SIEM

Was bedeutet SIEM?

Ein SIEM (Security Information and Event Management) bündelt sicherheitsrelevante Ereignisse aus Servern, Netzwerk-Geräten, Endpunkten, Anwendungen und Cloud-Diensten in einer zentralen Plattform. Drei Kernfunktionen: Sammeln (Log-Aggregation, Normalisierung), Korrelieren (Regeln und ML-basierte Erkennung von Auffälligkeiten) und Reagieren (Alerts an On-Call, Tickets, Playbook-Ausführung).

Open-Source-Optionen wie Wazuh, Graylog oder die ELK-Plattform haben in den letzten Jahren stark aufgeholt und bieten für KMU ausreichende Erkennungstiefe. Kommerzielle Lösungen (Splunk, Microsoft Sentinel, Elastic Security) bringen umfangreichere Detection-Content-Pakete und cloud-native Skalierung mit, häufig zum Preis hoher Subscription-Kosten ab 100.000 Events pro Tag.

Ein SIEM ohne aktive Auswertung ist ein teures Logfile. Modern Next betreibt Wazuh-Cluster mit definierten Detection Rules, Auto-Response für Standard-Vorfälle (z. B. SSH-Brute-Force-IP-Block) und einer 24/7-Bereitschaft für High-Severity-Alerts — typischerweise im Rahmen des Full IT Service.

Verwandte Begriffe

• Pentest — Penetrationstest — kontrollierter Angriffsversuch auf eine Infrastruktur durch beauftragte Sicherheitsexperten, mit dem Ziel, Schwachstellen vor dem realen Angreifer zu finden.
• Ransomware — Schadsoftware, die Daten oder ganze Systeme verschlüsselt und für die Entschlüsselung Lösegeld fordert — meist gepaart mit Datendiebstahl als Druckmittel.
• Zero Trust — Sicherheitsmodell, das davon ausgeht, dass kein Netzwerksegment per se vertrauenswürdig ist — jeder Zugriff wird authentifiziert, autorisiert und protokolliert, auch innerhalb der eigenen Organisation.