Zwischen allen Rohren:

Matthias Vallentin, Tenzir im Gespräch mit Milena Milivojevic, IM+io

(Titelbild: © AdobStock | 1227209627 | master1305 )

MV: Die Wurzeln unseres Unternehmens liegen in meiner Zeit an der University of California in Berkeley. Damals habe ich mich intensiv mit Netzwerkforensik beschäftigt – also damit, wie man Sicherheitsvorfälle in großen Netzwerken untersucht und nachvollzieht. Typische Fragen dabei waren zum Beispiel: Wie sind Angreifer ins Netzwerk gelangt? Was haben sie gemacht? Wie lange waren sie aktiv? Ich habe damals eine besonders leistungsfähige Analyse-Engine entwickelt, die diese Fragen schneller und präziser beantworten kann als bisherige Lösungen.

Nach meiner Zeit in Kalifornien habe ich mich entschieden, mit diesem Wissen nach Deutschland zurückzukommen und ein eigenes Unternehmen zu gründen, um diese Technologie in die Praxis zu bringen. Daraus ist unser heutiges Team gewachsen – wir sind mittlerweile 14 Leute in Hamburg und bewegen uns inzwischen im siebenstelligen Umsatzbereich. Wir fokussieren uns darauf, Daten-Pipelines für Security-Teams zu bauen, die dabei helfen, riesige Datenmengen aus unterschiedlichen Quellen sicher, transparent und effizient nutzbar zu machen. Unsere Software sitzt dabei zwischen den Datenquellen und den Zielsystemen – wir holen Daten ab, bereiten sie auf, reichern sie an und leiten sie dorthin weiter, wo sie gebraucht werden.

MV: Während traditionelle Sicherheitsarchitekturen oft auf einem großen monolithischen SIEM-System basierten, geht der moderne Ansatz in eine modularere Richtung. Das Ziel ist, Daten flexibler und mehrfach nutzen zu können, was in einer rein monolithischen Welt schnell starr und teuer wird. Das Problem: Alles war fest miteinander verbunden. Heute ist das ganz anders. Unternehmen wollen ihre Daten nicht mehr nur einmal nutzen, sondern mehrfach und in verschiedenen Kontexten – zum Beispiel für Echtzeit-Überwachung, Langzeit-Archivierung, Compliance oder für spezielle Analysen.

Nehmen wir das Beispiel „Splunk“ – das ist ein weitverbreitetes Analyse-Tool. Viele Unternehmen nutzen das, aber vielleicht möchten sie die Daten auch für andere Zwecke speichern oder anders auswerten. Wenn alles an einen Anbieter gebunden ist, wird das schnell teuer. Deshalb filtern und normalisieren wir die Daten schon vorher, damit nur wirklich relevante Informationen in die jeweiligen Systeme wandern. Das reduziert Kosten und sorgt für mehr Flexibilität.

MV: Das ist tatsächlich eine der größten Herausforderungen. In der Security verdoppelt sich das Datenvolumen gefühlt jedes Jahr, aber das Budget wächst meist nicht im gleichen Tempo mit. Viele Security-Teams verbringen heute einen Großteil ihrer Zeit damit, Daten irgendwie passend zu machen – die sogenannten „Data Plumbing“-Aufgaben, also das Transformieren und Anpassen von Daten. Eigentlich sollten diese Teams ihre Zeit aber für die wirklich wichtigen Dinge nutzen: etwa für die Erkennung von und Reaktion auf Bedrohungen.

Unser Ansatz ist daher, die Komplexität so weit wie möglich zu reduzieren. Wir ermöglichen es, dass Daten automatisch so aufbereitet werden, dass sie sofort weiterverarbeitet werden können – ohne dass jedes Mal jemand händisch eingreifen muss. Dafür haben wir eine eigene Pipelinesprache entwickelt, mit der man die Verarbeitungsschritte einfach beschreiben kann – ohne Programmierkenntnisse.

MV: Häufig kommen bei Unternehmen ganz verschiedene Datenquellen zusammen – zum Beispiel Firewalls, Security-Tools oder Netzwerkkomponenten. Diese schicken ihre Informationen oft im sogenannten Syslog-Format an einen Sammelpunkt. Wir nehmen diese Daten auf, zerlegen sie in ihre Bestandteile, analysieren sie, normalisieren sie und bereiten sie so auf, dass sie anschließend in ein einheitliches Format überführt werden – zum Beispiel das Open Cyber Security Schema Framework, das sich gerade stark durchsetzt.

Danach können die Daten in Data Lakes, Datenbanken oder andere Analysesysteme weitergeleitet werden. Unser System sorgt dafür, dass die Daten im richtigen Format und in der gewünschten Qualität ankommen. Damit ist das Security-Team deutlich schneller in der Lage, mit diesen Daten zu arbeiten und konkrete Use Cases umzusetzen.

MV: Automatisierung ist ein zentraler Bestandteil unseres Ansatzes. Die Verarbeitung der Daten geschieht in klar definierten Schritten – jeder Schritt ist Teil der Pipeline und wird deklarativ beschrieben. Wir haben dafür eine eigene Sprache entwickelt, die leicht verständlich ist. So kann eine Administratorin oder ein Administrator genau nachvollziehen, was im Hintergrund passiert. Die Automatisierung sorgt nicht nur dafür, dass alles schnell und effizient abläuft, sondern macht die Abläufe auch transparent und nachvollziehbar – das ist auch wichtig für Compliance und Prüfungen.

