jahr — und skalieren schnell in den siebenstelligen Bereich, sobald Log-Volumina wachsen. Seit der Übernahme durch Cisco im März 2024 kommt der Druck hinzu, weitere Cisco-Produkte in den Stack zu integrieren. Hinzu kommen die Personalkosten für den Eigenbetrieb: Mindestens zwei bis drei Vollzeitäquivalente (FTE) für Administration, Detection Engineering und Tuning — Security-Spezialisten, die auf dem Arbeitsmarkt schwer zu finden und teuer zu halten sind. In Summe übersteigen die Personalkosten die Lizenzkosten oft um das Zwei- bis Dreifache.

XIEM® geht einen anderen Weg: Ein Pauschalmodell pro Tier, nicht an das Ingest-Volumen gekoppelt. Sie binden alle relevanten Log-Quellen an — ohne Angst vor der nächsten Rechnung. Sichtbarkeit ist kein Budgetposten, sondern Grundvoraussetzung.

Personal: Die versteckte Kostenfalle

Splunk verkauft Software. Den Betrieb müssen Sie selbst sicherstellen. Das bedeutet in der Praxis: Sie brauchen ein dediziertes Team, das Splunk administriert, Use Cases entwickelt, Detection Rules schreibt, False Positives tuned und die Infrastruktur betreibt. Für ein Unternehmen mit 200 bis 500 Mitarbeitern ist das eine erhebliche Investition — in Menschen, die Sie erst finden, dann halten und deren Wissen Sie vor Abwanderung schützen müssen. Kündigt einer dieser Spezialisten, steht das SOC still.

XIEM® ist ein Managed Service. NEOSEC betreibt das SIEM, entwickelt die Detection-Regeln, tuned die Alerts und liefert Ihnen verwertbare Ergebnisse — nicht Rohdaten, die Sie selbst interpretieren müssen. Sie brauchen kein eigenes SIEM-Team. Sie brauchen einen Ansprechpartner, der Ihnen sagt, was in Ihrem Netz passiert.

Komplexität: Schweizer Taschenmesser vs. scharfes Skalpell

Splunk kann alles. Das ist gleichzeitig seine größte Stärke und seine größte Schwäche. Die Plattform ist als universelle Datenanalysemaschine konzipiert — sie kann SIEM, aber auch Observability, IT-Operations, Business Analytics und Application Performance Monitoring. Diese Flexibilität hat ihren Preis: Die Lernkurve ist steil, die Konfiguration komplex, und die SPL-Abfragesprache (Search Processing Language) ist ein eigenes Fachgebiet.

Für Großkonzerne mit dedizierten Security-Engineering-Teams ist das kein Problem. Für ein mittelständisches Unternehmen, dessen IT-Leiter neben dem SIEM noch Firewall, Endpoint Protection, Backup und Helpdesk verantwortet, ist es eine Überforderung.

XIEM® ist auf Cybersicherheit fokussiert — nicht auf alles. Vier klar definierte Tiers (Sentry, Orchestrate, Control, Control AI) decken den gesamten Reifegrad ab, von der Basis-Überwachung bis zum KI-gestützten SOC-Betrieb. Die Komplexität liegt bei uns, nicht bei Ihnen.

Detection: Out-of-the-Box vs. Build-for-you

Splunk liefert mit der Enterprise Security App ein Framework für Detection — aber die eigentliche Arbeit beginnt danach. Detection Rules müssen geschrieben, getestet, an die eigene Umgebung angepasst und kontinuierlich aktualisiert werden. Ohne diesen Aufwand ist Splunk ein teures Log-Archiv.

XIEM® liefert Detection-Regeln, die auf realen Bedrohungsszenarien basieren und kontinuierlich durch unser SOC-Team weiterentwickelt werden. MITRE ATT&CK Mapping ist integriert, nicht optional. Jeder Alert wurde von einem Analysten bewertet, bevor er Sie erreicht — kein Alert-Rauschen, keine False-Positive-Flut.

NIS-2-Compliance: Nachweis statt Datenbank

NIS-2 verlangt nicht, dass Sie ein SIEM betreiben. NIS-2 verlangt, dass Sie nachweisen können, dass Sie sicherheitsrelevante Ereignisse erkennen, darauf reagieren und dies dokumentieren. Die Meldepflicht — 24 Stunden Erstmeldung, 72 Stunden Detailbericht — setzt voraus, dass Sie überhaupt wissen, dass etwas passiert ist.

Splunk gibt Ihnen die Werkzeuge, diesen Nachweis zu erbauen. XIEM® gibt Ihnen den Nachweis. Unser Reporting ist auf BSI-konforme Dokumentation ausgelegt: MTTD-Metriken, Incident-Timelines, Meldeketten-Protokolle — fertig für die Behörde, nicht erst nach wochenlanger Aufbereitung.

Technologie: Offen statt eingeschlossen

Splunk ist proprietär. Daten, die in Splunk liegen, liegen in Splunks Format. Die Migration weg von Splunk ist aufwändig und teuer — was durchaus beabsichtigt ist. Mit der Cisco-Übernahme verstärkt sich dieser Effekt: Die Plattformstrategie zielt darauf ab, Kunden im Cisco-Ökosystem zu halten.

