Wissensraum · Deep Dive 2 von 27
Was sie leisten müssen – und warum viele Unternehmen sie falsch einsetzen
Was dieser Deep Dive Ihnen zeigt
Was SIEM-Systeme unter DORA leisten müssen – und warum viele Unternehmen sie falsch einsetzen.
Ein Security Information and Event Management System (SIEM) ist ein zentrales Element moderner Sicherheitsarchitekturen. Es soll sicherheitsrelevante Ereignisse sichtbar machen, Zusammenhänge erkennen und eine belastbare Reaktion auf Vorfälle ermöglichen.
In der Praxis sind viele SIEM-Systeme jedoch unvollständig konfiguriert, funktional unterdimensioniert oder organisatorisch falsch eingebettet. DORA und nationale Standards wie die Empfehlungen des BSI formulieren klare Erwartungen – diese werden jedoch häufig missverstanden oder unterschätzt.
Ein SIEM sammelt, korreliert und analysiert sicherheitsrelevante Ereignisse aus unterschiedlichen Systemen und Quellen.
Typische Funktionen: Zentrale Sammlung von Logdaten, Korrelation sicherheitsrelevanter Ereignisse, Alarmierung bei Auffälligkeiten, konsolidierte Sicht auf sicherheitsrelevante Aktivitäten sowie Grundlage für Incident Detection und Incident Response.
| Ausprägung | Merkmale | Eignung unter DORA |
|---|---|---|
| Basic SIEM | Log-Sammlung mit einfachen, meist statischen Alerts | In der Regel nicht ausreichend |
| Advanced SIEM | Definierte Detection Use Cases, Korrelation, teilweise Anomalieerkennung | Ausreichend, wenn vollständig konfiguriert |
| SIEM + SOAR | Integration automatisierter Reaktionen und Workflows | Empfohlen für komplexe Umgebungen |
| Cloud-natives SIEM | z. B. Microsoft Sentinel, cloudbasiertes Splunk | Abhängig von Konfiguration und Use Cases |
| Hybride SIEM-Architektur | Kombination On-Premise und Cloud-Quellen | Weit verbreitet, erfordert sorgfältige Integration |
Ein SIEM ist kein Selbstläufer. Seine Wirksamkeit hängt entscheidend von den definierten Detection Use Cases ab.
DORA schreibt kein bestimmtes SIEM-Produkt vor. Die Verordnung verlangt jedoch funktional, dass Finanzunternehmen über angemessene Mechanismen zur Erkennung, Überwachung und Behandlung von ICT-Vorfällen verfügen.
Aus DORA ergeben sich insbesondere folgende funktionale Erwartungen:
Zentrale Erfassung relevanter Protokolle
Erkennung sicherheitsrelevanter Anomalien
Abbildung der Detection Use Cases entlang der individuellen Risikolandschaft
Integration in Incident-Response- und Eskalationsprozesse
Einbezug von Cloud- und Third-Party-Risiken
Regelmäßige Überprüfung, Anpassung und Testung der Detection-Logik
Nicht ausreichend im Sinne von DORA Ein SIEM ohne definierte Detection Use Cases, ein SIEM ohne risikoadäquate Überwachung, fehlende Integration zentraler Quellen (Identity, Endpoints, Netzwerk), Alarme ohne strukturierte Bewertung und Weiterverarbeitung.
Die BSI-Empfehlungen sind in Bezug auf SIEM deutlich konkreter als DORA. Sie gelten unmittelbar für KRITIS-Organisationen, werden aber häufig auch darüber hinaus als Best Practice herangezogen.
Zu den BSI-nahen Kernanforderungen zählen: Vollständige Log-Abdeckung kritischer Systeme, klar definierte Detection Use Cases, dokumentierte Alarmierungs- und Eskalationsprozesse, eindeutige Zuständigkeiten, regelmäßige Validierung der Detection-Logik sowie Integration von Identity-Systemen für privilegierte Zugänge.
Ausgangssituation
Ein SaaS-Unternehmen mit Finanzkunden betrieb ein SIEM, das Logs sammelte, jedoch nur wenige aktive Detection Use Cases hatte, nicht mit Identity- und Access-Management-Systemen integriert war und außerhalb der Bürozeiten nicht überwacht wurde.
Was passierte
Ein Angreifer nutzte kompromittierte Zugangsdaten eines externen Partners. Das SIEM hätte Login von ungewöhnlichen Standorten, Zugriffe auf atypische Systeme und erhöhte fehlgeschlagene Login-Versuche erkennen können. Diese Signale wurden nicht erkannt – wegen fehlender Use Cases.
Ergebnis
Wochenlanger unentdeckter Datenabfluss mit erheblichen Folgen für Vertrauen und Reputation.
Was ein wirksames SIEM geleistet hätte
Detection Use Cases für ungewöhnliche Logins
Privilegierte und externe Zugänge überwacht
Alarme in ein strukturiertes Incident-Response-System überführt
Eskalationen auch außerhalb der Arbeitszeiten ausgelöst
Zentrale Erkenntnisse
SIEM ist unter DORA kein optionales Infrastrukturelement mehr, sondern ein Kernkontrollelement
SIEM-Anforderungen gehen über Technik hinaus – sie sind ein Test der operativen Reife
Mangelnde Kalibrierung führt zu Lähmung oder Blindheit – DORA erzwingt ein drittes Modell
DORA verlangt belastbare Fähigkeiten zur Vorfallerkennung und -behandlung
Moderne Angriffe verlaufen häufig unauffällig und über längere Zeiträume
Ohne integrierte Detection- und Monitoring-Mechanismen ist keine wirksame Incident Response möglich
Aufsicht, Kunden und Partner erwarten nachvollziehbare Nachweise
Nicht das SIEM selbst war das Problem, sondern seine fehlende Integration in Governance, Prozesse und Verantwortlichkeiten.
Praxis-Impuls
Stellen Sie Ihrem SIEM-Team die Frage: Welche Detection Use Cases haben wir definiert – und wann wurden sie zuletzt validiert? Ein SIEM ohne Use Cases ist ein teures Log-Archiv. Der Wert entsteht durch Konfiguration, nicht durch das Produkt.