Compliance-Lexikon · Praxis
SIEM – Praxis
Ein SIEM ist im Audit der zentrale Pruefpunkt fuer die Erkennungsfähigkeit. Was Auditoren und Regulatoren bei NIS-2 und DORA konkret pruefen, zeigt dieser Abschnitt.
Was Auditoren konkret pruefen
Bei einer Prüfung des SIEM prüft der Auditor Log-Quellen-Abdeckung, Qualität der Korrelationsregeln und den Nachweis des Alarm-Review-Prozesses. Das BAM-Objekt TECH-SIEM-01 definiert, was konkret vorgelegt werden muss.
Häufige Fehler
- Log-Quellen-Inventar fehlt – unklar, welche Systeme angebunden sind
- Korrelationsregeln aus Vendor-Templates, nicht auf eigene Bedrohungslage angepasst
- Alarm-Queue voll, aber kein Triage-Prozess – Alarme werden nicht bearbeitet
- Log-Aufbewahrung unter 90 Tagen (BSI-Mindestempfehlung)
Praxis-Tipp
Für das SIEM gilt: Der Auditor prueft nicht die Grösse des SIEM, sondern ob Alarme ausgewertet werden. Ein Alarm-Queue-Report, der zeigt, dass 95 Prozent der Alarme als „low priority – keine Massnahme“ geschlossen werden, signalisiert entweder zu viel False-Positive-Rauschen oder keine echte Auswertung.
Umsetzung: SIEM-Qualität steigern
Erster Schritt: Log-Quellen-Inventar erstellen – alle kritischen Systeme müssen angebunden sein. Zweiter Schritt: Korrelationsregeln gegen MITRE ATT&CK mappen – welche Techniken erkenne ich, welche nicht? Dritter Schritt: False-Positive-Rate reduzieren durch Tuning – zu viele False Positives lähmen das SOC. Vierter Schritt: SOC-Playbooks für die häufigsten Alarmtypen entwickeln. Fünfter Schritt: MTTD und MTTR messen und als KPI berichten.
Evidence-Anforderungen im Audit
Der Auditor erwartet: Log-Quellen-Inventar, Korrelationsregel-Katalog mit ATT&CK-Mapping, Alarm-Review-Protokolle der letzten 90 Tage, SOC-Playbooks und MTTD/MTTR-Kennzahlen.
Nächster Schritt
Stresstest starten
Kostenloser Compliance-Stresstest – NIS-2 und DORA in 20 Minuten.
Die strategische Einordnung findet sich auf Ebene 3.