SIEM

Jeder Server und jeder Cloud-Dienst schreibt eigene Protokolle, von der Firewall bis zur Fachanwendung. Verteilt über hunderte Systeme sind diese Daten im Ernstfall wertlos, weil niemand sie rechtzeitig zusammenführt. Ein SIEM übernimmt genau das: Es sammelt Logdaten zentral, verknüpft Einzelereignisse zu Mustern und schlägt Alarm, wenn sich ein Angriff abzeichnet. Damit ist es das Gedächtnis und das Frühwarnsystem der IT-Sicherheit, allerdings eines, das laufend gepflegt werden will.

Was ist ein SIEM?

SIEM steht für Security Information and Event Management. Der Begriff verbindet zwei ältere Disziplinen, das Sammeln von Sicherheitsinformationen und das Auswerten von Ereignissen in nahezu Echtzeit. Die Plattform sammelt sicherheitsrelevante Logdaten aus Systemen, Anwendungen und Netzwerkkomponenten, bringt sie in ein einheitliches Format und wertet sie fortlaufend aus. Korrelationsregeln und Analytik verbinden dabei Ereignisse, die einzeln harmlos wirken: eine Anmeldung zu ungewöhnlicher Zeit, kurz darauf neue Administratorrechte, anschließend große Datenmengen Richtung Internet. Zusätzlich bewahrt ein SIEM die Daten revisionssicher auf, was forensische Untersuchungen und Nachweispflichten unterstützt. Es ist damit das führende Arbeitswerkzeug eines Security Operations Center, das die Alarme bewertet und darauf reagiert.

So funktioniert es

Vom Rohdatum zum belastbaren Alarm führt eine feste Kette von Verarbeitungsschritten:

  • Sammlung: Agenten und Schnittstellen liefern Logs aus Servern, Firewalls, Identitätsdiensten, Cloud-Plattformen und Endpunkten an die zentrale Instanz.
  • Normalisierung: Unterschiedliche Formate werden in ein einheitliches Schema übersetzt, damit sich Ereignisse quellenübergreifend vergleichen lassen.
  • Korrelation: Regeln, Schwellenwerte und Verhaltensanalytik verknüpfen Einzelereignisse zu Verdachtsmustern.
  • Alarmierung: Trifft ein Muster zu, entsteht ein priorisierter Alarm mit Kontext, den Analysten bewerten und weiterbearbeiten.
  • Aufbewahrung und Suche: Historische Daten bleiben durchsuchbar, etwa um nach Bekanntwerden einer Schwachstelle rückwirkend nach Spuren zu suchen. Auch Aufbewahrungsfristen aus Verträgen und Regularien werden hier umgesetzt.
  • Use-Case-Pflege: Erkennungsregeln sind kein fertiges Produkt. Neue Systeme, veränderte Abläufe und neue Angriffstechniken verlangen laufende Anpassung, Fehlalarme müssen kontinuierlich austariert werden. Diese Pflege ist eine Daueraufgabe und entscheidet über den Wert des gesamten Systems.

Warum es wichtig ist

  • Viele Angriffe zeigen sich erst in der Verknüpfung mehrerer Quellen, ein einzelnes Log bleibt unauffällig.
  • Im Vorfall liefert die zentrale Datenbasis schnell Antworten auf die Frage, wer wann worauf zugegriffen hat.
  • Aufbewahrte Logdaten stützen forensische Untersuchungen und Berichte an Behörden oder Versicherer.
  • Regelwerke wie ISO 27001 und NIS-2 verlangen Protokollierung und die Erkennung von Vorfällen.
  • Ein SOC kann ohne zentrale Logsicht kaum ernsthaft arbeiten.
  • Rückwirkende Suchen zeigen, ob eine neu bekannt gewordene Angriffstechnik bereits genutzt wurde.

Typische Szenarien

  • Ein Unternehmen baut zentrales Logmanagement auf und ergänzt schrittweise Erkennungsregeln für kritische Systeme, beginnend mit Identitäts- und Fernzugriffs-Logs.
  • Ein Audit verlangt Nachweise über Protokollierung und Auswertung, das SIEM liefert Berichte und Aufbewahrung.
  • Die Korrelation von Identitäts-Logs deckt eine Kontoübernahme auf, bevor größerer Schaden entsteht.
  • Flow-Daten und Segmentierungs-Logs aus dem Netzwerk fließen als Quelle ein und machen laterale Bewegungen zwischen Servern sichtbar.
  • Ein Managed-SIEM-Anbieter übernimmt Betrieb und Regelpflege, das interne Team konzentriert sich auf die Reaktion.

SIEM, SOAR oder XDR: Wo liegt der Unterschied?

