Compliance-Lexikon · Technik
SIEM
[siːm] · Security Information and Event Management · auch: Security Analytics Platform
Ein SIEM (Security Information and Event Management) ist eine Plattform, die Sicherheitsereignisse aus verschiedenen Quellen sammelt, korreliert und auswertet – um Sicherheitsvorfälle in Echtzeit zu erkennen, zu priorisieren und das Sicherheits-Operations-Center (SOC) mit handlungsrelevanten Alarmen zu versorgen.
Warum ein SIEM mehr ist als ein Log-Aggregator
Ein SIEM, das nur Logs sammelt und speichert, ist ein teures Archiv. Der Wert eines SIEM entsteht durch Korrelation: Einzeln unbedeUtende Ereignisse – ein fehlgeschlagener Login, ein ungewoehnlicher Netzwerkzugriff, eine vera–nderte Konfiguration – werden kombiniert, um Angriffsmuster zu erkennen. NIS-2 und DORA verlangen nachweisliche Früherkennung von Sicherheitsvorfällen. Ein SIEM ohne aussagekräftige Korrelationsregeln und definierten Alarm-Review-Prozess erfüllt diese Anforderung nicht.
Wo ein SIEM gefordert wird
| Framework | Referenz | Anforderung |
|---|---|---|
| ISO 27001:2022 | A.8.15 / A.8.16 | Protokollierung und Überwachung: SIEM als Schlüsseltechnologie fuer zentralisierte Protokollauswertung. |
| NIS-2 / BSIG | § 30 Abs. 2c | Erkennung von Sicherheitsvorfällen: SIEM als technische Mindestmassnahme fuer wesentliche Einrichtungen. |
| DORA | Art. 10 | Früherkennung und Reaktion: SIEM als Kerntechnologie fuer IKT-Vorfallserkennung im Finanzsektor. |
| BSI IT-Grundschutz | DER.1.1 | Detektion von sicherheitsrelevanten Ereignissen: SIEM als empfohlene Implementierungstechnologie. |
| MITRE ATT&CK | Detect | SIEM-Regeln als Hauptmechanismus zur ATT&CK-Technique-Erkennung in Produktionsumgebungen. |
BAM-Objektreferenz
Häufige Audit-Fehler
- SIEM vorhanden, aber kritische Log-Quellen nicht angebunden (Cloud, OT, SaaS)
- Korrelationsregeln out-of-the-box, nicht auf Bedrohungslandschaft angepasst
- Alarme werden generiert, aber nicht zeitnah ausgewertet
- Kein dokumentierter SOC-Prozess fuer Alarm-Triage und Eskalation
SIEM-Architektur: Datenquellen und Korrelation
Ein vollständiges SIEM bindet alle sicherheitsrelevanten Log-Quellen ein: Firewalls, IDS/IPS, Endpoint-Detection, Active Directory / Entra ID, Cloud-Provider (AWS CloudTrail, Azure Monitor, GCP Logs), Anwendungsserver, Datenbanken und – sofern vorhanden – OT/ICS-Systeme. Korrelationsregeln kombinieren Ereignisse aus verschiedenen Quellen: Ein fehlgeschlagener Login (AD) auf denselben Account wie ein gleichzeitiger Login aus einem anderen Land (VPN-Log) ist ein Alarm. Einzeln ist keines der Ereignisse kritisch. Die Kombination signalisiert einen Account-Takeover-Versuch.
SIEM vs. SOAR vs. XDR: Abgrenzung
SIEM: Zentralisierte Protokollsammlung, Korrelation und Alarmierung. SOAR (Security Orchestration, Automation and Response): Automatisierte Reaktion auf SIEM-Alarme durch vordefinierte Playbooks. XDR (Extended Detection and Response): Erweiterte Telemetrie über Endpoint, Netzwerk und Cloud in einer integrierten Plattform. Moderne Architekturen kombinieren alle drei: SIEM für Compliance und Log-Retention, XDR für Echtzeit-Bedrohungserkennung, SOAR für automatisierte Reaktion.
Nächste Ebene
SIEM in der Praxis: Datenquellen, Regeln und Evidence
Was Auditoren bei einem SIEM konkret pruefen und welche Evidence benoetigt wird.