Open-Source-Sicherheitstools, die wir tatsächlich einsetzen und empfehlen

Warum Open-Source für die IT-Sicherheit wichtig ist

Der Markt für Cybersicherheitstools ist überfüllt, teuer und voller Versprechen, die dem Kontakt mit Produktionsumgebungen nicht standhalten. Für viele Organisationen, insbesondere KMU in Luxemburg, kann die Anschaffung kommerzieller Sicherheitsplattformen das gesamte Sicherheitsbudget verschlingen, bevor auch nur ein einziger Analyst eingestellt wird.

Open-Source-Sicherheitstools bieten einen anderen Weg. Nicht kostenlos (Sie werden Zeit in Deployment, Konfiguration und Wartung investieren müssen), aber deutlich kosteneffektiver und in vielen Fällen technisch überlegen gegenüber ihren kommerziellen Pendants. Noch wichtiger: Open-Source-Tools bieten Ihnen Transparenz — Sie können den Code inspizieren, genau verstehen, was das Tool tut, und es an Ihre spezifischen Anforderungen anpassen.

Was folgt, ist keine theoretische Übersicht. Das sind die Tools, die wir deployen, pflegen und in Produktionsumgebungen für unsere Kunden einsetzen. Wir werden ehrlich über Stärken und Schwachstellen sein.

Unsere Philosophie: Open-Source dort einsetzen, wo es gleiche oder bessere Fähigkeiten als kommerzielle Alternativen bietet. Kommerzielle Tools dort einsetzen, wo die Open-Source-Option mehr Engineering-Aufwand erfordert, als die Organisation leisten kann. Niemals ein Tool einsetzen — kommerziell oder open-source —, das man nicht versteht und nicht betreiben kann.

Wazuh: Das SIEM, das wirklich funktioniert

Was es ist

Wazuh ist eine freie Open-Source-Sicherheitsüberwachungsplattform, die Bedrohungserkennung, Integritätsüberwachung, Incident Response und Compliance-Reporting bietet. Sie baut auf dem ELK-Stack (Elasticsearch, Logstash, Kibana) auf, ergänzt ihn jedoch um eine sicherheitsorientierte Schicht mit agentenbasierter Endpoint-Überwachung, Protokollanalyse, Schwachstellenerkennung und regulatorischen Compliance-Dashboards.

Wie wir es einsetzen

Wazuh ist unsere Standard-SIEM-Empfehlung für KMU. Wir deployen es als zentrale Sicherheitsüberwachungsplattform und ingesten Protokolle von Endpoints (via Wazuh-Agents), Netzwerkgeräten (via Syslog), Cloud-Umgebungen (via API-Integrationen) und Applikationen. Typische Deployments für Organisationen mit 50 bis 200 Endpoints laufen auf einem einzelnen Server oder einem kleinen Cluster.

Was uns überzeugt

• Agentenbasierte Architektur: Der Wazuh-Agent liefert Dateiintegritätsüberwachung, Rootkit-Erkennung, Schwachstellen-Scanning und Log-Sammlung in einem einzigen leichtgewichtigen Paket.
• Integrierte Compliance-Dashboards: PCI DSS, DSGVO, HIPAA und NIST Compliance-Dashboards sofort einsatzbereit. Nützlich, um Auditoren die Wirksamkeit von Kontrollen nachzuweisen.
• Aktive Reaktion: Kann automatisch auf Bedrohungen reagieren (IPs sperren, Endpoints isolieren) auf Basis konfigurierbarer Regeln.
• Regelmäßige Updates: Das Wazuh-Team betreibt aktive Entwicklung mit häufigen Releases und guter Dokumentation.

Schwachstellen

• Ressourcenintensiv: Elasticsearch benötigt erhebliche RAM- und Festplattenkapazität. Planen Sie mindestens 16 GB RAM für kleine Deployments, 64 GB oder mehr für größere Umgebungen.
• Konfigurationsaufwand: Die Standardregeln erzeugen erhebliches Rauschen. Planen Sie 2 bis 4 Wochen Feinabstimmung, um Fehlalarme auf ein handhabbares Niveau zu senken.
• Dashboard-Komplexität: Die Kibana-basierte Oberfläche hat für nicht-technische Benutzer eine steile Lernkurve.
• Skalierung: Für Organisationen mit mehr als 500 Endpoints wird das Elasticsearch-Cluster-Management selbst zu einer erforderlichen Kernkompetenz.