Die Grenzen des SIEM erklären die Nachbarbegriffe. Erste Grenze: Schlecht gepflegte Regeln erzeugen eine Alarmflut, in der echte Vorfälle untergehen, die berüchtigte Alert Fatigue. Hier setzt SOAR an (Security Orchestration, Automation and Response): Playbooks reichern Alarme automatisch an und erledigen Standardreaktionen wie das Sperren eines Kontos. Zweite Grenze: Lizenzmodelle nach Datenvolumen machen das Sammeln aller Quellen teuer, weshalb priorisiert werden muss. XDR (Extended Detection and Response) verspricht hier einen einfacheren Weg: eng integrierte Erkennung über Endpunkte, Netzwerk und Cloud eines Anbieters, mit fertiger Analytik, dafür weniger offen für beliebige Fremdquellen. In der Praxis ergänzen sich die Ansätze: XDR für schnelle Erkennung im Kernbestand, das SIEM als übergreifende Datenplattform, SOAR für die Automatisierung. Welche Kombination trägt, hängt von den Datenquellen und den eigenen Nachweispflichten ab.

Wie KAEMI unterstützt

Ein SIEM ist so aussagekräftig wie die Daten, die es erhält. KAEMI betreibt kein eigenes SIEM für Kunden, liefert als Partner für Netzwerk und Segmentierung aber eine der wertvollsten Quellen: strukturierte Netzwerk-Telemetrie. Die Zero Trust Mikrosegmentierung protokolliert, welche Systeme miteinander kommunizieren und welche Verbindungen gegen Richtlinien verstoßen, genau die Datenbasis, mit der Ihr SIEM laterale Bewegungen erkennt. Meldet das SIEM einen Vorfall, lässt sich die Eindämmung über Segmentierungsrichtlinien im Netz durchsetzen. Das entlastet zugleich das Datenbudget, denn gut strukturierte Telemetrie ersetzt das ungefilterte Sammeln ganzer Paketmitschnitte. Beim Aufbau dieser Datengrundlage und der Anbindung an Ihre Auswertung unterstützt KAEMI im Rahmen der Professional & Managed Services . Für Fragen zur Netzwerk-Telemetrie sprechen Sie uns an .

Häufige Fragen zu SIEM

Was ist der Unterschied zwischen SIEM und Logmanagement?

Logmanagement sammelt, speichert und durchsucht Protokolldaten, vor allem für Betrieb und Fehlersuche. Ein SIEM baut darauf auf und ergänzt die Sicherheitsperspektive: Korrelationsregeln verknüpfen Ereignisse aus mehreren Quellen, Alarme werden priorisiert und an Analysten übergeben. Wer bereits zentrales Logmanagement betreibt, hat damit die Vorstufe, aber noch keine Angriffserkennung.

Warum erzeugt ein SIEM so viele Fehlalarme?

Meist liegt es an Regeln, die nie an die eigene Umgebung angepasst wurden. Standardregeln kennen weder Ihre Wartungsfenster noch Ihre Dienstkonten und schlagen deshalb bei normalem Verhalten an. Abhilfe schafft konsequente Use-Case-Pflege: Fehlalarme systematisch auswerten und Regeln nachschärfen. Bleibt das aus, entsteht Alert Fatigue und echte Vorfälle gehen unter.

Wovon hängen die Kosten eines SIEM ab?

Der größte Hebel ist das Datenvolumen: Viele Lizenzmodelle rechnen nach aufgenommenen Gigabyte pro Tag oder nach Ereignissen pro Sekunde, dazu kommen Speicherkosten für die Aufbewahrung. Den zweiten großen Block bildet der Betrieb, also Regelpflege und Alarmbearbeitung. Deshalb lohnt es sich, Quellen nach Sicherheitswert zu priorisieren, statt alles ungefiltert einzusammeln.

Welche Datenquellen gehören zuerst in ein SIEM?

Beginnen Sie mit den Quellen, die Angriffe am zuverlässigsten zeigen: Identitätsdienste und Anmeldungen, Fernzugriffe, Endpunkt-Erkennung sowie Firewalls und weitere Netzwerk-Telemetrie. Gerade Segmentierungs-Logs machen Bewegungen zwischen Servern sichtbar, die klassische Perimeter-Logs nie erfassen. Fachanwendungen und weniger kritische Systeme folgen später, wenn Regeln und Prozesse eingespielt sind.

Brauchen wir ein SIEM, wenn wir schon XDR einsetzen?

XDR erkennt Angriffe im integrierten Bestand des jeweiligen Anbieters sehr gut, deckt aber Fremdsysteme, Eigenentwicklungen und viele Compliance-Anforderungen an Aufbewahrung kaum ab. Ein SIEM bleibt sinnvoll, wenn Sie Quellen über einen Herstellerbestand hinaus auswerten oder Nachweispflichten erfüllen müssen. Viele Unternehmen kombinieren beides und leiten XDR-Alarme in das SIEM als führende Plattform.

Offene Fragen dazu in Ihrer Umgebung? KAEMI berät Sie anforderungsorientiert und übernimmt auf Wunsch auch den Betrieb.