Open-Source-Software

Ein Security-Stack, dessen Logik Sie verstehen statt glauben.

Sicherheitswerkzeuge, deren Erkennung eine Blackbox ist, sind schwer zu prüfen und skalieren oft pro Endgerät ins Geld. Wir bauen einen offenen Security-Stack aus bewährten Werkzeugen, von Wazuh über Suricata bis OpenVAS, einzeln einsetzbar oder integriert, auditierbar und in Ihrer Infrastruktur betreibbar.

Security-Stack besprechen Werkzeuge ansehen
EBENEN OPEN SOURCE NUTZEN Erkennung Netzwerk Schwachstellen Audit-Trail Audit-Logs Datenhoheit Security Stack Wazuh Suricata OpenVAS

Transparente Erkennung

  • Regeln und Logik sind einsehbar, keine Blackbox
  • Prüfbar im Audit, nachvollziehbar im Vorfall

Lizenz ohne Pro-Gerät-Falle

  • Kosten skalieren nicht je Endpunkt
  • Relevanter Unterschied bei wachsenden Umgebungen

Eigene Infrastruktur

  • On-Premises betreibbar, volle Datenhoheit
  • Komponenten einzeln oder als Stack

Die Zentrale

Wazuh als Auge auf dem Ganzen.

Bevor einzelne Werkzeuge greifen, braucht es eine Stelle, an der Logs, Meldungen und Endpoints zusammenlaufen. Das ist die Aufgabe von Wazuh.

Wazuh

Open Source, GPLv2

Wazuh Inc.

Projektseite Wissen: SIEM

Die zentrale Erkennung des Stacks: sammelt Logs und Sicherheitsmeldungen, überwacht Endpoints und macht Vorfälle auswert- und nachweisbar.

Passt, wenn

Wer eine offene, nachweisbare zentrale Sicherheits- und Log-Auswertung braucht.

Stärken

  • SIEM und XDR in einem: Log-Analyse, Korrelation und Alarmierung an einer Stelle
  • Agenten auf den Endpoints für Integritätsüberwachung (FIM) und Compliance-Checks
  • Auswertungen mit Blick auf NIS2 und Standards wie PCI-DSS
  • Eigener Indexer auf OpenSearch-Basis (Apache 2.0) als offene Such- und Datenschicht
  • Aus dem etablierten OSSEC hervorgegangen, breit im Einsatz
SIEM/XDR Endpoint-Agenten FIM OpenSearch Compliance

Die Werkzeuge im Einzelnen

Für jede Aufgabe das passende offene Werkzeug.

Erkennung, Schwachstellenprüfung, Abwehr und Härtung, jeweils mit erprobten Open-Source-Werkzeugen. Die ergebnisorientierte Sicht dazu finden Sie im Lösungsfeld IT-Sicherheit.

Netzwerk-Erkennung

Auffälligkeiten im Datenverkehr erkennen: IDS, IPS und Monitoring.

Suricata

· GPLv2

IDS / IPS & Monitoring

Echtzeit-IDS/IPS, das Netzwerkverkehr regelbasiert prüft, mehrkernfähig und protokollbewusst.

OISF Projektseite

Zeek

· BSD

Network Security Monitoring

Analysiert Verkehr tiefgehend und schreibt strukturierte Logs statt reiner Alarme, stark in der Forensik.

Zeek-Projekt Projektseite

Snort

· GPLv2

IDS / IPS

Der etablierte regelbasierte Klassiker, aktuell als Snort 3. Die Subscriber-Regelsätze sind kommerziell.

Cisco Projektseite

Schwachstellen & Tests

Systeme und Anwendungen aktiv auf Lücken prüfen.

OpenVAS / Greenbone

· GPLv2

Schwachstellenscan

Regelmäßige Netzwerk-Schwachstellenscans gegen tausende Tests, aus deutscher Entwicklung.

Greenbone AG, Osnabrück Projektseite

Nuclei

· MIT

Template-Scanner

Schneller, template-basierter Scanner für CVEs, Fehlkonfigurationen und exponierte Dienste.

ProjectDiscovery Projektseite

OWASP ZAP

· Apache 2.0

Web-App-Scanner (DAST)

Prüft Webanwendungen dynamisch auf Schwachstellen, etwa die OWASP Top 10.

ZAP, betreut von Checkmarx Projektseite

Abwehr, Härtung & Malware

Angriffe blocken, Systeme härten, Schadcode finden.

CrowdSec

· MIT

Automatisches Blocken

Erkennt Angriffsmuster verhaltensbasiert und blockt Angreifer automatisch. Die Engine ist MIT-lizenziert, erweiterte Threat-Intel-Feeds sind kostenpflichtig.