XIEM® basiert technologisch auf Wazuh — einer Open-Source-SIEM-Plattform mit über 20 Millionen Downloads und einer aktiven Community. Das bedeutet: Keine proprietären Datenformate, keine künstlichen Lock-in-Mechanismen, volle Transparenz über die eingesetzte Technologie. Wenn Sie morgen entscheiden, dass Sie XIEM® nicht mehr brauchen, nehmen Sie Ihre Daten mit. Wir halten Sie nicht durch Abhängigkeit, sondern durch Leistung.

Für wen ist Splunk die richtige Wahl?

Fairerweise: Splunk hat seine Berechtigung. Für Großkonzerne mit dedizierten Security-Engineering-Teams, komplexen Multi-Cloud-Umgebungen und dem Budget für eine siebenstellige SIEM-Investition plus Personalkosten ist Splunk ein mächtiges Werkzeug. Wer bereits ein Team von Splunk-Spezialisten hat und die Plattform produktiv nutzt, hat keinen Grund zu wechseln.

Für alle anderen — für den Mittelstand, für Unternehmen mit 50 bis 2.000 Mitarbeitern, für IT-Leiter, die neben dem SIEM noch zehn andere Baustellen haben, für Geschäftsführer, die NIS-2-Compliance nachweisen müssen, ohne ein eigenes SOC aufzubauen — ist XIEM® die bessere Wahl.

Der Vergleich auf einen Blick

	Splunk Enterprise	XIEM®
Lizenzmodell	Pro GB/Tag Ingest — skaliert mit Log-Volumen	Pauschale pro Tier — planbar und vorhersehbar
Betrieb	Eigenbetrieb (2–3 FTE erforderlich)	Managed Service durch NEOSEC
Kostentreiber	Lizenz + Personal + Infrastruktur	Ein Pauschalpreis, alles inklusive
Detection	Framework — Rules selbst entwickeln	Fertige Rules + kontinuierliche SOC-Analyse
NIS-2-Reporting	Selbst aufbauen	BSI-konform integriert
Technologie	Proprietär (Cisco)	Open Source (Wazuh-basiert)
Lock-in	Hoch — proprietäres Datenformat, Cisco-Ökosystem	Kein Lock-in — offene Standards, Daten gehören Ihnen
KI-Integration	Splunk AI Assistant (kostenpflichtiges Add-on)	XIEM® Control AI (nativ im höchsten Tier)
Zielgruppe	Enterprise mit eigenem Security-Team	Mittelstand ohne dediziertes SOC
Time-to-Value	Monate (Deployment + Tuning + Personalaufbau)	Tage bis Wochen

Laut einem Bericht von Security Insider unterschätzen viele kleine und mittlere Unternehmen (KMU) weiterhin das Risiko gezielter Cyberangriffe. Die Zahlen sprechen eine andere Sprache: Die Mehrheit der Ransomware-Vorfälle trifft inzwischen nicht mehr Konzerne, sondern den Mittelstand.

Warum KMU überproportional betroffen sind

Großunternehmen haben in den letzten Jahren massiv in Sicherheitsinfrastruktur investiert — SOCs, SIEM-Systeme, Red-Team-Übungen, dedizierte Security-Teams. Angreifer weichen daher zunehmend auf Ziele mit geringerem Widerstand aus. KMU bieten dabei ein attraktives Kosten-Nutzen-Verhältnis für Cyberkriminelle:

• Wertvolle Daten: Kundendaten, Geschäftsgeheimnisse, Finanzdaten — auch ein 50-Mitarbeiter-Unternehmen hat Daten, die sich verschlüsseln oder verkaufen lassen
• Geringe Abwehrfähigkeit: Kein eigenes SOC, keine 24/7-Überwachung, oft nicht einmal ein dedizierter IT-Security-Mitarbeiter
• Höhere Zahlungsbereitschaft: Ohne getestete Backups und Incident-Response-Pläne ist die Versuchung größer, Lösegeld zu zahlen, um den Betrieb schnell wiederherzustellen
• Supply-Chain-Zugang: KMU sind oft Zulieferer größerer Unternehmen — ein kompromittierter Zulieferer kann zum Einfallstor für das eigentliche Ziel werden

Was Managed Detection & Response für KMU leistet

Managed Detection & Response (MDR) schließt die Lücke zwischen Enterprise-Sicherheit und KMU-Budget. Statt eigene Infrastruktur und Personal aufzubauen, nutzen Unternehmen den Service eines spezialisierten Anbieters:

• 24/7-Monitoring: Angriffe finden nachts und am Wochenende statt — genau dann, wenn interne IT-Teams nicht besetzt sind. MDR bietet Rund-um-die-Uhr-Überwachung
• Schnellere Erkennung: Laut Branchenberichten können MDR-Dienste Angriffe bis zu 70 Prozent schneller erkennen als Unternehmen ohne kontinuierliches Monitoring
• Geringere Kosten: Ein internes SOC mit 24/7-Besetzung erfordert mindestens 6-8 Analysten. MDR bietet vergleichbare Fähigkeiten zu einem Bruchteil der Kosten
• Expertise on demand: Threat Hunting, Incident Response und forensische Analyse durch spezialisierte Analysten — ohne diese Kompetenzen selbst aufbauen zu müssen

NIS2 macht professionelles Monitoring zur Pflicht

Mit der NIS2-Richtlinie wird IT-Sicherheit für viele KMU erstmals zur gesetzlichen Pflicht. Unternehmen in 18 Sektoren — darunter verarbeitendes Gewerbe, Lebensmittelproduktion, Abfallwirtschaft und digitale Dienste — müssen technische und organisatorische Maßnahmen zur Angriffserkennung nachweisen. Für viele KMU bedeutet das: Ohne SIEM oder MDR ist NIS2-Compliance nicht erreichbar.

Handlungsempfehlungen für KMU

• Sichtbarkeit schaffen: Ein zentrales Log-Management ist die Grundvoraussetzung für jede Angriffserkennung. Ohne Logs keine Erkennung, ohne Erkennung keine Reaktion
• MDR evaluieren: Vergleichen Sie die Kosten eines MDR-Dienstes mit den Kosten eines internen SOC — und mit den Kosten eines unentdeckten Ransomware-Angriffs
• NIS2-Betroffenheit prüfen: Klären Sie, ob Ihr Unternehmen unter die NIS2-Richtlinie fällt — viele KMU wissen es noch nicht
• Incident-Response-Plan erstellen: Auch ohne MDR: Wer wird bei einem Vorfall informiert? Wer entscheidet? Welche externen Partner werden hinzugezogen?
• Backups testen: Vorhandene Backups auf Wiederherstellbarkeit prüfen. Viele Unternehmen entdecken erst im Ernstfall, dass ihre Backups unvollständig oder nicht wiederherstellbar sind

Kürzlich ist ein interessanter Tag in Bezug auf die IT-Sicherheit verstrichen, auf dessen Symbolkraft ich näher eingehen möchte. Im Jahr 2012 wurde der 1. Februar zum Nationalen Tag der Passwortzurücksetzung erklärt. Dieser Tag soll die Menschen an die Bedeutung des Passwortschutzes erinnern. Ist dies noch sinnvoll?

Dieser Tag soll die Menschen dazu ermutigen, alle ihre Passwörter zu ändern, was die Sicherheit erhöhen soll. Aber wenn man so viele Passwörter ändern muss, erstellen die Leute sie in der Regel nach bestimmten Mustern oder, was noch schlimmer ist, sie verwenden überall dasselbe Passwort. Passwörter sollten unterschiedlich und sicher sein und an einem sicheren Ort aufbewahrt werden!

Da es unmöglich ist, sich alle Passwörter zu merken, geschweige denn solche, die sich ständig ändern, bewahren die Menschen sie an unsicheren Orten auf. Zum Beispiel auf einem Blatt Papier unter der Tastatur. Wenn dies auf Sie oder Ihre Kollegen zutrifft, ändern Sie das Passwort sofort und werfen Sie den Zettel weg!

Aber wie bewahren Sie Ihre Passwörter sicher auf?

Sie sollten einen Passwort-Manager wie Bitwarden verwenden und Ihre Passwörter nicht nach einem Kalender ändern. Ja, sie müssen gelegentlich aktualisiert werden, aber nicht unbedingt einmal im Jahr oder noch öfter. Es ist sehr wichtig, Ihr Passwort zu ändern, wenn es möglicherweise durch eine Sicherheitsverletzung kompromittiert wurde oder wenn seine Länge nicht mehr den modernen Standards entspricht. Außerdem sollten Sie nie zweimal dasselbe Passwort verwenden.

Passwortmanager verfügen über gute Passwortgeneratoren, die lange und zufällige Passwörter erstellen, welche Angreifer nicht erraten können. Auch die Verwendung von Passwörtern ist einfach: Sie können das Passwort mit ein paar Klicks kopieren oder eine Browsererweiterung verwenden, die Sie zur Verwendung des Passworts auffordert.

Das einzige Passwort, das Sie sich merken müssen, ist das Master-Passwort. Es sollte sicher aufbewahrt und separat gelagert werden. Mit diesem Passwort erhalten Sie Zugang zum Tresor.

Ein komplexes und nicht kompromittiertes Passwort ist viel besser als ein ständiger Wechsel von einfachen und unsicheren Passwörtern. Verwenden Sie einen Passwort-Manager und bleiben Sie sicher! Für die Einrichtung eines Passwort-Tresors für Organisationen kontaktieren Sie uns.

Im Oktober 2022 veröffentlichte der Twitter-Account der New York Post mehrere beleidigende und gewaltverherrlichende Tweets. Das Unternehmen erklärte zunächst, das Konto sei gehackt worden. Wenig später stellte sich heraus: Ein Mitarbeiter hatte die Tweets verfasst — ein Mitarbeiter, der für seine Rolle keinen Zugriff auf den offiziellen Twitter-Account hätte haben müssen.

Das eigentliche Problem: Unkontrollierte Zugriffsrechte

Der Vorfall war kein Cyberangriff im klassischen Sinne. Aber er illustriert ein Sicherheitsproblem, das in vielen Unternehmen existiert: Mitarbeiter haben Zugriff auf Systeme und Accounts, die sie für ihre tägliche Arbeit nicht benötigen.

Das Prinzip dahinter ist so alt wie die IT-Sicherheit selbst: Least Privilege — jeder Benutzer erhält nur die minimalen Zugriffsrechte, die für seine Aufgabe erforderlich sind. In der Praxis wird dieses Prinzip häufig unterlaufen:

• Berechtigungen werden bei Abteilungswechseln nicht angepasst: Ein Mitarbeiter wechselt von Marketing zu HR, behält aber den Zugriff auf Social-Media-Accounts
• Geteilte Zugangsdaten: Team-Passwörter für Social-Media-Accounts, Admin-Portale oder Cloud-Dienste werden an mehr Personen weitergegeben als nötig
• Fehlende regelmäßige Access Reviews: Berechtigungen werden einmal vergeben und nie überprüft
• Kein Offboarding-Prozess: Ausscheidende Mitarbeiter behalten Zugriff auf Systeme, weil niemand die Deaktivierung anstößt

Insider-Risiko: Nicht nur böswillig

Wenn von Insider-Bedrohungen gesprochen wird, denken viele an bewusste Sabotage. Die Realität ist differenzierter. Laut dem Verizon Data Breach Investigations Report 2023 sind übermäßige Berechtigungen ein wesentlicher Faktor bei Datenschutzverletzungen durch Insider — ob fahrlässig oder absichtlich.

Übermäßige Zugriffsrechte vergrößern den Blast Radius jedes Sicherheitsvorfalls:

• Ein Phishing-Angriff auf einen Mitarbeiter mit zu vielen Rechten kompromittiert mehr Systeme
• Ein gestohlenes Passwort eines Mitarbeiters mit Admin-Zugang öffnet das gesamte Netzwerk
• Ein unzufriedener Mitarbeiter mit unnötig breitem Zugriff kann mehr Schaden anrichten

Privilegierte Accounts: Mehr Schutz, nicht mehr Rechte

Administratoren und Führungskräfte benötigen erweiterte Zugriffsrechte — das ist unvermeidlich. Aber diese Accounts erfordern zusätzliche Schutzmaßnahmen:

• Multi-Faktor-Authentifizierung (MFA) für alle privilegierten Accounts — ohne Ausnahme
• Privileged Access Management (PAM): Zentrale Verwaltung und Überwachung privilegierter Zugänge, zeitlich begrenzte Rechteerweiterung (Just-in-Time Access)
• Separate Admin-Accounts: Tägliche Arbeit mit Standard-Account, Administrative Aufgaben nur über dedizierten Admin-Account
• Session-Monitoring: Protokollierung aller Aktionen mit privilegierten Accounts

Identity Governance als kontinuierlicher Prozess

Zugriffsrechte zu verwalten ist kein einmaliges Projekt, sondern ein kontinuierlicher Prozess. Effektives Identity Governance and Administration (IGA) umfasst:

• Automatisiertes Provisioning und Deprovisioning: Zugriffsrechte werden automatisch vergeben, wenn ein Mitarbeiter eine Rolle antritt, und entzogen, wenn er sie verlässt
• Regelmäßige Access Reviews: Manager bestätigen quartalsweise, dass ihre Teammitglieder nur die Rechte haben, die sie benötigen
• Role-Based Access Control (RBAC): Berechtigungen werden an Rollen gebunden, nicht an Personen — das vereinfacht die Verwaltung erheblich
• Anomalie-Erkennung: Ein SIEM, das ungewöhnliche Zugriffsmuster erkennt — ein Mitarbeiter, der plötzlich auf Systeme zugreift, die er nie zuvor genutzt hat

Was ist Zero-Day?

Eine Zero-Day-Schwachstelle ist eine Software-Schwachstelle, die bereits von Hackern entdeckt wurde. Aber Entwickler und Cybersicherheitsexperten wissen nicht einmal, dass sie existiert. Dementsprechend gibt es kein Update, um die Schwachstelle zu beheben. Das verschafft Angreifern einen deutlichen Vorsprung.

Ein Zero-Day-Exploit ist ein Programm oder eine Methode, mit der Angreifer eine identifizierte Schwachstelle ausnutzen.

Ein Zero-Day-Angriff ist die direkte Ausnutzung eines von Hackern entwickelten Exploits. Manchmal können sie es sofort nach der Entwicklung verwenden und müssen nicht auf den richtigen Moment warten. Häufig wird es angewendet, um Daten zu stehlen oder vorübergehend Zugriff auf Server zu erhalten aber auch um sie zu infizieren und damit Angriffe weiter auszudehnen.

Hacker haben in jedem Fall einen deutlichen Vorsprung, der ihnen die Möglichkeit gibt, Angriffe mit hoher Erfolgswahrscheinlichkeit durchzuführen. Oder sie verkaufen diese Informationen über neu entdeckte Schwachstellen für viel Geld auf dem Schwarzmarkt.

Wie kann man erkennen, dass man Opfer eines Zero-Day-Angriffes ist?

Obwohl Sie die Existenz einer Schwachstelle möglicherweise nicht vermuten, verfügen Sie über das Wissen, wie Ihre IT-Infrastruktur unter normalen Bedingungen funktioniert. Machen Sie sich dazu regelmäßig mit den Systemstatistiken vertraut.

Ungewöhnliches Verhalten und Leistungsindikatoren dieser Systeme zeigen Ihnen, dass etwas nicht stimmt. Denn Viren können nicht völlig unbemerkt im Umlauf sein. Das Problem kann jedoch sein, dass die Änderungen geringfügig sind oder der Virus recht schnell ausgeführt wird.

