Startseite Themen siem Was ist Security Information and Event Management (SIEM)? 
Entdecken Sie die SIEM-Lösung von IBM Abonnieren Sie Updates zum Thema Sicherheit
Abbildung mit Collage aus Wolkenpiktogrammen, Handy, Fingerabdruck, Häkchen
Was ist SIEM?

Als Security Information and Event Management (SIEM, Management von Sicherheitsinformationen und -ereignissen) bezeichnet man eine Sicherheitslösung, mit der Unternehmen potenzielle Sicherheitsbedrohungen und Schwachstellen erkennen und beheben können, bevor diese den Geschäftsbetrieb stören.

SIEM-Systeme unterstützen Sicherheitsteams in Unternehmen dabei, Unregelmäßigkeiten im Benutzerverhalten zu erkennen und anhand von künstlicher Intelligenz (KI) manuelle Prozesse für die Erkennung von Bedrohungen und die Reaktion auf Vorfälle zu automatisieren.

Die ursprünglichen SIEM-Plattformen waren Tools zur Protokollverwaltung. Sie kombinierten die Funktionen Sicherheitsinformationsmanagement (SIM) und Sicherheitsereignismanagement (SEM). Diese Plattformen ermöglichten die Überwachung und Analyse sicherheitsrelevanter Ereignisse in Echtzeit.

Außerdem erleichterten sie die Nachverfolgung und Protokollierung von Sicherheitsdaten für Compliance- oder Audit-Zwecke. Gartner prägte 2005 den Begriff SIEM für die Kombination von SIM- und SEM-Technologien.

Im Laufe der Jahre hat sich SIEM-Software dahingehend weiterentwickelt, dass sie User and Entity Behavior Analytics (UEBA, Benutzer- und Entitätsverhaltensanalysen) sowie andere fortschrittliche Sicherheitsanalysefunktionen, KI-Fähigkeiten und maschinelles Lernen nutzt, um anomale Verhaltensweisen und Indikatoren für komplexe Bedrohungen zu erkennen. Heute sind SIEM-Lösungen zu einem festen Bestandteil moderner Security Operation Centers (SOCs) geworden, da sie die Sicherheitsüberwachung und das Konformitätsmanagement effektiv unterstützen.

IBM X-Force Threat Intelligence Index

Gewinnen Sie mit dem IBM X-Force Threat Intelligence Index Erkenntnisse, um sich schneller und effektiver auf Cyberangriffe vorzubereiten und darauf zu reagieren.

Ähnliche Inhalte

Registrieren Sie sich für den Bericht über die Kosten einer Datenschutzverletzung

Wie funktioniert SIEM?

Grob zusammengefasst besteht die Aufgabe von SIEM-Lösungen darin, Daten zu aggregieren, zu konsolidieren und zu sortieren, damit Unternehmen Bedrohungen identifizieren und Auflagen an die Datenkonformität einhalten können. Die verfügbaren Lösungen unterscheiden sich zwar in ihrer Leistungsfähigkeit, doch die meisten bieten dieselben Kernfunktionen:

Log-Management

SIEM-Lösungen erfassen Ereignisdaten aus einer Vielzahl von Quellen innerhalb der gesamten IT-Infrastruktur eines Unternehmens, einschließlich On-Premise- und Cloud-Umgebungen.

Ereignisprotokolldaten von Benutzern, Endgeräten, Anwendungen, Datenquellen, Cloud-Workloads, Netzwerken, Sicherheitshardware und -software, wie Firewalls oder Antivirus-Software, werden in Echtzeit erfasst, korreliert und analysiert. 

Einige SIEM-Lösungen lassen sich auch in Threat-Intelligence-Feeds von Drittanbietern integrieren, um interne Sicherheitsdaten mit zuvor erkannten Bedrohungssignaturen und -profilen zu korrelieren. Durch die Integration in Echtzeit-Bedrohungsfeeds können neue Arten von Angriffskennungen blockiert oder erkannt werden.

Ereigniskorrelation und -analyse

Die Ereigniskorrelation ist ein wesentlicher Bestandteil jeder SIEM-Lösung. Dabei werden komplizierte Datenmuster mithilfe fortschrittlicher Analysefunktionen identifiziert und interpretiert. Die Ereigniskorrelation stellt Erkenntnisse bereit, damit potenzielle Bedrohungen der Unternehmenssicherheit schnell gefunden und abgewehrt werden können.