Fazit: Wenn Sie ein SIEM benötigen und die Kosten für Splunk, Elastic Security oder Microsoft Sentinel nicht rechtfertigen können, ist Wazuh die Antwort. Planen Sie 2 bis 3 Tage für das initiale Deployment und 2 bis 4 Wochen für die Konfiguration.

MISP: Bedrohungsintelligenz-Austausch, wie er sein sollte

Was es ist

MISP (Malware Information Sharing Platform) ist eine Open-Source-Bedrohungsintelligenzplattform, die von CIRCL hier in Luxemburg entwickelt wurde. Sie ermöglicht Organisationen, Cybersicherheits-Indikatoren für Kompromittierungen (IoCs) und Bedrohungsintelligenz zu sammeln, zu speichern, zu verteilen und auszutauschen.

Wie wir es einsetzen

Wir betreiben MISP als zentrales Bedrohungsintelligenz-Repository, das Wazuh und andere Erkennungstools speist. MISP-Instanzen sind mit Community-Feeds verbunden (CIRCLs Feed, abuse.ch, verschiedene sektorspezifische Austauschgruppen) und werden mit Erkenntnissen aus unseren eigenen Untersuchungen angereichert. Wenn wir bei der Incident Response oder der Bedrohungssuche neue IoCs entdecken, fließen diese in MISP ein und werden automatisch an alle angeschlossenen Erkennungssysteme verteilt.

Was uns überzeugt

• Luxemburgische Herkunft: Entwickelt und gepflegt von CIRCL. Lokaler Support, aktive Community und tiefe Integration in das luxemburgische Sicherheits-Ökosystem.
• Flexibles Datenmodell: MISP kann komplexe Bedrohungsintelligenz-Beziehungen abbilden, nicht nur flache IoC-Listen. Galaxies, Cluster und Taxonomien liefern reichen Kontext.
• Austauschgruppen: Feingranulare Kontrolle darüber, was mit wem geteilt wird. Unerlässlich für die Vertrauenswahrung in Austauschgemeinschaften.
• API-First-Design: Alles in MISP ist per API zugänglich, was die Integration mit SIEMs, Firewalls und anderen Tools unkompliziert macht.
• Community: Aktive globale Community mit regelmäßigen Veranstaltungen, Schulungen und einer umfangreichen Bibliothek geteilter Galaxy-Cluster und Taxonomien.

Schwachstellen

• Komplexität: MISPs Datenmodell ist leistungsstark, aber komplex. Nicht-spezialisierte Benutzer sind anfangs überfordert.
• Feed-Management: Bei vielen verbundenen Feeds wird die Datenqualität zum Problem. Sie müssen Feeds kuratieren und angemessene Vertrauensstufen setzen, sonst ertrinken Ihre Erkennungssysteme in minderwertigen Indikatoren.
• Benutzeroberfläche: Die Weboberfläche ist funktional, aber veraltet. Navigation und Arbeitsabläufe könnten intuitiver sein.

Fazit: Unerlässlich für jede Organisation, die Bedrohungsintelligenz ernst nimmt. Besonders wertvoll in Luxemburg, wo CIRCLs MISP-Instanz direkten Zugang zu nationaler Bedrohungsintelligenz bietet. Funktioniert hervorragend mit Wazuh für die automatisierte IoC-basierte Erkennung.

MONARC: Risikoanalyse, die in der Praxis funktioniert

Was es ist

MONARC (Method for an Optimised aNAlysis of Risks by CASES) ist ein Open-Source-Risikoanalyse-Tool, das ebenfalls in Luxemburg von CASES (einer Abteilung der nationalen Cybersicherheitsbehörde) entwickelt wurde. Es stellt eine strukturierte Methode zur Durchführung von Informationssicherheits-Risikoanalysen gemäß ISO 27005 bereit.

Wie wir es einsetzen

MONARC ist unser Standard-Tool für Kundenrisikoanalysen, insbesondere bei der NIS2- und CSSF-Compliance. Es bietet einen strukturierten Arbeitsablauf von der Asset-Inventarisierung über die Identifikation von Bedrohungen und Schwachstellen bis hin zur Risikobewertung und Behandlungsplanung. Für luxemburgische Organisationen ist die Tatsache, dass es lokal entwickelt und auf nationale Leitlinien ausgerichtet ist, ein erheblicher Vorteil.

