Was ist ein SIEM? Definition, Nutzen und Grenzen
Was ist ein SIEM? Ein SIEM (Security Information and Event Management) sammelt sicherheitsrelevante Logs aus Netzwerk, Endgeräten, Cloud-Diensten und Anwendungen an zentraler Stelle, bringt sie in ein einheitliches Format und verknüpft sie regelbasiert. Bei auffälligen Mustern löst es Alarme aus und erzeugt Nachweise für Audits. Es ist die technische Basis der Erkennung, ersetzt aber nicht das Team, das es betreibt.
Das Wichtigste in Kürze
- Kernfunktion: Sammeln, Normalisieren, Korrelieren, Alarmieren. Die Korrelation über Quellgrenzen hinweg ist der eigentliche Mehrwert.
- Werkzeug, keine Organisation: Das SIEM ist die Software. Das SOC ist das Team, das die Alarme bewertet. Eines ohne das andere bleibt weit unter seinen Möglichkeiten.
- Kostentreiber: Lizenziert wird häufig nach Datenvolumen, daneben nach Ereignisrate, Geräten oder Nutzern. Jede Log-Quelle ohne definierten Erkennungszweck kostet Geld ohne Nutzen.
- Regulatorik: Weder NIS2 noch DORA schreiben ein SIEM vor. Beide fordern aber Erkennung und Nachweisführung, wofür es das gängigste Mittel ist.
- Trend: Cloud-native SIEM-Dienste verschieben die Infrastruktur, die Grundlogik bleibt. EDR und XDR ergänzen die Tiefe am Endpunkt.
Was ein SIEM konkret bedeutet
Der Unterschied zwischen einem Log-Server und einem SIEM liegt in einem einzigen Wort: Korrelation. Ein Log-Server sammelt und speichert. Ein SIEM verknüpft. Zehn fehlgeschlagene Anmeldungen an einem Gerät sind zehn einzelne Ereignisse. Erst eine Korrelationsregel, die dieselben Anmeldungen mit einem Port-Scan von derselben Absenderadresse und einem ungewöhnlichen Datenabfluss wenige Minuten später verknüpft, macht daraus einen Alarm, der einen Analysten aufweckt.
Damit das funktioniert, müssen die Quellen erst dieselbe Sprache sprechen. Windows-Ereignisprotokolle, Linux-Syslog, Firewall-Logs und Cloud-Audit-Trails kommen in unterschiedlichen Formaten an. Die Normalisierung auf ein gemeinsames Schema ist der Arbeitsschritt, der in Projekten am häufigsten unterschätzt wird.
Neben der Erkennung trägt das SIEM ein zweites Standbein: die Nachweisführung. Aufbewahrte und auswertbare Protokolle belegen gegenüber Prüfern, was wann passiert ist. Für Finanzunternehmen unter DORA und Betreiber unter NIS2 ist das ein wesentlicher Teil des Werts.
Wofür ein SIEM relevant ist
Ab mittlerer IT-Komplexität wird manuelle Log-Auswertung unpraktikabel: mehrere Standorte, hybride Cloud-Landschaft, wachsende Gerätezahl. Ein SIEM strukturiert diesen Prozess. Für CISOs gehört zur Budgetplanung neben der Lizenz das Betriebsmodell: Wer bewertet die Alarme und in welchem Zeitfenster? Ohne diese Antwort produziert das beste System nur Rauschen.
Für Analysten ist das SIEM das erste Werkzeug der Triage. Die Qualität der Alarme hängt entscheidend an der Datenqualität, der Normalisierung und der Detektionslogik. Schlecht kalibrierte Regeln führen zur Alarm-Müdigkeit, bei der echte Vorfälle im Rauschen untergehen. Tuning ist deshalb Daueraufgabe und kein Einmalprojekt.
Was Unternehmen jetzt prüfen müssen
Vor jeder Einführung oder Erweiterung steht das Use-Case-Denken: definierte Erkennungsfälle statt Log-Sammelwut. Wer zuerst festlegt, welche Angriffe erkannt werden sollen, bindet nur die dafür nötigen Quellen an und hält so die Kosten unter Kontrolle.
