Security Information and Event Management (SIEM)

Man kann sich ein SIEM wie eine zentrale Leitstelle vorstellen, bei der die Meldungen vieler einzelner Wachposten zusammenlaufen. Jedes System schickt seine Protokolle dorthin, das SIEM bringt sie in eine gemeinsame Form und sucht nach Mustern, die auf einen Vorfall hindeuten. Der Wert entsteht aus der Zusammenführung: Einzelne Ereignisse, die für sich harmlos wirken, ergeben zusammen ein Bild.

Quellsysteme liefern ihre Logs an das SIEM, oft über installierte Agenten. Das SIEM normalisiert diese Daten, speichert sie revisionssicher und wendet Korrelationsregeln an. Findet eine Regel ein passendes Muster, entsteht ein Alarm, den ein SOC bewertet. Die Qualität steht und fällt mit zwei Dingen: welche Quellen angebunden sind und wie gut die Regeln gepflegt werden.

Ein SIEM ist stark bei Compliance, revisionssicherer Protokollierung und der nachträglichen Rekonstruktion eines Vorfalls. Seine strukturelle Grenze: Es sieht nur, was angebunden ist und was vorher als Regel definiert wurde. Was nicht geloggt wird oder keiner Regel entspricht, bleibt unsichtbar — eine Lücke, die in der Praxis erheblich sein kann. Der BSI-Lagebericht 2025 zeigt, dass selbst bei kritischer Infrastruktur nur rund die Hälfte der Betreiber über ein ausgereiftes System zur Angriffserkennung verfügt. Eine direkte Netzwerk-Sicht über NDR ergänzt das SIEM an genau dieser Stelle.