Das Chaos der SIEM-Konsolidierung beweist: Es gibt keine Einheitslösung

Der SIEM-Markt verändert sich rasant. Die Nachfrage nach Protokollverwaltung und Bedrohungserkennung steigt weiter an, aber auch der Konsolidierungsdruck nimmt zu. Allein im letzten Jahr waren die meisten Anbieter, die im Gartner SIEM Magic Quadrant 2024 aufgeführt sind – darunter Exabeam, IBM, Google und Splunk – an Fusionen oder Übernahmen beteiligt.

Diese rasante Konsolidierungswelle hat viele Kunden dazu veranlasst, sich Gedanken über die Auswirkungen auf ihre Zukunft zu machen. Was wird aus der Stabilität der Roadmap, den Service-Levels und der Zuverlässigkeit der Integration?

Die bedauerliche Antwort: Allzu oft geraten Kunden zwischen die Fronten.

Wenn Konsolidierung Kunden gefährdet

M&A-Aktivitäten im Sicherheitsbereich sind nichts Neues und bedeuten nicht immer Fortschritt. Der Trend, Tools zu umfassenden „Sicherheitsplattformen“ zusammenzufassen, klingt vielversprechend, aber die Geschichte zeigt etwas anderes. Die Übernahme von McAfee durch Intel im Jahr 2010 wurde als transformativer Schritt angepriesen. Sechs Jahre später wurde der größte Teil davon wieder verkauft. Oder die Übernahme von Arcsight durch HP, einst ein starker Marktführer im SIEM-Markt. Als HP später HP Enterprise, einschließlich Arcsight, an Micro Focus ausgliederte, kritisierte Gartner HP im SIEM MQ als „an Sichtbarkeit verlierend”.

Springen wir zurück in die Gegenwart, hören Kunden wieder dieselben Versprechungen: Innovation, Integration, vereinfachte Sicherheitsstacks. Aber die eigentliche Frage lautet: Haben sich die Ergebnisse tatsächlich verbessert?

In vielen Fällen nein. Fusionen, die auf die Vereinheitlichung von Plattformen abzielen, verlangsamen oft die Innovation, belasten die Produktteams und bergen Risiken. Intern verlagern sich die Prioritäten auf Integrationsbemühungen. Extern bleiben den Anwendern unklare Roadmaps, redundante Funktionen und komplexe Kundensupportwege.

Nehmen wir die Übernahme von Splunk durch Cisco. Es ist noch unklar, wie die langfristige Produktvision aussieht und wie sich dies auf Kunden auswirken könnte, die täglich darauf angewiesen sind. Das Endergebnis: mehr Komplexität, weniger Transparenz und höhere Kosten – getragen von genau den Nutzern, die diese Plattformen angeblich unterstützen.

Die tatsächlichen Kosten der SIEM-Konsolidierung

Für Sicherheitsteams, die eine Modernisierung anstreben, kann die Konsolidierung von Anbietern wie eine Falle wirken. Anstatt sich auf die Lösung der Herausforderungen für Sicherheitsanalysten zu konzentrieren, verlagert die konsolidierte SIEM das Risiko auf den Kunden:

Innovationen verlangsamen sich, da Unternehmen interne Abstimmungen gegenüber tatsächlichen Fortschritten priorisieren.
Jede Innovation muss durch weitere Übernahmen erzielt werden – was zu aufgesetzten Funktionen und teuren Add-ons führt.
Die Alarmmüdigkeit steigt, wenn Plattformen es versäumen, Erkennungstechnik und Benutzererfahrung zu priorisieren.
Die Kosten steigen, während die Flexibilität der Plattform abnimmt.

Das ist keine Integration, sondern Trägheit. Außerdem erschwert es Sicherheitsteams, schnell zu reagieren und Bedrohungen in sich entwickelnden Umgebungen zu priorisieren.

Das Versprechen von SIEM

Moderne SIEM-Lösungen ermöglichen es Teams, Bedrohungen schneller zu erkennen, Störsignale zu filtern und die Arbeit zu automatisieren, die Analysten ausbremst. Dies erfordert ständige Innovation, um eine immer höhere Erkennungswirksamkeit und betriebliche Effizienz zu erzielen.

In der Praxis bedeutet dies:

Verbesserte Analystenerfahrung: Intuitive Workflows, die die Alarmmüdigkeit reduzieren und Teams dabei helfen, sich auf echte Bedrohungen zu konzentrieren.
Offene Integration: Nahtlose Verbindungen mit erstklassigen Tools – keine aufgezwungenen Ökosysteme.
Intelligente Automatisierung: Routinen, die manuellen Aufwand beseitigen, ohne Fehlalarme auszulösen.
Zweckmäßige Künstliche Intelligenz (KI): Maschinelles Lernen und GenAI, die nicht nur Aktivitäten, sondern auch Erkenntnisse aufzeigen und die menschliche Entscheidungsfindung unterstützen.

Das sind die Ergebnisse, die Kunden tatsächlich wollen. Das ist es, worauf SIEM-Innovationen abzielen sollten.

Wie es wirklich ablaufen sollte

SIEM-Anbieter sollten den Weg der Bündelung und Aufblähung vermeiden und sich darauf konzentrieren, praktische Lösungen zu liefern, die so funktionieren, wie es Sicherheitsteams benötigen. Es braucht fokussierte Innovation: Neue Möglichkeiten, Warnmeldungen zu überprüfen, Protokolle zu untersuchen und Arbeitsabläufe zu verbessern, ohne unnötige Komplexität. Hinzu kommen offene Integrationen. Keine Lock-ins oder Migrationsfallen, sondern die Unterstützung des Unternehmens-Stack durch offene APIs und flexible Konnektoren.

Workflow-orientierte Automatisierung ist ein weiterer wichtiger Baustein. Von der Alarmtriage bis zur Compliance-Berichterstattung müssen die Automatisierungen darauf ausgelegt sein, Zeit zu sparen und Störfaktoren zu reduzieren. Einsatz von KI, die ergänzt, statt ersetzt. Integriertes ML, das Analysten hilft, das zu sehen, was andere übersehen – ohne die dahinterstehende Logik zu verbergen. Das Ergebnis ist ein System, das sich an Unternehmensumgebung anpasst, nicht umgekehrt. Es ist schnell, zuverlässig und für Teams konzipiert, die Ergebnisse brauchen, keine Ausreden.

SIEM in der Zukunft

Die Zukunft von SIEM liegt nicht in Einheitsplattformen oder konsolidierungsorientierten Strategien. Sie liegt in Tools, die Benutzerkontrolle, Integrationsflexibilität und operative Transparenz in den Vordergrund stellen. Denn wenn Anbieter Größe vor Service stellen, zahlen die Sicherheitsteams den Preis dafür.

Autor: Andy Grolnick, CEO vom SIEM-Sicherheitsanbieter Graylog

Grolnick verfügt über mehr als dreißig Jahre Erfahrung im Aufbau und in der Führung wachstumsstarker Technologieunternehmen in den Bereichen Unternehmenssoftware, Sicherheit und Storage. Sein Fokus hochwertige Produkte bereitzustellen sowie den Kundenerfolg und eine starke Unternehmenskultur zu fördern sind sein Erfolgsrezept.

Passend dazu: