Security Information and Event Management
Security Information and Event Management (SIEM) ist eine zentrale Plattform, die sicherheitsrelevante Protokolldaten aus IT-Systemen sammelt, normalisiert und in Echtzeit korreliert, um Bedrohungen und Sicherheitsvorfälle frühzeitig zu erkennen.
Security Information and Event Management (SIEM) bezeichnet eine technische Lösung, die Log- und Ereignisdaten aus heterogenen Quellen wie Servern, Endgeräten, Firewalls, Netzwerkkomponenten, Anwendungen und Cloud-Diensten an einer zentralen Stelle zusammenführt. Die Rohdaten werden normalisiert, angereichert und über Korrelationsregeln sowie zunehmend über verhaltensbasierte Analysen ausgewertet. Auf diese Weise lassen sich Muster erkennen, die in den einzelnen Quellen für sich genommen unauffällig wären, in der Gesamtschau aber auf einen Angriff oder eine Fehlkonfiguration hindeuten.
Ein SIEM verbindet zwei historisch getrennte Disziplinen: das Security Information Management (langfristige Speicherung, Auswertung und Berichterstattung von Protokolldaten) und das Security Event Management (Echtzeit-Überwachung, Korrelation und Alarmierung). Damit unterstützt es zentrale Anforderungen der Informationssicherheit nach ISO/IEC 27001 sowie den Anforderungen des BSI IT-Grundschutz, insbesondere die Protokollierung, das kontinuierliche Monitoring und die Erkennung von Sicherheitsvorfällen. In der Praxis bildet ein SIEM häufig das technische Herzstück eines Security Operations Center (SOC) und die Datengrundlage für die Incident-Response.
Mit Inkrafttreten der NIS2-Richtlinie gewinnt SIEM erheblich an Bedeutung: Besonders wichtige und wichtige Einrichtungen müssen technische und organisatorische Maßnahmen zur Erkennung und Behandlung von Sicherheitsvorfällen sowie zur Erfüllung der kurzen Meldefristen nachweisen können. Ein SIEM liefert hierfür die erforderliche Transparenz, revisionssichere Protokollierung und Auswertbarkeit. Zugleich sind beim Betrieb datenschutzrechtliche Vorgaben der DSGVO zu beachten, da Protokolldaten regelmäßig Personenbezug aufweisen und Zweckbindung, Speicherbegrenzung und Mitbestimmungsrechte zu berücksichtigen sind.
Rechtliche Grundlage
NIS2-Richtlinie (EU) 2022/2555 i. V. m. NIS2-Umsetzungsgesetz; ISO/IEC 27001:2022 (insb. A.8.15 Protokollierung, A.8.16 Überwachung von Aktivitäten); BSI IT-Grundschutz (Baustein OPS.1.1.5 Protokollierung, DER.1 Detektion von sicherheitsrelevanten Ereignissen); Art. 5 und Art. 32 DSGVO
Praxisbeispiel
Ein mittelständischer Energieversorger fällt als besonders wichtige Einrichtung unter die NIS2-Pflichten. Der Informationssicherheitsbeauftragte führt ein SIEM ein, das Logs aus Active Directory, VPN-Gateways, Firewalls und den Leitsystemen zusammenführt. Als ein kompromittiertes Servicekonto nachts auffällig viele Anmeldeversuche aus einem ungewöhnlichen Netzsegment erzeugt, löst eine Korrelationsregel automatisch einen Alarm aus. Das SOC isoliert das Konto innerhalb weniger Minuten, dokumentiert den Vorfall revisionssicher und kann die gesetzliche Erstmeldung an das BSI fristgerecht innerhalb von 24 Stunden absetzen.
Häufige Fragen
So unterstützt preeco Sie
Erfahren Sie, wie unsere Software Sie bei diesem Thema unterstützt.
Mehr erfahren