Natürlich gibt es aber auch Aufgaben, die nicht vollautomatisch abbildbar sind – etwa wenn es um die Bewertung von bestimmten Daten oder die Entwicklung ganz neuer Use Cases geht. Unsere Automatisierung ist vor allem darauf ausgelegt, die Routinearbeit zu übernehmen, sodass die Security-Teams sich auf die eigentliche Analyse und Problemlösung konzentrieren können.

MV: Unser System ist genau dafür gemacht, flexibel mit verschiedenen Tools und Datenquellen zu arbeiten. In der Praxis ist es meistens so, dass wir Schritt für Schritt vorgehen – wir sprechen da von „brownfield deployments“, das heißt, die bestehende Systemlandschaft bleibt erst einmal erhalten und wir nehmen nach und nach Datenquellen in unser System hinein. Das hat den Vorteil, dass man die Einführung gut steuern und auch schnell erste Einsparungen erzielen kann. Häufig sehen wir zum Beispiel, dass durch gezielte Filterung und Normalisierung die Kosten pro Datenquelle schon um 30 bis 50 Prozent sinken. Wenn man noch weiter optimiert, sind auch Einsparungen von 80 bis 90 Prozent möglich.

Wichtig ist uns dabei, dass unsere Lösung keine geschlossene Welt ist, sondern sich nahtlos in die bestehende Architektur einfügt. Wir haben viele fertige Konnektoren und Vorlagen, sodass viele Anbindungen schnell und unkompliziert gehen. Wo noch keine Vorlage existiert, kann man mit unseren Bausteinen eigene Pipelines erstellen.

MV: Das hängt natürlich stark von der Anzahl und Komplexität der Datenquellen ab. Für viele Standardquellen haben wir schon Rezepte und Vorlagen, das geht oft sehr schnell – manchmal ist das mit wenigen Klicks erledigt. Bei besonders komplexen Umgebungen, in denen Hunderte oder Tausende Datenquellen existieren, dauert es entsprechend länger. Aber auch da können wir dank unserer flexiblen Architektur schrittweise vorgehen und kontinuierlich Mehrwert liefern. Im Schnitt dauert so ein Projekt bei komplexen Systemen einige Wochen, manchmal auch ein paar Monate, je nachdem, wie tief man gehen möchte.

MV: Tatsächlich sind wir für klassische Incident-Response-Einsätze – also akute Notfälle nach einem Cyberangriff – meistens nicht die erste Anlaufstelle. In solchen Fällen ist Geschwindigkeit gefragt, und die betroffenen Unternehmen wenden sich meist an spezialisierte Incident-Response-Teams, die direkt eingreifen und das Management übernehmen. Unsere Technologie spielt dann aber oft im Hintergrund eine wichtige Rolle: Incident-Response-Teams nutzen unsere Tools, um sich schnell einen Überblick über die vorhandenen Daten zu verschaffen und die Aufarbeitung zu beschleunigen. Für die eigentliche Implementierung und Optimierung der Dateninfrastruktur ist es aber sinnvoll, frühzeitig mit uns in Kontakt zu treten – also bevor der Ernstfall eintritt. Denn dann können wir gemeinsam die Datenflüsse sauber aufsetzen und die Organisation für zukünftige Vorfälle besser wappnen.

MV: Mein wichtigster Tipp ist: Jedes Unternehmen sollte sich eine klare Security-Datenstrategie überlegen. Das heißt: Welche Datenquellen sind wirklich wichtig? Wie sollen die Daten genutzt werden? Welche Tools passen zur eigenen Organisation und den vorhandenen Kompetenzen? Es gibt zum Beispiel den Ansatz, alles aus einer Hand bei einem großen Plattformanbieter zu beziehen. Das kann komfortabel sein, bedeutet aber auch, dass man sich sehr stark an einen Anbieter bindet – mit allen Vor- und Nachteilen.

Viele Unternehmen entscheiden sich deshalb für eine „Best-of-Breed“-Strategie, bei der sie gezielt verschiedene Anbieter und Tools kombinieren. Dafür braucht es allerdings eine solide, möglichst abstrahierte Datenarchitektur, damit Wissen und Kontrolle in der eigenen Organisation bleiben und man flexibel auf neue Anforderungen reagieren kann. Das erfordert eine vorausschauende Planung, am besten mit einem Zeithorizont von fünf Jahren. Ziel sollte es immer sein, Wissen und Kontrolle in der eigenen Organisation zu behalten.

MV: Die rasanten Fortschritte, die gerade bei den großen Foundation Models wie OpenAI, Google und Co. zu sehen sind, beeinflussen auch unsere Entwicklung massiv. Wir haben schon länger die Idee, Künstliche Intelligenz sowohl auf der Ebene der Datenverarbeitung als auch zur Steuerung und Erstellung von Pipelines einzusetzen. Das Ziel ist, die Komplexität für die Nutzerinnen und Nutzer weiter zu reduzieren.

Statt aufwändiger manueller Konfigurationen kann Künstliche Intelligenz dabei helfen, Pipelines automatisch zu generieren oder die richtigen Einstellungen vorzuschlagen. Erste Tests mit aktuellen Modellen – beispielsweise von Anthropic oder OpenAI – zeigen, dass hier noch einmal ganz neue Produktivitätsgewinne möglich sind. Wir denken sogar schon darüber nach, dass unsere nächsten Produktgenerationen weniger für Menschen als eher für Künstliche Intelligenz als Nutzende entwickelt werden – das klingt vielleicht noch futuristisch, aber die Richtung ist klar.