Ein weiteres nützliches Element sind Antivirenprogramme und Datenbanken mit vorhandenen Viren. Wie wir bereits gesagt haben, werden Viren nicht spurlos ausgeführt. Sie können aber auch nach einem typischen Szenario ausgeführt werden, das von einem Antivirusprogramm erkannt werden sollte. Durch den Vergleich des Verhaltens unbekannter Schadsoftware mit bereits vorhandener soll das Antivirusprogramm deren Betrieb blockieren oder zumindest vor der Bedrohung warnen. Diese Programme arbeiten automatisch und sind in der Lage, die Systemleistung in Echtzeit zu bewerten. Ein solcher Schutz kann Sie effektiv vor einem möglichen Angriff warnen, aber leider ist es unwahrscheinlich, dass er Sie schützen kann.

Wie Sie das Risiko einer 0-Day-Attacke reduzieren können?

Überwachen Sie, wie oben bereits angedeutet, den Betrieb Ihrer Systeme und achten Sie auf ungewöhnliches Verhalten.

Implementieren Sie ein Patch-Management-System. Die neuesten Programmversionen sind in der Regel die sichersten. Selbst wenn Unternehmen ein unsicheres Update veröffentlichen, wird dessen Sicherheit ziemlich schnell gepatcht. Deshalb sollten Sie so schnell wie möglich aktualisieren.

Es ist notwendig, einen Aktionsplan zu haben, falls ein Zero-Day-Angriff auf Sie erfolgreich ist. Hauptsächlich verpflichtet es Sie, regelmäßig Backups aller Daten, Websites usw. anzufertigen. Es ist auch ratsam, im Voraus zu wissen, wie Sie den entspechenden Dienstleister kontaktieren können, sodass Ihre Systeme schnellstmöglich wiederhergestellt werden können.

Verwenden Sie Firewalls und Antivirenprogramme. Damit können Sie im Idealfall sogar neue Angriffe erkennen. Beide sollten dafür vernünftig konfiguriert sein.

Entfernen Sie Anwendungen, die Sie selten oder nicht verwenden, von Ihren Geräten. Sie können zu einem Einstiegspunkt für Angreifer werden. Ebenso sollten Sie alte Anwendungen, welche nicht mehr regelmäßig Sicherheitsupdates erhalten, aus Ihren Systemen ausschließen. Wechseln Sie zu einer neuen Alternative oder geben Sie sie auf. Neue Alternativen werden besser geeignet sein, um vor neuer Malware zu schützen.

Wie Neosec Ihnen helfen kann, sicher zu bleiben?

Die oben genannten Maßnahmen werden Ihre Sicherheit nur geringfügig verbessern oder vor einem möglichen 0-Day-Angriff warnen können. Professionelles Setup, individuelles Schutzdesign und Tracking durch Cybersicherheitsexperten ermöglicht Ihnen, selbst diese Arten von Angriffen zu blockieren und die Wahrscheinlichkeit zu verringern, dass Ihre Systeme solchen Angriffen ausgesetzt sind.

Wir erkennen ungewöhnliche Aktivitäten nicht nur durch automatisierte Methoden, sondern prüfen jede dieser Warnungen auch einzeln. Und dafür verwenden wir komplexere Tools zur tieferen Verifizierung von Systemen.

Wir implementieren ein zentralisiertes automatisches Patch-Management. Alle Ihre Geräte verfügen über die neuesten Versionen der Programme, ganz ohne Ihr mitwirken. Wir können Sie auch darüber beraten, welche Programme Sie vermeiden sollten und welche sichereren Alternativen es gibt.

Wir passen den Zugang Ihrer Mitarbeiter zu IT-Systemen nach ihren Bedürfnissen an. Ein erfolgreicher Angriff auf einen bestimmten Mitarbeiter oder sogar eine ganze Abteilung betrifft also nur deren Systeme und nicht das Unternehmen als Ganzes.

Unsere Erfahrung in der Arbeit mit Firewalls und Antivirenprogrammen ermöglicht es Ihnen, diese richtig zu konfigurieren und die besten für Sie auszuwählen.

Auch im Falle eines erfolgreichen Angriffs haben Sie alles bereit, um die Arbeit schnellstmöglich wieder aufzunehmen. Bei Bedarf kann für Kunden ein vollständig unterbrechungsfreier Betrieb eingerichtet werden.

Was ist, wenn nichts getan wird?

Auf die Produkte großer Konzerne können Sie sich nach wie vor verlassen, in der Hoffnung, dass diese Produkte vollständig geschützt sind. Aber in den letzten drei Jahren sind Apple, Google, Microsoft, Zoom und andere erfolgreich solchen Angriffen erlegen. Ihre Systeme sind sperrig und komplex, was ihren Schutz zu einer äußerst schwierigen Aufgabe macht. Dies verursacht periodische Löcher in der Abwehr. Ihr Schutz hat für sie möglicherweise nicht immer Priorität.

Apple, Mozilla und Let’s Encrypt forderten Ende 2022 gemeinsam die Einführung einer zentralen Sperrliste für kompromittierte SSL/TLS-Zertifikate. Google — dessen Browser Chrome über 60 Prozent Marktanteil hält — hat sich zu dem Vorschlag zunächst nicht geäußert. Die Initiative wirft eine grundlegende Frage auf: Wie kann das Ökosystem der Web-Verschlüsselung mit kompromittierten Zertifikaten umgehen, ohne die Performance und Verfügbarkeit des Internets zu beeinträchtigen?