SIEM-Lösungen verbessern die mittlere Erkennungszeit (MTTD) und die mittlere Reaktionszeit (MTTR) erheblich, da manuelle Arbeitsabläufe für die gründliche Analyse von Sicherheitsereignissen automatisiert werden.

Ereignisüberwachung und Sicherheitswarnungen

SIEM-Analysen werden in einem zentralen Dashboard bereitgestellt. Sicherheitsteams können dort Aktivitäten überwachen, Alerts bewerten, Bedrohungen identifizieren und Abhilfemaßnahmen einleiten.

Die meisten SIEM-Dashboards bieten Sicherheitsanalysten zudem Echtzeit-Datenvisualisierungen, mit deren Hilfe sie besonders hohe Aufkommen verdächtiger Aktivitäten sowie Aktivitätstrends aufdecken. Durch individuell anpassbare, vordefinierte Korrelationsregeln können Administratoren sich sofort benachrichtigt lassen und geeignete Maßnahmen ergreifen, um Bedrohungen zu mindern, bevor sie zu handfesten Sicherheitsproblemen führen.

SIEM-Lösungen im Überblick
Konformitätsmanagement und -berichterstellung

SIEM-Lösungen sind eine beliebte Wahl für Unternehmen, die verschiedenen behördlichen Auflagen unterliegen. Da SIEM-Software die automatische Datenerfassung und -analyse ermöglicht, ist sie ein wertvolles Tool zum Sammeln und Überprüfen von Konformitätsdaten in der gesamten Unternehmensinfrastruktur.

SIEM-Lösungen können Echtzeit-Konformitätsberichte für PCI-DSS, DSGVO, HIPAA, SOX und andere Konformitätsstandards generieren, um das Sicherheitsmanagement zu unterstützen und potenzielle Verstöße frühzeitig zu erkennen, damit sie behoben werden können. Viele SIEM-Lösungen umfassen vorgefertigte, sofort einsatzfähige Erweiterungen zur automatischen Erstellung von konformen Berichten.

Die Vorteile von SIEM

Unabhängig von der Größe eines Unternehmens müssen proaktive Maßnahmen zur Überwachung und Abwehr von IT-Sicherheitsrisiken ergriffen werden. SIEM-Lösungen sind in vielerlei Hinsicht vorteilhaft und zu einer wichtigen Komponente bei der Optimierung von Sicherheitsworkflows geworden.

Bedrohungserkennung in Echtzeit

SIEM-Lösungen ermöglichen die zentrale Konformitätsprotokollierung und -berichterstellung für die gesamte Unternehmensinfrastruktur. Fortschrittliche Automatisierung rationalisiert die Erfassung und Analyse von Systemprotokollen und Sicherheitsereignissen, um die interne Ressourcennutzung zu reduzieren und gleichzeitig strenge Compliance-Berichtsstandards zu erfüllen.

KI-basierte Automatisierung

Die heutigen SIEM-Lösungen der nächsten Generation lassen sich in leistungsstarke SOAR-Systeme (SOAR Security Orchestration, Automation and Response) integrieren und sparen IT-Teams so Zeit und Ressourcen beim Sicherheitsmanagement.

Mithilfe von Deep Machine Learning, das sich automatisch an das Netzwerkverhalten anpasst, können diese Lösungen komplexe Bedrohungserkennungs- und Vorfallsreaktionsprotokolle in kürzerer Zeit bewältigen als physische Teams.

Verbesserte Betriebseffizienz

Da SIEM-Systeme IT-Umgebungen transparenter machen, können sie wesentlich zur Verbesserung der Effizienz in allen Abteilungen beitragen.

Ein zentrales Dashboard bietet eine einheitliche Ansicht von Systemdaten, Warnungen und Benachrichtigungen und ermöglicht es Teams, bei der Reaktion auf Bedrohungen und Sicherheitsvorfälle effizient zu kommunizieren und zusammenzuarbeiten.

