SIEM
Auch bekannt als: SIEM, Security Information and Event Management
Ein SIEM (Security Information and Event Management) sammelt und korreliert Protokolldaten aus der gesamten IT-Landschaft, um Angriffe an ihren Spuren zu erkennen - etwa ungewöhnliche Logins, Rechteänderungen oder Datenabflüsse.
Wie funktioniert ein SIEM?
Server, Firewalls, Clients, Cloud-Dienste und Anwendungen produzieren permanent Protokolle. Einzeln betrachtet sind die meisten Einträge harmlos - die Kunst ist die Korrelation: Ein fehlgeschlagener Login ist Alltag; hundert fehlgeschlagene Logins, gefolgt von einem erfolgreichen aus einem anderen Land, gefolgt von einer Rechteänderung, sind ein Angriff. Genau diese Muster erkennt ein SIEM über Regeln und zunehmend über Verhaltensanalysen, und schlägt Alarm, bevor aus einem Einbruch ein Schaden wird.
Was ist die realistische Erwartung für KMU?
Ein SIEM ist kein Gerät, das man anschließt und vergisst. Es braucht Pflege: Welche Quellen werden angebunden, welche Regeln gelten, wer bearbeitet die Alarme - auch nachts und am Wochenende? Ein unbetreutes SIEM produziert vor allem eines: ignorierte Meldungen. Für die meisten kleinen und mittleren Unternehmen ist deshalb nicht die Software die Hürde, sondern der Betrieb.
SIEM selbst betreiben oder als Service?
Wer kein eigenes Security-Team hat, fährt mit einem betreuten Modell meist besser: Bei Managed Detection and Response übernimmt ein externes Team Monitoring, Analyse und Erstreaktion rund um die Uhr - das SIEM ist dann Werkzeug statt Baustelle. Die Alarme münden idealerweise in einen getesteten Incident-Response-Prozess, damit aus Erkennung auch Reaktion wird.
Verwandte Begriffe
Fragen zu SIEM in Ihrem Unternehmen?
Ich unterstütze kleine und mittlere Unternehmen pragmatisch bei IT-Consulting, Administration und Security – herstellerneutral und ohne Vertriebsdruck.
Zuletzt aktualisiert: 4. Juli 2026