Security Information and Event Management
Zentrale Plattform zur Sammlung, Korrelation und Analyse sicherheitsrelevanter Ereignisse aus der gesamten IT-Infrastruktur.
Ein SIEM-System aggregiert Log-Daten aus Firewalls, Servern, Endpoints, Anwendungen und Cloud-Diensten, korreliert Ereignisse in Echtzeit und erkennt Sicherheitsvorfälle durch regelbasierte und KI-gestützte Analyse. Es bildet die zentrale Schaltstelle für die Erkennung und Untersuchung von Bedrohungen.
Wie ein SIEM funktioniert
Ein SIEM sammelt Log-Daten aus der gesamten IT-Infrastruktur: Windows Event Logs, Firewall-Logs, VPN-Verbindungen, Cloud-Audit-Trails, Proxy-Logs und Endpoint-Telemetrie. Diese heterogenen Datenformate werden normalisiert und in einem zentralen Data Lake gespeichert. Korrelationsregeln und KI-basierte Anomalieerkennung analysieren die normalisierten Ereignisse in Echtzeit und identifizieren verdächtige Muster — etwa wenn ein Nutzerkonto sich nachts von einem ungewöhnlichen Standort anmeldet und anschließend auf Fileserver zugreift, die es nie zuvor genutzt hat.
Die Kunst liegt nicht im Sammeln der Logs, sondern in der Reduktion auf relevante Alarme. Ein schlecht konfiguriertes SIEM erzeugt tausende Fehlalarme pro Tag und wird von Analysten ignoriert. Ein gut abgestimmtes SIEM korreliert mehrere schwache Signale zu einem starken Indikator und eskaliert nur echte Bedrohungen.
Kernfunktionen
Log-Aggregation und -Normalisierung aus heterogenen Quellen, Echtzeit-Korrelation von Ereignissen zur Erkennung von Angriffsmustern, Alerting und Eskalation bei identifizierten Bedrohungen, forensische Untersuchung durch historische Log-Suche und Compliance-Reporting für Audits (ISO 27001, BSI IT-Grundschutz).
SIEM vs. SOAR vs. XDR
| Technologie | Fokus | Kernaufgabe | Typische Produkte |
|---|---|---|---|
| SIEM | Log-Analyse und Korrelation | Bedrohungen erkennen | Microsoft Sentinel, Splunk, Elastic SIEM |
| SOAR | Automatisierung und Orchestrierung | Auf Vorfälle reagieren | Palo Alto XSOAR, Splunk SOAR |
| XDR | Endpoint-, Netzwerk- und Cloud-Telemetrie | Erkennung und Reaktion vereinen | Microsoft Defender XDR, CrowdStrike Falcon |
SIEM erkennt Bedrohungen durch Log-Analyse. SOAR automatisiert die Reaktion auf erkannte Vorfälle — etwa die automatische Sperrung eines kompromittierten Kontos. XDR kombiniert Endpoint-, Netzwerk- und Cloud-Telemetrie zu einer einheitlichen Erkennungs- und Reaktionsplattform. In der Praxis ergänzen sich diese Systeme: Das SIEM erkennt, SOAR reagiert und XDR liefert die tiefe Telemetrie für die Ursachenanalyse.
SIEM und Compliance
Die NIS2-Richtlinie fordert Meldepflichten innerhalb von 24 Stunden — ohne ein funktionierendes SIEM ist das kaum zu leisten, da Vorfälle zunächst erkannt und bewertet werden müssen. Auch ISO 27001 verlangt die Protokollierung und Überwachung sicherheitsrelevanter Ereignisse. Ein SIEM ist damit nicht nur ein technisches Werkzeug, sondern eine zentrale Voraussetzung für die Erfüllung regulatorischer Anforderungen.
Relevanz für KMUs
Klassische SIEM-Lösungen galten lange als zu komplex und zu teuer für den Mittelstand. Cloud-native Lösungen wie Microsoft Sentinel haben die Einstiegshürde deutlich gesenkt — Unternehmen, die bereits Microsoft 365 E5 nutzen, haben grundlegende SIEM-Funktionalität bereits im Lizenzpaket. Auch Managed-SIEM-Angebote, bei denen ein externer Dienstleister Betrieb und Monitoring übernimmt, machen SIEM für KMUs zugänglich. Der erste Schritt ist die Anbindung der kritischsten Log-Quellen: Active Directory, Firewall und Cloud-Identitäten.