THE MEDICAL IT POST

News aus IT & Gesundheitswesen – täglich kompakt und relevant

IT-Sicherheit

Was ist SIEM – Security Information and Event Management?

10. Juli 2026Quelle: it-daily.net

Zusammenfassung

Datenströme überwachen, Bedrohungen erkennen und Angriffe abwehren. Security Information and Event Management bildet das Gehirn des modernen Cyber-Schutzes. Tags: #Cyber Security | #SIEM

Im Detail

Datenströme überwachen, Bedrohungen erkennen und Angriffe abwehren. Security Information and Event Management bildet das Gehirn des modernen Cyber-Schutzes.

Inhalt

Die historische Fusion von SIM und SEM

Der technische Datenkreislauf im Sicherheitsmanagement

Die evolutionäre Stufe des Next Generation SIEM

Die quantitative Überforderung durch Dateninflation und Alarmmüdigkeit

Gesetzliche Verpflichtungen und regulatorische Rahmenbedingungen

Fazit und Ausblick auf moderne Managed Strukturen

Die kontinuierliche Digitalisierung und Vernetzung von Geschäftsprozessen hat die IT-Infrastrukturen moderner Unternehmen in hochkomplexe Ökosysteme verwandelt. Täglich interagieren Tausende von Servern, Firewalls, Endgeräten, Cloud-Instanzen und Anwendungen miteinander.

Jede dieser Komponenten erzeugt ununterbrochen digitale Protokolle, sogenannte Logdaten, die Aufschluss über Systemzustände, Nutzeraktivitäten und potenzielle Sicherheitsereignisse geben. Für menschliche Administratoren und IT-Sicherheitsteams ist es physisch unmöglich, diese astronomischen Datenmengen manuell zu sichten und auf Bedrohungen zu überprüfen.

Security Information and Event Management, abgekürzt SIEM, löst dieses Problem der Intransparenz. Es handelt sich um eine softwarebasierte Sicherheitsplattform, die Datenströme aus der gesamten Unternehmens-IT zentral zusammenführt, in Echtzeit analysiert, als digitale Lupe im Sicherheitsbetrieb fungiert und verdächtige Verhaltensmuster automatisiert meldet.

Ein funktionierendes SIEM-System bildet das technologische Nervenzentrum moderner Sicherheitszentralen.

Die historische Fusion von SIM und SEM

Um die tiefere Funktionsweise eines SIEM-Systems zu verstehen, hilft ein Blick auf die Entstehungsgeschichte der Technologie. Der Begriff setzt sich historisch aus zwei zuvor getrennten Disziplinen der Informationstechnik zusammen: Security Information Management und Security Event Management.

Das klassische Security Information Management konzentrierte sich primär auf die langfristige Speicherung, Analyse und Berichterstattung von Protokolldaten. Es diente vor allem der Dokumentation und der Erfüllung von Compliance-Anforderungen nach Audits.

Das Security Event Management hingegen war für die Echtzeit-Überwachung von Systemereignissen, die Korrelation von Alarmen und die unmittelbare Benachrichtigung der Administratoren zuständig.

Durch die Zusammenführung dieser beiden Ansätze zu SIEM entstand ein ganzheitliches Werkzeug. Es kombiniert die historische Tiefe der Datenspeicherung mit der unmittelbaren Reaktionsgeschwindigkeit der Echtzeit-Analyse. Moderne Systeme gehen weit über diesen ursprünglichen Ansatz hinaus und integrieren fortschrittliche statistische Modelle und Schnittstellen zur automatisierten Schadensbegrenzung.

Der technische Datenkreislauf im Sicherheitsmanagement

Ein SIEM-System arbeitet nach einem standardisierten, vierstufigen Prozess, der kontinuierlich im Hintergrund abläuft und das Fundament für die Erkennung von Cyber-Bedrohungen bildet.

Der erste Schritt ist die Datenaggregation. Das System sammelt Protokolldatensätze von unterschiedlichsten Quellen im gesamten Netzwerk. Dazu gehören Ereignisprotokolle von Windows- und Linux-Servern, Verkehrsdaten von Routern und Firewalls, Aktivitätsberichte von Datenbanken sowie Authentifizierungslogs von Cloud-Diensten wie Azure oder AWS.