Was uns überzeugt

• Strukturierte Methodik: Erzwingt einen systematischen Ansatz bei der Risikoanalyse. Besonders nützlich für Organisationen, die formales Risikomanagement neu einführen.
• Vorgefertigte Wissensdatenbanken: Wird mit Asset-Bibliotheken, Bedrohungskatalogen und Schwachstellendatenbanken geliefert, die den Zeitaufwand für eine Analyse erheblich reduzieren.
• Mandantenfähigkeit: Kann Risikoanalysen für mehrere Kunden oder Geschäftsbereiche aus einer einzigen Instanz verwalten.
• Berichtsgenerierung: Erstellt professionelle Risikoanalysberichte, die für Managementreviews und regulatorische Einreichungen geeignet sind.
• Luxemburgische Ausrichtung: Für das luxemburgische Regulierungsumfeld konzipiert. Von der CSSF und anderen nationalen Behörden anerkannt.

Schwachstellen

• Lernkurve: Die Methodik erfordert Schulung, um sie effektiv anzuwenden. Planen Sie mindestens einen Tag Schulung, bevor Sie Ihre erste Analyse durchführen.
• Oberfläche: Funktional, aber nicht modern. Einige Arbeitsabläufe erfordern mehr Klicks als nötig.
• Skalierung: Am besten geeignet für kleine bis mittelgroße Analysen. Sehr große, komplexe Organisationen könnten an seine Grenzen stoßen.

Fazit: Das beste verfügbare Open-Source-Risikoanalyse-Tool — und es stammt aus Luxemburg. Wenn Sie Risikoanalysen für NIS2, DORA oder ISO 27001 durchführen müssen, fangen Sie hier an.

Suricata: Netzwerkerkennung, die skaliert

Was es ist

Suricata ist eine Open-Source-Engine zur Netzwerkbedrohungserkennung mit Echtzeit-Intrusion-Detection (IDS), Inline-Intrusion-Prevention (IPS), Netzwerksicherheitsüberwachung (NSM) und Offline-PCAP-Verarbeitung. Sie wird von der Open Information Security Foundation (OISF) gepflegt.

Wie wir es einsetzen

Wir deployen Suricata an Netzwerk-Engpassstellen (Perimeter, zwischen Sicherheitszonen, vor kritischen Assets), um Sichtbarkeit auf Netzwerkebene und Bedrohungserkennung zu gewährleisten. Alerts werden in Wazuh für zentrale Überwachung und Korrelation eingespeist. Für Organisationen, die IDS/IPS-Fähigkeiten ohne die Kosten kommerzieller Lösungen wie Palo Alto oder Cisco benötigen, ist Suricata unsere erste Empfehlung.

Was uns überzeugt

• Multi-Threading: Im Gegensatz zu Snort (seinem Vorgänger/Konkurrenten) ist Suricata für Mehrkernprozessoren konzipiert. Es verarbeitet Multi-Gigabit-Traffic auf moderner Hardware.
• Protokollerkennung: Suricata identifiziert Anwendungsschichtprotokolle unabhängig vom Port und bietet Sichtbarkeit in getunnelten und nicht-standardmäßigen Traffic.
• EVE JSON-Logging: Erzeugt reichhaltige, strukturierte JSON-Logs, die sich leicht mit Elasticsearch/Wazuh integrieren lassen.
• Regelkompatibilität: Kompatibel mit Snort-Regeln, was Zugang zu einer umfangreichen Bibliothek von Community- und kommerziellen Regelsätzen bietet (Emerging Threats, Proofpoint).
• Dateiextraktion: Kann Dateien aus dem Netzwerkverkehr extrahieren für weitergehende Analyse (Malware-Sandboxing, Datenverlustprävention).

Schwachstellen

• Hardwareanforderungen: Hochdurchsatz-Deployments erfordern dedizierte Hardware mit hochwertigen Netzwerkkarten. Erwarten Sie nicht, Suricata für mehr als Laborumgebungen effektiv auf einer virtuellen Maschine betreiben zu können.
• Verschlüsselter Traffic: Wie alle Netzwerk-IDS nimmt die Wirksamkeit von Suricata bei verschlüsseltem Traffic ab. TLS-Inspektion oder endpunktbasierte Erkennung ist erforderlich, um es zu ergänzen.
• Regelverwaltung: Das Verwalten und Feinabstimmen tausender Regeln erfordert kontinuierlichen Aufwand. Tools wie suricata-update helfen, eliminieren die Arbeit aber nicht.