Was SSL/TLS-Zertifikate leisten — und wo das Problem liegt

SSL/TLS-Zertifikate sind das Fundament der Web-Verschlüsselung. Sie stellen sicher, dass die Verbindung zwischen Browser und Webserver verschlüsselt ist (das Schloss-Symbol in der Adressleiste) und dass die Website tatsächlich dem angegebenen Betreiber gehört. Zertifikate werden von Certificate Authorities (CAs) wie Let’s Encrypt, DigiCert oder Sectigo ausgestellt.

Das Problem entsteht, wenn Zertifikate kompromittiert werden — etwa durch gestohlene Private Keys, fehlkonfigurierte Server oder kompromittierte CAs. In solchen Fällen muss das Zertifikat widerrufen werden. Aber wie erfährt der Browser, dass ein Zertifikat ungültig ist?

CRL und OCSP: Die gescheiterten Ansätze

Historisch gab es zwei Mechanismen:

• Certificate Revocation Lists (CRL): Eine zentrale Liste aller widerrufenen Zertifikate, die Browser regelmäßig herunterladen. In den Anfängen des Web funktionierte das. Mit dem exponentiellen Wachstum der Zertifikatszahlen wurden CRLs zu groß und zu langsam — und wurden von den meisten Browsern aufgegeben
• Online Certificate Status Protocol (OCSP): Der Browser fragt bei jedem Seitenaufruf den OCSP-Server der CA, ob das Zertifikat noch gültig ist. Das erzeugt Latenz, Datenschutzprobleme (die CA erfährt, welche Websites der Nutzer besucht) und funktioniert nicht, wenn der OCSP-Server nicht erreichbar ist. Die meisten Browser implementieren daher Soft-Fail: Wenn der OCSP-Server nicht antwortet, wird das Zertifikat trotzdem akzeptiert

Das Ergebnis: In der Praxis werden widerrufene Zertifikate von vielen Browsern stillschweigend akzeptiert.

Der Vorschlag: CRLite und kompakte Sperrlisten

Der Vorstoß von Apple, Mozilla und Let’s Encrypt zielt auf eine verbesserte Technologie: komprimierte Sperrlisten, die lokal im Browser vorgehalten und regelmäßig aktualisiert werden. Mozilla entwickelt mit CRLite einen Ansatz, der die gesamte Widerrufsinformation des Web-PKI-Ökosystems in eine Datenstruktur von wenigen Megabyte komprimiert. Updates werden inkrementell ausgeliefert — ähnlich wie Virendefinitionen.

Der Vorteil: Kein OCSP-Lookup bei jedem Seitenaufruf, keine Latenz, kein Datenschutzproblem, kein Soft-Fail. Der Browser hat die Information lokal und kann kompromittierte Zertifikate zuverlässig blockieren.

Warum Googles Position entscheidend ist

Chrome hat mit über 60 Prozent den größten Marktanteil unter den Desktop-Browsern. Ohne Chromes Unterstützung bleibt jede Sperrlisten-Initiative lückenhaft. Google verfolgt mit CRLSets einen eigenen Ansatz — eine kuratierte, kleinere Liste besonders kritischer Widerrufe. Kritiker bemängeln, dass CRLSets nur einen Bruchteil der widerrufenen Zertifikate abdecken.

Google hat inzwischen angekündigt, OCSP-Checks in Chrome vollständig abzuschaffen, da sie in der Praxis keinen effektiven Schutz bieten. Ob Chrome auf CRLite oder eine vergleichbare Technologie umschwenkt, ist offen.

Relevanz für Unternehmen

Für Unternehmen hat die Zertifikats-Thematik praktische Konsequenzen:

• Zertifikatsmanagement: Unternehmen müssen ihre eigenen Zertifikate aktiv verwalten — Ablaufdaten überwachen, kompromittierte Zertifikate zeitnah widerrufen und Private Keys sicher speichern
• Certificate Transparency Monitoring: Dienste wie crt.sh ermöglichen es, neu ausgestellte Zertifikate für die eigenen Domains zu überwachen. Unautorisiert ausgestellte Zertifikate können ein Hinweis auf DNS-Hijacking oder CA-Kompromittierung sein
• Phishing-Erkennung: Das Schloss-Symbol allein ist kein Sicherheitsindikator. Auch Phishing-Seiten verwenden gültige SSL-Zertifikate — Let’s Encrypt stellt Zertifikate automatisiert und kostenlos aus. Mitarbeiter müssen wissen, dass HTTPS lediglich die Verschlüsselung der Verbindung garantiert, nicht die Legitimität der Website

Mehr als 600 bekannte Schwachstellen in VPN-Produkten sind in der CVE-Datenbank registriert. Laut dem Zscaler VPN Risk Report 2022 verlassen sich trotzdem 95 Prozent der Unternehmen auf VPN als primären Remote-Access-Mechanismus. Gleichzeitig beobachteten 44 Prozent einen Anstieg von Angriffen auf ihre VPN-Infrastruktur. Das Sicherheitsversprechen von VPN hält der Realität nicht stand.

