2026-03-08
By Emre SalmanogluSIEM: Der umfassende Leitfaden für Sicherheits- und Compliance-Teams
Erfahren Sie, wie Sie ein SIEM für Bedrohungserkennung, Incident Response und Compliance-Nachweise auswählen, bereitstellen und betreiben. Behandelt Log-Quellen, Erkennungsregeln, SOAR-Integration und Framework-Anforderungen nach ISO 27001, SOC 2, NIS2 und DORA.
SIEM
Sicherheitsüberwachung
Log-Management
Bedrohungserkennung
Compliance
Was ist ein SIEM?
Ein Security Information and Event Management (SIEM) System ist das zentrale Nervensystem der Sicherheitsoperationen einer Organisation. Es sammelt Logdaten aus der gesamten Technologielandschaft, normalisiert sie in ein einheitliches Format, korreliert Ereignisse zur Erkennung von Bedrohungen und liefert den Audit-Trail, den Compliance-Frameworks verlangen.
Moderne SIEMs haben sich von einfachen Log-Aggregatoren zu intelligenten Plattformen entwickelt, die Echtzeit-Bedrohungserkennung, automatisierte Reaktion, Threat Hunting und Compliance-Berichterstattung vereinen.
SIEM-Kernfähigkeiten
| Fähigkeit | Was es macht | Compliance-Wert |
|---|---|---|
| Log-Sammlung | Logs von allen IT-Systemen über Agenten, Syslog, APIs aufnehmen | Zentraler Audit-Trail-Nachweis |
| Normalisierung | Verschiedene Log-Formate in ein einheitliches Schema konvertieren | Konsistente Analyse und Berichterstattung |
| Korrelation | Ereignisse aus mehreren Quellen abgleichen, um Angriffsmuster zu erkennen | Bedrohungserkennungsnachweis |
| Alarmierung | Analysten über erkannte Bedrohungen und Anomalien benachrichtigen | Vorfallerkennungsnachweis |
| Dashboards | Echtzeit-Sichtbarkeit der Sicherheitslage | Management-Berichterstattung |
| Untersuchung | Suche und Analyse historischer Ereignisse für Forensik | Incident-Response-Nachweis |
| Berichterstattung | Compliance- und operative Berichte generieren | Audit-Nachweispakete |
| Aufbewahrung | Logs für vorgeschriebene Aufbewahrungsfristen speichern | Regulatorische Compliance |
Wesentliche Log-Quellen
| Log-Quellen-Kategorie | Beispiele | Erkennungswert |
|---|---|---|
| Identität und Zugriff | Active Directory, Entra ID, Okta, SSO-Anbieter | Kontoübernahme, Rechteeskalation |
| Endpoint | EDR-Alarme, Windows Event Logs, Syslog | Malware, laterale Bewegung, Datenexfiltration |
| Netzwerk | Firewalls, IDS/IPS, DNS, Proxy, VPN | Command and Control, Datenexfiltration |
| Cloud-Plattformen | AWS CloudTrail, Azure Activity Log, GCP Audit Logs | Fehlkonfigurationen, unbefugter Zugriff |
| Anwendungen | Webserver, Datenbanken, benutzerdefinierte Anwendungen | Anwendungsschicht-Angriffe, Datenzugriff |
| E-Mail-Gateway, Microsoft 365/Google Workspace | Phishing, Business Email Compromise | |
| Sicherheitstools | Schwachstellen-Scanner, DLP, WAF, CASB | Anreicherung und Korrelationskontext |
Erkennungsregeln und MITRE ATT&CK
| Taktik | Prioritäts-Erkennungen | Erforderliche Log-Quellen |
|---|---|---|
| Erstzugriff | Phishing-Links angeklickt, Exploit-Versuche | E-Mail-Gateway, WAF, EDR |
| Ausführung | Verdächtige Prozesserstellung, Skriptausführung | EDR, Windows Event Logs |
| Persistenz | Neue geplante Aufgaben, Registry-Änderungen, neue Konten | EDR, Active Directory |
| Rechteeskalation | Admin-Gruppenänderungen, Token-Manipulation | Active Directory, EDR |
| Verteidigungsumgehung | Log-Löschung, Manipulation von Sicherheitstools | SIEM-Selbstüberwachung, EDR |
| Credential-Zugriff | Brute Force, Password Spraying, Credential Dumping | Active Directory, VPN, SSO |
| Laterale Bewegung | Ungewöhnlicher RDP-, SMB-Verkehr, Dienstkontenmissbrauch | Netzwerk, Active Directory, EDR |
| Exfiltration | Große Datenübertragungen, ungewöhnliche Ziele | Netzwerk, Proxy, DLP |
SIEM vs SOAR vs XDR
| Fähigkeit | SIEM | SOAR | XDR |
|---|---|---|---|
| Log-Sammlung und -Speicherung | Kernfunktion | Nein | Begrenzt |
| Bedrohungserkennung | Korrelationsregeln, Analytik | Nein (nutzt SIEM-Alarme) | Integrierte Erkennung |
