SIEM (Security Information and Event Management) ist eine Technologie zur zentralen Sammlung, Korrelation und Analyse von Sicherheitsereignissen. Es ermöglicht Echtzeit-Erkennung von Angriffen und ist Kernkomponente moderner SOC-Architekturen.
Was ist SIEM und wie funktioniert es
SIEM kombiniert Security Information Management (SIM) und Security Event Management (SEM). Kernfunktionen: Log-Sammlung aus allen Quellen, Normalisierung und Korrelation, Echtzeit-Alerting, forensische Analyse, Compliance-Reporting. SIEM erkennt Angriffsmuster die einzelne Systeme nicht sehen können.
Welche Daten sammelt ein SIEM
SIEM sammelt: Betriebssystem-Logs (Windows Event Log, Syslog), Netzwerklogs (Firewall, IDS/IPS, Router), Anwendungslogs (ERP, E-Mail, Webserver), Authentifizierungslogs (Active Directory, VPN), Endpoint-Logs (EDR), Cloud-Logs (Azure AD, AWS CloudTrail), Netzwerkflows (NetFlow).
Wie erkennt SIEM Angriffe
SIEM nutzt: Regelbasierte Korrelation (If A + B + C → Alert), Verhaltensanalyse (UEBA — User and Entity Behavior Analytics), Threat Intelligence Integration (bekannte IOCs), Machine Learning für Anomalieerkennung. Beispiel-Regel: 5 fehlgeschlagene Logins + erfolgreicher Login von neuer IP = Brute-Force-Alarm.
Was ist der Unterschied zwischen SIEM und SOC
SIEM ist eine Technologie (Software). SOC (Security Operations Center) ist ein Team und Prozess der das SIEM betreibt und Alerts analysiert. Ein SIEM ohne SOC generiert unbearbeitete Alerts. Ein SOC ohne SIEM hat keine zentrale Datenbasis. Beide zusammen bilden effektive Sicherheitsüberwachung.
Welche Unternehmen brauchen ein SIEM
SIEM ist sinnvoll ab: 100+ Mitarbeiter, komplexe IT-Infrastruktur, regulatorische Anforderungen (NIS2, DORA, PCI-DSS), Schutzbedarf für sensitive Daten, Zertifizierungsziele (ISO 27001). KMU: Managed SIEM (SaaS) als Alternative zum eigenen SIEM empfohlen.
Wie führt man SIEM ein
Phasen: (1) Use-Case-Definition: welche Angriffe sollen erkannt werden? (2) Log-Quellen identifizieren und anbinden. (3) Normalisierung und Parsing konfigurieren. (4) Korrelationsregeln entwickeln. (5) Alarmierungsprozesse definieren. (6) SOC-Prozesse etablieren. (7) Kontinuierliche Optimierung. Dauer: 3–9 Monate.
✓ Checkliste: Was ist SIEM?
- Verantwortlichkeiten klar definiert
- Dokumentation vollständig und aktuell
- Risikoanalyse durchgeführt
- Maßnahmen priorisiert und umgesetzt
- Mitarbeiter geschult
- Regelmäßige Überprüfung geplant
- Management informiert und eingebunden
- Compliance-Anforderungen erfüllt
- Technische Maßnahmen implementiert
- Auditierbarkeit sichergestellt
Fazit
Das Thema Was ist SIEM? ist für moderne Unternehmen unverzichtbar. Es schützt vor Risiken, erfüllt regulatorische Anforderungen und schafft Vertrauen bei Kunden und Partnern. APASEC unterstützt Sie dabei — von der ersten Analyse bis zur nachhaltigen Umsetzung.
APASEC unterstützt Sie bei der professionellen Umsetzung — praxisnah und auf Ihr Unternehmen zugeschnitten. Jetzt unverbindlich anfragen →
Häufige Fragen (FAQ)
SIEM kombiniert Security Information Management (SIM) und Security Event Management (SEM). Kernfunktionen: Log-Sammlung aus allen Quellen, Normalisierung und Korrelation, Echtzeit-Alerting, forensische Analyse, Compliance-Reporting. SIEM erkennt Angriffsmuster die einzelne Systeme nicht sehen können.