Der zweite Schritt ist die Normalisierung und das Parsen der Daten. Da jeder Softwarehersteller Protokolle in einem eigenen format schreibt, müssen die Rohdaten in eine einheitliche Struktur überführt werden.

Das SIEM-System übersetzt die verschiedenen Dialekte der Quellsysteme in eine gemeinsame Sprache, damit ein Anmeldeversuch auf einer Firewall exakt dieselbe logische Struktur aufweist wie ein Anmeldeversuch auf einem lokalen Server.

Der dritte Schritt ist die Korrelation und Analyse. Dies ist die eigentliche Rechenleistung des Systems. Das SIEM vergleicht die normalisierten Ereignisse anhand vordefinierter Regeln oder mathematischer Modelle.

Erkennt das System beispielsweise, dass sich ein Benutzerkonto innerhalb von fünf Minuten an zehn verschiedenen Systemen anmeldet und gleichzeitig eine Firewall Datenströme in ein unbekanntes Land registriert, verknüpft das SIEM diese isolierten Ereignisse zu einem zusammenhängenden Sicherheitsvorfall.

Der vierte Schritt ist das Alerting und die Visualisierung. Wird eine kritische Korrelation erkannt, generiert das System einen Alarm und präsentiert den Vorfall auf einem zentralen Dashboard für die Analysten im Security Operations Center.

Die evolutionäre Stufe des Next Generation SIEM

Die klassische, rein regelbasierte Analyse stößt in modernen Cloud-Umgebungen zunehmend an funktionale Grenzen. Wenn ein Angreifer legitime Zugangsdaten nutzt und sich unauffällig verhält, greifen traditionelle Wenn-Dann-Regeln nicht. Aus diesem Grund hat sich der Markt hin zum sogenannten Next Generation SIEM entwickelt.

Diese modernen Plattformen erweitern die Kernfunktionen um zwei entscheidende technologische Komponenten: User and Entity Behavior Analytics sowie Security Orchestration, Automation and Response. Die Verhaltensanalyse nutzt maschinelles Lernen, um für jeden Benutzer und jedes System im Netzwerk ein statistisches Normalprofil zu erstellen.

Weicht das Verhalten eines Mitarbeiter signifikant von seiner historischen Norm ab, indem er beispielsweise zu einer untypischen Uhrzeit auf sensible Daten zugreift, schlägt das System auch ohne starre Regel an.

Die Automatisierungskomponente erlaubt es dem SIEM zudem, nicht mehr nur Alarme auszugeben, sondern direkt digitale Gegenmaßnahmen einzuleiten. Das System kann über Schnittstellen infizierte Laptops automatisch vom Netzwerk isolieren oder kompromittierte Benutzerkonten sperren, noch bevor ein menschlicher Analyst den Vorfall gesichtet hat.

Die quantitative Überforderung durch Dateninflation und Alarmmüdigkeit

Trotz der technologischen Fortschritte steht das IT-Management bei der Implementierung und dem Betrieb von SIEM-Systemen vor erheblichen operativen Herausforderungen. Das primäre Problem ist die schiere Dateninflation im Unternehmensnetzwerk.

Große Organisationen generieren täglich viele Terabyte an Protokolldaten. Die Lizenzmodelle vieler traditioneller SIEM-Anbieter berechnen die Kosten basierend auf dem Datenvolumen pro Tag oder den Ereignissen pro Sekunde. Dies führt in der Praxis zu einem wirtschaftlichen Dilemma: Um Kosten zu sparen, neigen IT-Abteilungen dazu, bestimmte Logquellen vom System auszuschließen.

Dadurch entstehen blinde Flecken in der Sicherheitsarchitektur, die von professionellen Angreifern gezielt ausgenutzt werden können.

Ein weiteres operatives Problem ist die Alarmmüdigkeit, bekannt als Alert Fatigue. Wenn die Korrelationsregeln ungenau konfiguriert sind, produziert das System eine Flut von Fehlalarmen. Analysten verbringen wertvolle Arbeitszeit mit der Überprüfung harmloser Systemereignisse, was die Aufmerksamkeit für reale, hochgefährliche Angriffe im schlimmsten Fall abstumpft.