| Automatisierte Reaktion | Basis (E-Mail, Ticket) | Kernfunktion (Playbooks) | Integrierte Reaktionsmaßnahmen |
| Compliance-Berichterstattung | Kernfunktion | Nein | Begrenzt |
| Untersuchung | Log-Suche und Forensik | Case Management | Geführte Untersuchung |
| Umfang | Alle Log-Quellen | Alarm-Reaktions-Workflows | Endpoint, Netzwerk, Cloud, E-Mail |
Log-Aufbewahrungsanforderungen
| Framework | Mindestaufbewahrung | Hinweise |
|---|---|---|
| ISO 27001 | Von Organisation definiert | A.8.15 verlangt Logging-Richtlinie mit definierter Aufbewahrung |
| SOC 2 | 1 Jahr | CC7.2 — ausreichend zur Unterstützung von Untersuchungen |
| NIS2 | Nicht explizit spezifiziert | Muss Vorfalluntersuchung unterstützen (Artikel 23) |
| DORA | 5 Jahre | IKT-bezogene Vorfallaufzeichnungen (Artikel 17) |
| PCI DSS | 1 Jahr (3 Monate hot) | Anforderung 10.7 — sofort für Analyse verfügbar |
Compliance-Anforderungen
Framework-Zuordnung
| Anforderung | ISO 27001 | SOC 2 | NIS2 | DORA |
|---|---|---|---|---|
| Zentrales Logging | A.8.15 | CC7.2 | Art. 21(2)(b) | Art. 10 |
| Sicherheitsüberwachung | A.8.16 | CC7.2 | Art. 21(2)(b) | Art. 10 |
| Vorfallerkennung | A.5.25 | CC7.3 | Art. 21(2)(b) | Art. 10 |
| Log-Schutz | A.8.15 | CC7.2 | Art. 21(2)(d) | Art. 10 |
| Zeitsynchronisation | A.8.17 | CC7.2 | Art. 21(2)(d) | Art. 10 |
| Audit-Trail | A.8.15 | CC7.2 | Art. 23 | Art. 17 |
Auditnachweise
| Nachweistyp | Beschreibung | Framework |
|---|---|---|
| SIEM-Bereitstellungsdokumentation | Architektur, Log-Quellen, Abdeckung | Alle Frameworks |
| Log-Quellen-Inventar | Alle Systeme die Logs senden mit Status | ISO 27001, SOC 2 |
| Erkennungsregel-Katalog | Dokumentierte Regeln abgebildet auf Bedrohungen | ISO 27001, NIS2, DORA |
| Alarm-Reaktionsverfahren | SOPs für jeden Alarmtyp | Alle Frameworks |
| MTTD/MTTR-Metriken | Monatliche Erkennungs- und Reaktionszeiten | SOC 2, NIS2, DORA |
| Log-Aufbewahrungs-Konfiguration | Aufbewahrungsrichtlinien und Verifizierung | Alle Frameworks |
| Vorfalluntersuchungsberichte | Abgeschlossene Untersuchungsaufzeichnungen | NIS2, DORA |
Häufige Fehler
| Fehler | Auswirkung | Lösung |
|---|---|---|
| Alles sammeln | Alarm-Fatigue, hohe Kosten, langsame Abfragen | Log-Quellen nach Bedrohungsmodell priorisieren |
| Keine Erkennungs-Tuning | 90%+ False-Positive-Raten | Baselines erstellen, tunen und kontinuierlich verbessern |
| SIEM-Gesundheit ignorieren | Stille Log-Lücken erzeugen blinde Flecken | Aufnahmeraten überwachen und bei Einbrüchen alarmieren |
| Keine Reaktionsverfahren | Alarme ohne Maßnahmen verschwenden Investition | SOPs für jeden Alarmtyp dokumentieren und trainieren |
| Einzelanalysten-Abhängigkeit | Keine Abdeckung bei Abwesenheit | Team cross-trainieren, Runbooks dokumentieren |
| Keine MITRE ATT&CK-Zuordnung | Unbekannte Erkennungslücken | Bestehende Regeln auf ATT&CK abbilden und Lücken identifizieren |
Wie Orbiq SIEM-Compliance unterstützt
Orbiq hilft Ihnen, Sicherheitsüberwachungs-Kontrollen nachzuweisen:
- Evidenzsammlung — SIEM-Bereitstellungsnachweise, Erkennungsregel-Dokumentation und MTTD/MTTR-Metriken zentralisieren
- Kontinuierliche Überwachung — SIEM-Abdeckung und Erkennungseffektivität verfolgen
- Trust Center — Ihre Sicherheitsüberwachungslage über Ihr Trust Center teilen
- Compliance-Mapping — SIEM-Kontrollen auf ISO 27001, SOC 2, NIS2 und DORA abbilden
- Audit-Bereitschaft — Vorgefertigte Evidenzpakete für die Auditorenprüfung
Weiterführende Artikel
- Incident Response — Vom SIEM-Alarm zur Vorfallbehebung
- Endpoint-Sicherheit — EDR als kritische SIEM-Log-Quelle
- Verschlüsselung — Schutz von Logdaten bei Übertragung und Speicherung
- Zero-Trust-Architektur — SIEM-Rolle bei Zero-Trust-Überwachung
- Schwachstellenmanagement — Schwachstellen mit SIEM-Alarmen korrelieren
- Zugriffskontrolle — Zugriffsereignisse über SIEM überwachen