Was VPN tatsächlich leistet — und was nicht

VPN verschlüsselt den Datenverkehr zwischen dem Endgerät und dem VPN-Gateway und verbirgt die IP-Adresse des Nutzers gegenüber dem Zielserver. Das schützt in unsicheren Netzwerken (öffentliches WLAN, Hotel, Flughafen) vor passivem Mitlesen und bestimmten Man-in-the-Middle-Angriffen.

Was VPN nicht leistet:

• Kein Schutz vor Phishing: VPN verschlüsselt den Transport, nicht den Inhalt. Wer Zugangsdaten auf einer Phishing-Seite eingibt, wird trotz VPN kompromittiert
• Kein Schutz kompromittierter Endgeräte: Ist das Gerät eines Mitarbeiters mit Malware infiziert, tunnelt VPN den Schadverkehr direkt ins Unternehmensnetz
• Kein Identitätsnachweis: VPN authentifiziert die Verbindung, nicht den Nutzer. Gestohlene VPN-Credentials gewähren vollen Netzwerkzugang
• Keine granulare Zugriffskontrolle: Klassische VPNs gewähren nach erfolgreicher Verbindung Zugang zum gesamten Netzwerk — nicht nur zu den Ressourcen, die der Nutzer tatsächlich benötigt

VPN-Schwachstellen als Angriffsvektor

VPN-Appliances selbst sind hochwertige Ziele. Sie stehen per Definition am Netzwerkrand und sind aus dem Internet erreichbar. Kritische Schwachstellen in VPN-Produkten von Fortinet (CVE-2024-21762), Ivanti (CVE-2024-21887), Palo Alto Networks (CVE-2024-3400) und Cisco (CVE-2023-20269) wurden in den letzten Jahren aktiv ausgenutzt — teils als Zero-Days, bevor Patches verfügbar waren.

Die CISA hat mehrfach Notfall-Direktiven zu VPN-Schwachstellen herausgegeben. VPN-Appliances gehören zu den am häufigsten in den KEV-Katalog (Known Exploited Vulnerabilities) aufgenommenen Produktkategorien.

Zuverlässigkeitsprobleme auf mobilen Geräten

Selbst die grundlegende Funktion — Verschlüsselung des gesamten Datenverkehrs — ist nicht garantiert. Mullvad dokumentierte im Oktober 2022, dass Android Connectivity-Check-Traffic am VPN vorbeileitet, selbst wenn die Option „VPN immer aktiv” und „Verbindungen ohne VPN blockieren” aktiviert ist. iOS hat ähnliche Probleme: Mysk-Forscher zeigten, dass Apple-Dienste VPN-Tunnel umgehen.

Für Unternehmen bedeutet das: Selbst bei korrekt konfiguriertem VPN können sensible Metadaten das Gerät unverschlüsselt verlassen.

Zero Trust als Alternative

Der Zero-Trust-Ansatz löst die grundlegenden Architekturprobleme von VPN. Statt dem gesamten Netzwerk nach erfolgreicher VPN-Verbindung zu vertrauen, wird jeder Zugriff einzeln authentifiziert und autorisiert:

• Identity-basierter Zugriff: Nicht das Netzwerk, sondern die Identität des Nutzers bestimmt, welche Ressourcen erreichbar sind
• Device Compliance: Nur verwaltete, konforme Geräte erhalten Zugang — unabhängig vom Standort
• Least Privilege: Zugriff wird granular gewährt — auf Anwendungsebene, nicht auf Netzwerkebene
• Continuous Verification: Die Zugriffsberechtigung wird kontinuierlich überprüft, nicht nur zum Verbindungsaufbau

Microsoft, Google und das NIST (SP 800-207) propagieren Zero Trust als Ablösung des perimeterbasierte Sicherheitsmodells, auf dem VPN basiert. Für Unternehmen, die noch nicht vollständig auf Zero Trust umstellen können, empfiehlt sich als Zwischenschritt: MFA für VPN-Zugänge verpflichtend machen, Netzwerksegmentierung implementieren und VPN-Appliances in das SIEM-Monitoring einbinden.

Dabei handelt es sich um einen verteilten Denial-of-Service-Angriff, der darauf abzielt, legitime Benutzer am Zugriff auf die Dienste des Opfers zu hindern. Angreifer, die sich als Benutzer ausgeben, senden so viele Anfragen an Server wie möglich. Dadurch verlangsamen sie die Server, verhindern Benutzeranfragen und zwingen die Server manchmal zu einem Neustart.

Die meisten dieser Angriffe werden von so genannten Botnetzen aus durchgeführt. Dabei handelt es sich um mit Malware infizierte Geräte, die die Anweisungen der Hacker ausführen. Solche Geräte werden als Bots oder Zombies bezeichnet. Dabei kann es sich sowohl um gewöhnliche Computer als auch um IoT- und andere mit dem Netz verbundene Geräte handeln.

Das Ausmaß eines DDoS-Angriffs kann enorm sein. Im Jahr 2017 wurde die Google Cloud mit einem Spitzenverkehrsvolumen von 2,54 Terabyte pro Sekunde angegriffen. Das ist fast doppelt so viel wie der gesamte weltweite Internetverkehr in einer Stunde im Jahr 1999.

Welche Probleme verursacht ein verteilter Denial-of-Service-Angriff?

Das Hauptziel eines DDoS-Angriffs ist es, dem Unternehmen finanzielle Verluste zuzufügen. Vor allem durch Gewinneinbußen, weil die Dienstleistungen des Unternehmens für die Kunden nicht mehr verfügbar sind oder der Zugang zu ihnen erheblich erschwert wird. Oder das Unternehmen wird gezwungen, die Informationsinfrastruktur zu erweitern, ohne dass dies wirklich notwendig ist, sondern nur, um die Geschäftsleitung durch eine Erhöhung des Datenverkehrs zu täuschen. Dabei handelt es sich eigentlich um einen DDoS-Angriff, allerdings ohne scharfe Spitzen, so dass er schwer zu erkennen ist.

Ein anderes gefährliches Ziel kann als “Deckung” für einen weiteren Angriff dienen. Auf diese Weise können Hacker die Verteidigung dazu zwingen, alle Anstrengungen und Aufmerksamkeit auf die Bewältigung des DDoS-Angriffs zu richten und einen weiteren Angriff zu verpassen. Oder bringen Sie das Opfer dazu, seltsames Verhalten eines Servers, einer Website, einer Datenbank usw. mit einem verteilten Denial-of-Service-Angriff hervorzubringen. Gleichzeitig wird der Möglichkeit eines weiteren Anschlags häufig nicht genügend Aufmerksamkeit geschenkt.

Wie erkennt man einen DDoS-Angriff?

Einen DDoS-Angriff kann man erkennen durch:

• Ein starker Anstieg des Verkehrsaufkommens, sowohl auf einzelnen Seiten als auch auf der Website insgesamt.
• Identisches Verhalten von “Nutzern” oder ähnlichen Standorten, Browsern, Geräten usw.
• Verkehrsüberlastung zu bestimmten Zeiten (17:00 Uhr) oder mit einem bestimmten Wiederholungsintervall (alle 10 Minuten).
• ungewöhnliche Anfragen an den Server.

Es ist jedoch nach wie vor schwierig zu erkennen, wo sich der Bot und wo sich der rechtmäßige Benutzer befindet, da die so genannten “Zombies” selbst Benutzergeräte sind. Manchmal sind die Angriffe recht einfach und leicht zu filtern. Und manchmal können sie recht anspruchsvoll sein und eine tiefere Analyse erfordern. Wie bei anderen Arten von Angriffen lässt sich leider auch die Entstehung von Denial-of-Service als Dienst nachvollziehen. Unter dem Deckmantel der Erbringung von Testdiensten bietet dies sogar Personen, die weit vom Hacken entfernt sind, die Möglichkeit, leistungsstarke DDoS-Angriffe durchzuführen.

Wenn Sie hingegen ein neues Produkt auf den Markt bringen, kann es sein, dass die Website einen großen Nutzeransturm erlebt. Und niemand will Angreifern helfen, indem er legitime Nutzer mit seinen eigenen Händen abweist. Werbeaktionen und Sonderangebote können auch dazu führen, dass Menschen ein “seltsames” Verhalten an den Tag legen, indem sie die Seite regelmäßig aktualisieren oder die Website zu bestimmten Zeiten besuchen. Daher ist es nicht zielführend, sich bei der Verkehrsfilterung nur auf solche Indikatoren zu verlassen. Wie immer ist hier ein umfassender Ansatz erforderlich.

Brauchen wir wirklich einen Schutz und wie kann dieser aussehen

DDoS ist ein gängiger Angriff, der erhebliche finanzielle Verluste verursachen kann. Oder Sie erhöhen Ihre Kosten für die digitale Infrastruktur erheblich, indem Sie vorgeben, den Verkehr zu erhöhen. Eine auch nur kurzzeitige Nichtverfügbarkeit von Dienstleistungen kann dazu führen, dass einige Kunden für immer verloren gehen.

Wie bereits erwähnt, sind Verhaltensfaktoren einer der wichtigsten,aber nicht sehr zuverlässigen Indikatoren. Die Hauptaufgabe des Schutzes in dieser Situation wird darin bestehen, keinen Schaden anzurichten. Es ist absolut inakzeptabel, legitimen Kunden den Zugang zu diesem Dienst zu verwehren. Eine manuelle Filterung des Datenverkehrs und die Beurteilung seiner Rechtmäßigkeit ist ebenfalls absolut unmöglich.

Angriffe werden von der Firewall automatisch erkannt und führen nicht zur Unterbrechung der Client-Verbindung, sondern verlangsamen nur die Antwort des Servers. Und zwar so, dass es für die Kunden fast nicht wahrnehmbar ist, aber den Angriff zunichte macht. Außerdem werden einige IP-Adressen, bei denen es sich offensichtlich um Bots handelt, für einen wirksameren Schutz vollständig gesperrt.

Komplexere Angriffe werden durch die Art der Anfrage bestimmt und am Server “vorbeigeschickt” , um den Aufruf spezieller Anfragen zu verhindern, die den Server belasten, aber von legitimen Clients nicht aufgerufen werden können.

Wir bieten Lösungen für einen permanenten automatischen Schutz zum Blockieren und Entschärfen von DDoS-Angriffen. Außerdem erhalten Sie Unterstützung bei der tieferen Analyse von Angriffen und der Verbesserung des Schutzes je nach Bedarf. Wir bewerten die Sicherheit umfassend und lassen Angreifern keinen Raum für Manöver.