Gesetzliche Verpflichtungen und regulatorische Rahmenbedingungen

Der Betrieb eines SIEM-Systems ist für viele Branchen längst keine freiwillige Sicherheitsmaßnahme mehr, sondern eine zwingende regulatorische Pflicht. Die nationale und internationale Gesetzgebung fordert von Unternehmen eine lückenlose Nachweisbarkeit und kontinuierliche Überwachung ihrer kritischen Infrastrukturen.

Die im Oktober 2024 in Kraft getretene europäische NIS2-Richtlinie verpflichtet Betreiber wichtiger und kritischer Sektoren zu technischen Sicherheitsmaßnahmen, die dem aktuellen Stand der Technik entsprechen. Ein kontinuierliches Sicherheitsmonitoring und das Management von Sicherheitsvorfällen gehören zu den Kernforderungen dieses Regelwerks.

Ebenso stellt das nationale Bundesamt für Sicherheit in der Informationstechnik im Rahmen des IT-Grundschutzes klare Vorgaben für das Protokollmanagement auf. Der Baustein OPS.1.1.5 verlangt von Organisationen die Einrichtung einer systematischen Protokollierung und Auswertung von Sicherheitsereignissen.

Auf internationaler Ebene definiert das National Institute of Standards and Technology mit dem Leitfaden NIST SP 800-92 die weltweiten Standards für das sichere Log-Management.

Für Unternehmen, die Kreditkartendaten verarbeiten, schreibt zudem der Payment Card Industry Data Security Standard die Verwendung eines automatisierten SIEM-Systems zur täglichen Überprüfung der Sicherheitsereignisse verbindlich vor. Ein Verstoß gegen diese Dokumentations- und Kontrollpflichten kann zum Verlust von Zertifizierungen und zu drakonischen Bußgeldern für die Unternehmensführung führen.

Fazit und Ausblick auf moderne Managed Strukturen

Ein SIEM-System ist kein Werkzeug, das sich nach dem Prinzip der einmaligen Konfiguration betreiben lässt. Es erfordert eine kontinuierliche Pflege der Korrelationsregeln, die Einbindung neuer Datenquellen und die fachliche Expertise geschulter Analysten.

Da der Aufbau eines internen, rund um die Uhr besetzten Sicherheitszentrums für kleine und mittelständische Unternehmen oft wirtschaftlich nicht darstellbar ist, verlagert sich der Markt zunehmend hin zu co-managed oder vollständig ausgelagerten Betriebsmodellen.

Spezialisierte Sicherheitsdienstleister übernehmen hierbei das Hosting der SIEM-Infrastruktur und die Erstbewertung der Alarme. Gartner beschreibt diese Entwicklung und die Marktrichtungen in seinen fortlaufenden Marktanalysen für ausgelagerte Sicherheitsdienstleistungen detailliert.

Unabhängig vom gewählten Betriebsmodell bleibt die zentrale Erkenntnis bestehen: In einer hochgradig vernetzten digitalen Wirtschaft ist das systematische Sammeln und Auswerten von Protokolldaten über ein SIEM-System die einzig verlässliche Methode, um die informationelle Souveränität zu wahren und Cyber-Angriffe zu erkennen, bevor sie zu einem existenzbedrohenden Schaden führen.

Tags: #Cyber Security | #SIEM

Zum Originalartikel

Newsletter

Täglich die wichtigsten News aus IT & Gesundheitswesen

Jeden Tag 1–2 ausgewählte Meldungen per E-Mail – kostenlos und jederzeit abbestellbar.

THE MEDICAL IT POST

The Medical IT Post ist die führende Nachrichtenquelle für IT-Entscheider in Arztpraxen, MVZ und Kliniken in Deutschland.

Alle Artikel basieren auf öffentlich zugänglichen Informationen und wurden automatisch in eigenen Worten zusammengefasst.

© 2025 The Medical IT Post. Alle Rechte vorbehalten. | Powered by IT-ÄRZTE GmbH | Datenschutz