CrowdSec SAS, Frankreich Projektseite

Lynis

· GPLv3

Hardening & Audit

Prüft Linux- und Unix-Systeme gegen Sicherheits-Baselines und gibt priorisierte Härtungs-Hinweise.

CISOfy Projektseite

ClamAV

· GPLv2

Virenscan

Offene Antivirus-Engine, besonders am Mail-Gateway und auf Datei-Servern.

Cisco / Talos Projektseite

Incident Response

Bausteine für den Ernstfall, als Ausbaustufe.

Wenn es zur Aufklärung und Reaktion kommt, ergänzen wir den Stack gezielt. Diese Werkzeuge bringen wir ins Spiel, sobald sie gebraucht werden.

Velociraptor

· AGPLv3

DFIR & Threat Hunting

Sammelt forensische Artefakte von Endpoints und erlaubt gezielte Abfragen im Ernstfall.

Rapid7 Projektseite

MISP

· AGPLv3

Threat-Intel-Sharing

Teilt und korreliert Bedrohungsindikatoren zwischen Organisationen, CERTs und Partnern.

CIRCL, Luxemburg Projektseite

Vorgehen

Vom Schutzziel zum laufenden, geprüften Betrieb.

01

Schutzziel klären

Was nachgewiesen oder verhindert werden soll: NIS2, Cyberversicherung, Ransomware, Insider-Risiken.

02

Werkzeuge wählen

SIEM, IDS/IPS, Schwachstellen-Scan und Abwehr passend zum Schutzziel zusammenstellen.

03

Integration

Log-Quellen, Regelbasis, Agenten und Alarmierung sauber miteinander verbinden.

04

Validieren

Erkennung mit Tests prüfen und False Positives gezielt senken.

05

Betrieb & Pflege

Regeln, Feeds und Reports pflegen und den Stack aktuell halten.

Technische Bausteine

Womit wir den Security-Stack aufbauen.

Eine Auswahl der Bausteine, die wir zum Beispiel einsetzen.

SIEM & Logs

Wazuh OpenSearch Sigma-Regeln

Netzwerk-Erkennung

Suricata Zeek Snort

Schwachstellen

OpenVAS / Greenbone Nuclei OWASP ZAP

Abwehr & Härtung

CrowdSec Lynis CIS Benchmarks

Endpoint & Malware

Wazuh-Agent ClamAV Velociraptor

Threat Intel

MISP Sigma Feeds

Bevor das nächste Audit kommt

Fragen zum Security-Stack.

Antworten auf typische Fragen zu Open-Source-Sicherheit, Abgrenzung zum Lösungsfeld IT-Sicherheit, Einführung in Stufen, SOC-Betrieb und Kosten.

Security-Stack besprechen

Oft ist sie transparenter: einsehbare Regeln und breite Communities, die Schwachstellen schnell aufdecken. Entscheidend ist nicht offen oder kommerziell, sondern saubere Konfiguration, Pflege und ein Betrieb, der die Werkzeuge versteht. Genau das liefern wir mit.

Hier geht es um den offenen Werkzeug-Stack: welche Open-Source-Komponenten Sie einsetzen und souverän betreiben. Die ergebnisorientierte Sicht, also SIEM & Logging, Identity & Access und Zero Trust, behandeln wir im Lösungsfeld IT-Sicherheit. Beide ergänzen sich.

Nein. Die Komponenten sind einzeln einsetzbar und wachsen zusammen. Wir starten am größten Hebel, oft ein SIEM für die Nachweisführung, und bauen aus, wo es sich lohnt.

Nicht zwingend. Wir bauen und betreiben den Stack und richten Erkennung und Reports ein. Die laufende Überwachung gestalten wir je nach Servicemodell, für einen durchgehenden 24/7-Betrieb arbeiten wir mit spezialisierten SOC-Partnern zusammen.

Wir achten darauf, was wirklich offen ist. Graylog etwa wird heute unter der SSPL vertrieben und gilt nicht als OSI-zertifiziertes Open Source, deshalb führen wir es nicht in dieser Liste. Für zentrale Logs und Erkennung setzen wir auf Wazuh mit OpenSearch, beide unter anerkannten Open-Source-Lizenzen.

Die Lizenzkosten skalieren nicht pro Endgerät, was bei wachsenden Umgebungen einen echten Unterschied macht. Aufwand entsteht in Betrieb und Pflege, und den machen wir vorab transparent, statt ihn zu verstecken.

Der nächste Schritt

Klären wir, welchen offenen Security-Stack Sie wirklich brauchen.

Wir bestimmen Ihr Schutzziel, wählen die passenden Werkzeuge von Wazuh über Suricata bis OpenVAS und bauen einen Stack, den Sie auditieren und selbst betreiben können.

Anfrage per E-Mail senden oder Formular ausfüllen