Security-Information- und Event-Management-Systeme (SIEM)

Frühzeitig über Sicherheitsverstöße informiert werden – aber wie?

16. Februar 2011, 11:29 Uhr | Christian Ehlen Consultant IT-Security bei Twinsec | Kommentar(e)
Christian Ehlen, Consultant IT-Security
Christian Ehlen, Consultant IT-Security
© Twinsec

Die steigenden Mengen an sicherheitsrelevanten Log- und Ereignisdaten können kaum mehr effektiv und zeitnah mit herkömmlichen Mitteln analysiert werden. Zumal die zur Aufklärung von Sicherheitsverstößen relevanten Informationen auf IT-Systemen verteilt und autark vorliegen. Diesen gordischen Knoten gilt es mittels „SIEM“ aufzulösen.

Das Anforderungsprofil: bei Sicherheitsvorfällen diese Informationen systemübergreifend über zeit- und ressourcenbezogene Prozesse in Relation zu bringen. Solche Prozesse müssen schnell ablaufen, weil dem Unternehmen bei Sicherheitsverstößen meist wenig Zeit bleibt einzugreifen. Ein praxisbewährtes Mittel, um in diesen Fällen angemessen zu reagieren, sind so genannte  „Security-Information- und Event-Management-Systeme“ (SIEM).

Mit SIEM wird ein Alarmierungs- und Warn-system eingerichtet, mit dem bei akuten Sicherheitsverstößen alle potenziell Betroffenen schnell und angemessen informiert werden. Rechtzeitige Gegenmaßnahmen werden möglich, Schäden größeren Ausmaßes oft vermieden.
Die für SIEM relevanten Log- und Ereignisdaten werden von aktiven Netzwerkkomponenten, Sicherheitskomponenten, Betriebssystemen, Anwendungen, Diensten und physikalischen Zutrittssystemen erzeugt. Alle diese Systeme und Komponenten generieren im Betrieb fortwährend große Mengen an Meldungen und Informationen. Das Ausgangsproblem in den Unternehmen: Diese zumeist verteilte Masse an Daten kann auf Grund ihrer ungeheuren Menge nicht mehr manuell analysiert und bearbeitet werden. Die Folge: Systemübergreifende Vorgänge werden nicht erkannt und können nur reaktiv mit hohem zeitlichen Verzug nachgestellt werden.


Was also tun, um diese Reservoirs gezielt und vor allem kostenvertretbar für mehr
IT-Sicherheit, Betrugssicherheit und Compliance-Konformität anzuzapfen und auszuwerten? SIEM eröffnet die geeigneten Werkzeuge, um eine zentrale und revisionssichere Ablage sowie eine Langzeitarchivierung und Auswertung von Log-Daten umzusetzen. Siem-Systeme realisieren dies, indem sie eine dedizierte Log-Managementkomponente zur Verfügung stellen. Sie zeichnet für die zentrale und Langzeitspeicherung von Log-Daten verantwortlich. Ein großer Vorteil dieses zentralen Ansatzes ist, dass Sicherheitsverantwortliche und Administratoren zentral Volltext-indizierte Log-Daten erhalten, zusätzlich für Auswertungen auf eine intuitiv bedienbare grafische Schnittstelle sowie eine Filtersprache zurückgreifen können. Mit SIEM stehen, beispielsweise für forensische Analysen oder zur Erfüllung von Nachweispflichten, neben den normalisierten Daten die Ursprungsdaten gesichert zur Verfügung.


  1. Frühzeitig über Sicherheitsverstöße informiert werden – aber wie?
  2. „SIEM löst den gordischen Sicherheitsknoten“

Verwandte Artikel

Professional Datacenter