Jetzt prüfen
- ✓Use-Case-Inventar: priorisierte konkrete Erkennungsfälle dokumentieren
- ✓Datenvolumen messen: was wird heute erzeugt und was davon braucht die Erkennung
- ✓Lizenzmodell verstehen: wo liegt die nächste Kostenschwelle beim Volumen
- ✓Betriebsmodell festhalten: wer reagiert auf Alarme, rund um die Uhr oder zur Geschäftszeit
- ✓EDR- und XDR-Integration klären: fließt Endpunkt-Telemetrie ins SIEM oder läuft sie separat
Abgrenzung zu verwandten Begriffen
SIEM, SOC, EDR und XDR werden im Markt oft in einen Topf geworfen. Die Übersicht trennt die Ebenen.
| Begriff | Ebene | Kernaufgabe |
|---|---|---|
| SIEM (Security Information and Event Management) | Werkzeug | Logs sammeln, korrelieren, alarmieren, nachweisen |
| SOC (Security Operations Center) | Organisation | Alarme bewerten, Vorfälle bearbeiten |
| EDR (Endpoint Detection and Response) | Werkzeug | Tiefe Telemetrie und Reaktion am Endpunkt |
| XDR (Extended Detection and Response) | Werkzeug | Korrelation über Endpunkt, Netzwerk, Cloud, Identität |
| Log-Management | Werkzeug | Sammeln und Speichern ohne Security-Korrelation |
Wie sich Endpoint-Erkennung und erweiterte Korrelation zueinander verhalten, vertieft der Lexikon-Eintrag Was sind EDR und XDR?. Die Architektur-Perspektive für den Mittelstand liefert ITDR neben SIEM und EDR.
Häufige Fragen
Jede Frage ist verschlossen. Ein Tippen entriegelt die Antwort.
Was ist der Unterschied zwischen SIEM und SOC?
Das SIEM ist das Software-Werkzeug, das Logs sammelt, korreliert und Alarme erzeugt. Das SOC ist das Team, das diese Alarme bewertet und bearbeitet. Ohne SOC bleiben SIEM-Alarme unbeantwortet. Umgekehrt ist ein SIEM für das SOC der verbreitetste zentrale Korrelationspunkt.
Ist ein SIEM für NIS2 oder DORA Pflicht?
Keine der beiden Regelungen schreibt ein SIEM explizit vor. Beide fordern jedoch die Fähigkeit, Vorfälle zu erkennen und nachzuweisen. In der Praxis ist ein SIEM das am häufigsten gewählte technische Mittel dafür.
Was kostet ein SIEM?
Die Preise sind herstellerspezifisch. Verbreitet ist die Abrechnung nach Datenvolumen oder Ereignisrate, daneben existieren geräte- und nutzerbasierte Modelle. Der wiederkehrende Kostenfaktor ist in den meisten Modellen das Volumen. Deshalb lohnt es sich, nur Quellen mit definiertem Erkennungszweck anzubinden.
Brauche ich ein SIEM, wenn ich schon EDR habe?
EDR liefert Tiefe am Endgerät, sieht aber typischerweise nicht das volle Bild aus Firewall-Logs, Cloud-Audit-Trails und Identitätsereignissen. Ein SIEM ist der verbreitetste Ort, um diese Breite zu korrelieren. Für umfassende Erkennung ergänzen sich beide, sie ersetzen einander nicht.
Was ist der häufigste Fehler bei der SIEM-Einführung?
Log-Sammelwut: alle verfügbaren Quellen ohne definierten Zweck anzubinden. Das treibt die Kosten und erzeugt Rauschen. Dicht dahinter folgt fehlendes Alarm-Tuning, das zur Alarm-Müdigkeit führt und echte Vorfälle untergehen lässt.
Lesetipps der Redaktion
LesetippITDR neben SIEM und EDR: Detection-Architektur 2026LesetippDie Splunk-Lücke, die ohne Login Dateien löschtLesetippDetection ohne Signaturen: vier Engines, vier Annahmen
Mehr aus dem MBF Media Netzwerk
cloudmagazinShadow AI verbieten ist der teuerste Reflex in der IT-SicherheitMyBusinessFutureStrompreisentlastung 2026: Was produzierende Betriebe prüfen müssenDigital ChiefsDer Chief AI Officer ist da. Das Problem bleibt
Bildquelle: KI-generiert (Juli 2026)