Fazit: Das beste verfügbare Open-Source-Netzwerk-IDS/IPS. In Kombination mit Wazuh für zentrales Alerting und Arkime für vollständige Paketerfassung, wenn tiefgehende Untersuchungen notwendig sind.

Arkime: Vollständige Paketerfassung für gerichtsverwertbare Beweise

Was es ist

Arkime (ehemals Moloch) ist ein Open-Source-Tool für vollständige Paketerfassung und Netzwerkanalyse im großen Maßstab. Es indiziert den Netzwerkverkehr, speichert die Rohpakete und bietet eine Weboberfläche zur Suche und Analyse der erfassten Daten.

Wie wir es einsetzen

Arkime wird gemeinsam mit Suricata für die vollständige Paketerfassung auf kritischen Netzwerksegmenten eingesetzt. Wenn Suricata einen Alert generiert, können Analysten zu Arkime wechseln, um den vollständigen Kontext zu sehen: die gesamte Session, alle Pakete, extrahierte Dateien und zugehörige Sessions. Es ist bei Incident-Untersuchungen unschätzbar, wenn Sie die Frage „Was ist genau passiert?" mit forensisch verwertbaren Beweisen beantworten müssen.

Was uns überzeugt

• Vollständige Session-Rekonstruktion: Vollständige Netzwerkkonversationen sehen, nicht nur Alerts. Unerlässlich für das Verständnis von Angriffsketten.
• Leistungsstarke Suche: Sessionbasierte Suche mit reichhaltiger Filterung. Innerhalb von Sekunden den gesamten Traffic zu einer bestimmten IP, mit einem bestimmten Protokoll, in einem bestimmten Zeitfenster finden.
• SPI (Session Profile Intelligence)-Ansichten: Schnelle statistische Übersichten über Verkehrsmuster, ungewöhnliche Protokolle und Datenvolumen.
• Integration: Funktioniert nahtlos mit Suricata-Alerts und kann in den Wazuh/ELK-Stack integriert werden.

Schwachstellen

• Speicherplatz: Vollständige Paketerfassung verbraucht enorme Mengen an Festplattenplatz. Planen Sie 50 bis 100 GB pro Tag für eine mäßig ausgelastete 1-Gbps-Leitung. Speicherkosten dominieren die Gesamtbetriebskosten.
• Deployment-Komplexität: Das Einrichten von Arkime mit geeigneten Erfassungs-, Indizierungs- und Aufbewahrungsrichtlinien erfordert Netzwerk- und Systemexpertise.
• Verschlüsselter Traffic: Verschlüsselte Nutzlasten können nicht inspiziert werden, was die Analysetiefe für TLS-verschlüsselte Sessions einschränkt.

Fazit: Nicht für jede Organisation, aber unschätzbar für Incident Response und forensische Untersuchungen. Wenn Sie ein SOC betreiben oder behördliche Incident-Untersuchungen (DORA, NIS2) unterstützen müssen, liefert Arkime die Beweisspur, die Log-Only-Lösungen nicht bieten können.

OpenVAS / Greenbone: Schwachstellen-Scanning ohne Lizenzkosten

Was es ist

OpenVAS (Open Vulnerability Assessment Scanner), jetzt Teil des Greenbone Vulnerability Management (GVM)-Frameworks, ist ein Open-Source-Schwachstellenscanner. Er pflegt eine Datenbank mit Netzwerk-Schwachstellentests (NVTs) und scannt Ihre Infrastruktur auf bekannte Schwachstellen.

Wie wir es einsetzen

Wir nutzen OpenVAS/GVM für regelmäßige interne Schwachstellen-Scans bei Kunden, die keine kommerziellen Scanner-Lizenzen besitzen. Er läuft auf geplanter Basis, scannt interne Netzwerke und erstellt Berichte, die in den Schwachstellenmanagement-Prozess einfließen.

Was uns überzeugt

• Umfangreiche NVT-Datenbank: Regelmäßig mit neuen Schwachstellentests aktualisiert. Deckt eine breite Palette von Betriebssystemen, Netzwerkgeräten und Applikationen ab.
• Geplante Scans: Einrichten und vergessen (fast). Regelmäßige Scans planen und Berichte automatisch empfangen.
• Compliance-Prüfungen: Enthält Compliance-Audit-Richtlinien für gängige Standards.
• Kosten: Kostenlos. Für eine Organisation, die Nessus für über 3.000 EUR/Jahr betreibt, sind die Einsparungen bedeutend.