Erkennung fortschrittlicher und unbekannter Bedrohungen

Angesichts der rasanten Veränderungen im Bereich Cybersicherheit benötigen Unternehmen Lösungen, die sowohl bekannte als auch unbekannte Sicherheitsbedrohungen erkennen und abwehren.

Mithilfe integrierter Threat-Intelligence-Feeds und KI-Technologie können SIEM-Lösungen Sicherheitsteams dabei helfen, effektiver auf eine Vielzahl von Cyberangriffen zu reagieren, darunter:

  • Insider Threats:  Sicherheitslücken oder Angriffe, die von Personen mit autorisiertem Zugriff auf Unternehmensnetzwerke und digitale Assets ausgehen.
     

  • Phishing: Nachrichten, die scheinbar von einem vertrauenswürdigen Absender stammen und häufig zum Diebstahl von Benutzerdaten, Anmeldeinformationen, Finanzinformationen oder anderen vertraulichen Geschäftsinformationen verwendet werden.
     

  • Ransomware: Malware, die die Daten oder das Gerät eines Opfers sperrt und droht, diese weiterhin gesperrt zu halten, oder Schlimmeres damit zu tun, wenn das Opfer kein Lösegeld zahlt.
     

  • Distributed Denial-of-Service (DDoS)-Angriffe: Angriffe, die Netzwerke und Systeme mit unkontrollierbarem Datenverkehr aus einem verteilten Netzwerk gekaperter Geräte (Botnet) bombardieren und dadurch die Leistung von Websites und Servern beeinträchtigen, bis sie unbrauchbar werden.
     

  • Datenexfiltration: Diebstahl von Daten von einem Computer oder einem anderen Gerät, der manuell oder automatisch mithilfe von Malware durchgeführt wird.

Durchführung forensischer Untersuchungen

SIEM-Lösungen sind ideal für die Durchführung computerforensischer Untersuchungen als Reaktion auf einen Sicherheitsvorfall. Mit SIEM-Lösungen können Unternehmen effizient die Protokolldaten von all ihren digitalen Assets an einem Ort sammeln und analysieren.

Dies gibt ihnen die Möglichkeit, vergangene Vorfälle zu rekonstruieren oder neue zu analysieren, um verdächtige Aktivitäten zu untersuchen und effektivere Sicherheitsprozesse zu implementieren.

Konformitätsbewertung und -berichterstellung

Compliance-Audits und -Berichte stellen für viele Unternehmen eine Notwendigkeit dar – und auch eine große Herausforderung. Mit SIEM-Lösungen lässt sich der Ressourcenaufwand für diese Prozesse deutlich reduzieren. Sie profitieren damit von Echtzeitprüfungen und On-Demand-Berichten und können so Vorschriften leichter einhalten.

Überwachung von Benutzern und Anwendungen

Mit der zunehmenden Beliebtheit des Remote-Arbeitsmodells, SaaS-Anwendungen und BYOD (bring your own device) brauchen Unternehmen ein hohes Maß an Transparenz, um Risiken außerhalb des traditionellen Netzwerkperimeters abzuwehren.

SIEM-Lösungen verfolgen die Netzwerkaktivitäten aller Benutzer, Geräte und Anwendungen. Dadurch wird die gesamte Infrastruktur erheblich transparenter und Bedrohungen werden unabhängig davon erkannt, wo digitale Assets und Services aufgerufen werden.

Best Practices für die SIEM-Implementierung

Vor oder nach Ihrer Investition in eine neue Lösung sollten Sie die folgenden Best Practices für die SIEM-Implementierung befolgen:

  1. Bestimmen Sie zunächst den Umfang Ihrer Implementierung. Definieren Sie, wie Ihr Unternehmen am besten davon profitiert, und bestimmen Sie relevante Sicherheitsanwendungsfälle.

  2. Entwerfen und verwenden Sie vordefinierte Datenkorrelationsregeln für alle Systeme und Netzwerke, auch für Ihre Cloudbereitstellungen.

  3. Identifizieren Sie alle geschäftlichen Compliance-Anforderungen und stellen Sie sicher, dass Ihre SIEM-Lösung so konfiguriert ist, dass sie diese Standards in Echtzeit prüft und in Berichten anzeigt, damit Sie Ihre Risikostruktur besser verstehen.