SIEM sammelt: Betriebssystem-Logs (Windows Event Log, Syslog), Netzwerklogs (Firewall, IDS/IPS, Router), Anwendungslogs (ERP, E-Mail, Webserver), Authentifizierungslogs (Active Directory, VPN), Endpoint-Logs (EDR), Cloud-Logs (Azure AD, AWS CloudTrail), Netzwerkflows (NetFlow).
SIEM nutzt: Regelbasierte Korrelation (If A + B + C → Alert), Verhaltensanalyse (UEBA — User and Entity Behavior Analytics), Threat Intelligence Integration (bekannte IOCs), Machine Learning für Anomalieerkennung. Beispiel-Regel: 5 fehlgeschlagene Logins + erfolgreicher Login von neuer IP = Brute-Force-Alarm.
SIEM ist eine Technologie (Software). SOC (Security Operations Center) ist ein Team und Prozess der das SIEM betreibt und Alerts analysiert. Ein SIEM ohne SOC generiert unbearbeitete Alerts. Ein SOC ohne SIEM hat keine zentrale Datenbasis. Beide zusammen bilden effektive Sicherheitsüberwachung.
SIEM ist sinnvoll ab: 100+ Mitarbeiter, komplexe IT-Infrastruktur, regulatorische Anforderungen (NIS2, DORA, PCI-DSS), Schutzbedarf für sensitive Daten, Zertifizierungsziele (ISO 27001). KMU: Managed SIEM (SaaS) als Alternative zum eigenen SIEM empfohlen.
Phasen: (1) Use-Case-Definition: welche Angriffe sollen erkannt werden? (2) Log-Quellen identifizieren und anbinden. (3) Normalisierung und Parsing konfigurieren. (4) Korrelationsregeln entwickeln. (5) Alarmierungsprozesse definieren. (6) SOC-Prozesse etablieren. (7) Kontinuierliche Optimierung. Dauer: 3–9 Monate.
On-Premise: Lizenz 30.000–200.000 € p.a. + Implementierung 50.000–150.000 € + laufender Betrieb. Cloud/Managed SIEM: 2.000–15.000 € p.m. je nach Log-Volumen. Für KMU empfehlenswert: Managed SOC mit SIEM als Service — günstiger als Eigenbetrieb, 24/7-Überwachung inklusive.
Häufige Probleme: zu viele False Positives (Alert Fatigue), Log-Quellen fehlen oder sind falsch formatiert, Regeln zu sensibel oder zu grob, kein SOC-Team für 24/7-Bearbeitung, Log-Volumen und Kosten explodieren, fehlende Threat-Intelligence-Integration, SIEM nicht auf aktuelle Bedrohungslandschaft kalibriert.
Integration: Log-Quellen via Syslog, API oder Agent anbinden. Priorisierung: kritische Systeme zuerst (AD, Firewall, VPN, Server). Threat Intelligence via STIX/TAXII-Feeds. Ticketing-Integration (JIRA, ServiceNow) für Alert-Management. SOAR-Integration für automatisierte Response. Testing: Use Cases simulieren und Alerting prüfen.
SOAR (Security Orchestration, Automation and Response): automatisiert repetitive SOC-Aufgaben. SIEM erkennt den Vorfall → SOAR löst automatisch Aktionen aus (Account sperren, IP blockieren, Ticket erstellen, Anwender benachrichtigen). SIEM und SOAR ergänzen sich: SIEM für Detection, SOAR für Response.
Enterprise: Microsoft Sentinel (Cloud-native), Splunk (marktführend), IBM QRadar, Elastic SIEM, LogRhythm. Open Source: Wazuh (sehr empfehlenswert für KMU), OSSIM. Managed SOC/SIEM: viele MSSP-Angebote. Empfehlung für KMU: Microsoft Sentinel wenn Microsoft 365 im Einsatz, Wazuh für kostenbewusste Unternehmen.