Schwachstellen

• Installation: GVMs Installationsprozess war historisch gesehen mühsam. Docker-Deployments haben dies erheblich verbessert, aber rechnen Sie dennoch mit einem halben Tag für das initiale Setup.
• Scan-Geschwindigkeit: Langsamer als Nessus bei vergleichbarem Umfang. Große Netzwerk-Scans können deutlich länger dauern.
• Fehlalarme: Höhere Falsch-Positiv-Rate als kommerzielle Scanner. Manuelle Verifikation der Befunde ist unerlässlich.
• Web-Applikationstests: Im Vergleich zu dedizierten Web-Applikations-Scannern eingeschränkt. Verlassen Sie sich nicht auf OpenVAS für die Schwachstellenanalyse von Web-Applikationen.

Fazit: Eine solide, kosteneffektive Option für Netzwerk-Schwachstellen-Scanning. Kein vollständiger Ersatz für Nessus in jedem Szenario, aber für viele KMU-Umgebungen vollkommen ausreichend. In Kombination mit dediziertem Web-Applikations-Scanning (OWASP ZAP oder Burp Suite) für umfassende Abdeckung.

Lobende Erwähnungen

Mehrere weitere Open-Source-Tools verdienen Erwähnung, auch wenn wir ihnen keine vollständige Analyse widmen können:

• TheHive: Incident-Response-Plattform für Case Management. Funktioniert gut mit MISP für intelligence-gestützte Incident Response. Hervorragend für Teams, die mehrere gleichzeitige Incidents bearbeiten.
• Cortex: Analyse-Engine, die mit TheHive zusammenarbeitet. Automatisiert die Anreicherung von Observables (IP-Adressen, Datei-Hashes, URLs) durch gleichzeitige Abfrage mehrerer Bedrohungsintelligenz-Quellen.
• OWASP ZAP: Web-Applikations-Sicherheitsscanner. Die beste Open-Source-Option für automatisierte Web-Applikations-Schwachstellenanalyse. Wir setzen es bei jedem Web-Applikations-Pentest neben manuellen Tests ein.
• CyberChef: GCHQs Open-Source-Datenanalyse-Tool. Unschätzbar für das Dekodieren, Entschlüsseln und Analysieren von Daten bei Untersuchungen. Jeder Analyst sollte es als Lesezeichen gespeichert haben.
• Velociraptor: Endpoint-Sichtbarkeits- und Digital-Forensik-Tool. Ermöglicht schnelle Endpoint-Untersuchungen und Threat-Hunting über große Flotten hinweg. Ersetzt zunehmend kommerzielle EDR-Produkte für die forensische Sammlung.

Aufbau eines Open-Source-Sicherheits-Stacks

Für ein luxemburgisches KMU, das eine Sicherheitsüberwachungskapazität mit begrenztem Budget aufbauen möchte, empfehlen wir folgenden Stack als Ausgangspunkt:

1. Wazuh als zentrale SIEM- und Endpoint-Überwachungsplattform
2. MISP für Bedrohungsintelligenz, verbunden mit CIRCLs Feeds
3. Suricata für Netzwerkerkennung am Perimeter
4. OpenVAS/GVM für regelmäßige Schwachstellen-Scans
5. MONARC für Risikoanalyse und Compliance-Dokumentation

Dieser Stack bietet SIEM, Endpoint-Erkennung, Netzwerküberwachung, Schwachstellenmanagement, Bedrohungsintelligenz und Risikoanalyse — alles ohne Lizenzkosten. Die Investition liegt in Hardware (ein einzelner dedizierter Server für kleine Deployments, ca. 3.000 bis 5.000 EUR) und menschlicher Arbeitszeit (Deployment, Konfiguration, laufender Betrieb).

Für Organisationen mit mehr Ressourcen: Fügen Sie Arkime für vollständige Paketerfassung und TheHive/Cortex für strukturierte Incident Response hinzu. Die Gesamtlizenzkosten bleiben bei null. Die Gesamtfähigkeit konkurriert mit kommerziellen Stacks, die mehr als 100.000 EUR jährlich kosten.

Open-Source ist kein Kompromiss. Es ist eine strategische Entscheidung, die Ihnen Fähigkeit, Transparenz und Kontrolle gibt. Die Tools existieren. Die Frage ist, ob Sie bereit sind, die Zeit zu investieren, um sie zu erlernen und zu betreiben.