  4. Katalogisieren und klassifizieren Sie alle digitalen Assets innerhalb der IT-Infrastruktur Ihres Unternehmens. Dies ist für die Verwaltung der Protokolldaten, die Erkennung von Zugriffsmissbrauch und die Überwachung der Netzwerkaktivität von entscheidender Bedeutung.

  5. Richten Sie BYOD-Richtlinien, IT-Konfigurationen und Einschränkungen ein, die bei der Integration Ihrer SIEM-Lösung überwacht werden.

  6. Optimieren Sie regelmäßig Ihre SIEM-Konfigurationen, damit Sie falsch-positive Sicherheitswarnungen reduzieren.

  7. Dokumentieren und üben Sie alle Pläne und Workflows zur Reaktion auf Vorfälle, damit schnell auf alle Sicherheitsvorfälle reagiert werden kann, die ein Eingreifen erfordern.

  8. Automatisieren Sie, wo immer möglich, mit KI- und Sicherheitstechnologien wie SOAR.

  9. Untersuchen Sie die Möglichkeit, in einen MSSP (Managed Security Service Provider) zu investieren, der Ihre SIEM-Bereitstellungen verwaltet. Je nach den individuellen Anforderungen Ihres Unternehmens sind MSSPs möglicherweise besser aufgestellt, um mit der Komplexität Ihrer SIEM-Implementierung umzugehen und laufend für deren unterbrechungsfreie Funktionsweise zu sorgen.
Vorteile eines MSSP
Was die Zukunft für SIEM bereithält

KI wird in der Zukunft von SIEM immer wichtiger werden, da kognitive Fähigkeiten die Entscheidungsfähigkeit des Systems verbessern. Außerdem können sich die Systeme anpassen und wachsen, wenn die Anzahl der Endpunkte zunimmt.

Während IoT, Cloud Computing, erhöhen mobile und andere Technologien die Datenmenge, die ein SIEM-Tool verbrauchen muss. KI bietet das Potenzial für eine Lösung, die mehr Datentypen und ein komplexes Verständnis der sich weiterentwickelnden Bedrohungslandschaft unterstützt.  

Weiterführende Lösungen
Threat Management

Viele Unternehmen verfügen über mehrere, verteilte Tools zum Management von Sicherheitsbedrohungen. Da diese Tool-Suites oft über einen längeren Zeitraum hinweg zusammengestellt wurden, können sie normalerweise keinen umfassenden Überblick über die Sicherheitslage des Unternehmens bieten und somit auch keine sicheren Abläufe ermöglichen. Ein intelligenter, integrierter Ansatz für ein einheitliches Bedrohungsmanagement kann Ihnen helfen, komplexe Bedrohungen zu erkennen, schnell und präzise zu reagieren und Störungen zu beheben.

Mehr über Threat Management Services erfahren
IBM Concert

Vereinfachen und optimieren Sie Ihr Anwendungsmanagement und Ihren Technologiebetrieb mit generativen KI-gesteuerten Erkenntnissen.

Entdecken Sie Concert
Ressourcen IBM Security Framing and Discovery Workshop

Analysieren Sie in dieser kostenlosen 3-stündigen Design-Thinking-Session, an der Sie virtuell oder persönlich teilnehmen können, Ihre Cybersicherheitslandschaft und priorisieren Sie Ihre nächsten Initiativen gemeinsam mit erfahrenen IBM Security Architects und Consultants.

Veranstaltungen

Nehmen Sie an einem bevorstehenden Event oder Webinar teil.

Was ist User and Entity Behavior Analytics (UEBA)?

UEBA sind besonders effektiv bei der Identifizierung von Bedrohungen von innen, die autorisierten Netzwerkverkehr nachahmen und daher anderen Sicherheitstools entgehen können.

Machen Sie den nächsten Schritt

IBM Cybersecurity Services bieten Beratung, Integration und Managed Security Services sowie offensive und defensive Funktionen. Wir kombinieren ein globales Expertenteam mit eigenen und Partnertechnologien, um maßgeschneiderte Sicherheitsprogramme für das Risikomanagement mitzugestalten.

Mehr über Cybersicherheitsservices Think-Newsletter abonnieren