Die meisten Angriffe beginnen 2026 nicht mit Malware. Sie beginnen mit einem gültigen Login: einem gephishten Zugangsdatensatz, einem gestohlenen Session-Token, einer OAuth-Freigabe, die niemand geprüft hat. Breach-Reports der DBIR-Klasse führen den Missbrauch von Zugangsdaten seit Jahren an oder nahe der Spitze der Initial-Access-Vektoren, und einmal im System bewegen sich Angreifer routinemäßig innerhalb von Stunden vom ersten Brückenkopf zum Data Staging. Diese Bewegung früh zu erkennen ist ein Datenproblem. Die Signale existieren — in der Endpoint-Telemetrie, in den Sign-in-Logs des Identity Providers, in Cloud-Audit-Trails, in Applikationslogs — aber sie sind über Systeme verstreut, die nie miteinander sprechen. Eine Security-Information-and-Event-Management-Plattform (SIEM) ist die Schicht, die sie zusammenführt, und Korrelation ist das, was Detection überhaupt erst möglich macht.

Was ein SIEM tatsächlich leistet

Lässt man die Herstellersprache beiseite, erfüllt jedes SIEM dieselben fünf Funktionen:

  • Collection: das Einsammeln von Logs und Telemetrie von Endpoints (via EDR), Netzwerkgeräten, Identity Providern, SaaS-Plattformen und Cloud-Control-Planes wie AWS CloudTrail oder Microsoft Entra ID.
  • Normalisierung: das Parsen heterogener Formate in ein gemeinsames Schema, damit sich ein Login-Event aus Okta mit einem aus Active Directory vergleichen lässt; das Open Cybersecurity Schema Framework (OCSF) etabliert sich hier zunehmend als gemeinsames Vokabular.
  • Korrelation und Detection: das Abgleichen von Events gegen Regeln, Verhaltens-Baselines und Threat Intelligence, um Sequenzen sichtbar zu machen, die keine einzelne Logzeile offenbart.
  • Alerting und Response: das Routen von Findings an Analysten und das Auslösen automatisierter Playbooks.
  • Retention: das Vorhalten durchsuchbarer Historie für Forensik und für Compliance-Regime wie PCI DSS, SOC 2 und ISO 27001 — oft der rechtlich tragende Teil des Deployments.

Die großen Plattformen — Microsoft Sentinel, Splunk Enterprise Security, Elastic Security, Google SecOps, IBM QRadar — unterscheiden sich weit stärker in Abfragesprache, Preismodell und Cloud-Nativität als in dieser Pipeline. Ingest-basierte Preismodelle verdienen besondere Aufmerksamkeit: Gesprächige Quellen wie DNS- oder VPC-Flow-Logs können die Rechnung dominieren und dabei kaum Detection-Wert beitragen. Leiten Sie diese in günstigen Objektspeicher um und reservieren Sie das SIEM für Daten, auf die Sie tatsächlich alarmieren.

Detection Engineering schlägt Default-Regeln

Das Aktivieren des Out-of-the-box-Regelpakets eines Herstellers erzeugt genau das, was Sie erwarten würden: Hunderte Alerts, die meisten davon Rauschen, keiner auf Ihre Umgebung abgestimmt. Reife Teams betreiben stattdessen Detection Engineering. Detections werden in einem portablen Format wie Sigma geschrieben, versioniert, im Peer-Review geprüft und mit Werkzeugen wie Atomic Red Team gegen simuliertes Angreiferverhalten getestet, bevor sie je jemanden alarmieren.

Das Mapping jeder Detection auf MITRE-ATT&CK-Techniken verwandelt Abdeckung von einem Gefühl in eine Matrix: Teams stellen häufig fest, dass sie bei Initial Execution dicht aufgestellt, bei Lateral Movement und Persistenz aber nahezu blind sind. Diese Gap-Analyse — nicht die Regelanzahl — ist das ehrliche Maß eines Detection-Programms.

ML und KI-Assistenten sind Grundausstattung, nicht Zukunft

Machine Learning im SIEM ist seit Jahren kein Roadmap-Punkt mehr. User and Entity Behavior Analytics (UEBA) baselined normale Aktivität und markiert Abweichungen — Impossible Travel, ein Service-Account, der plötzlich Postfächer liest, Datenvolumina, die nicht zur Historie eines Nutzers passen. KI-Assistenten wie Microsoft Security Copilot und Splunk AI Assistant entwerfen inzwischen Abfragen aus natürlicher Sprache, fassen Incidents zusammen und triagieren Alerts vor. Die ehrliche Einschätzung aus der Praxis: Diese Werkzeuge verkürzen die Triage-Zeit spürbar, und sie ersetzen weder engineerte Detections noch das Urteilsvermögen von Analysten. Behandeln Sie ihre Ausgaben als zu verifizierende Hinweise, nicht als Urteile.

Alert Fatigue ist ein Designfehler

Ein Analyst, der zweihundert Alerts pro Tag schließt, hört auf, irgendeinen davon zu untersuchen. Die Abhilfen sind struktureller Natur: aggressives Tuning und Suppression sowie Risk-based Alerting, das schwache Signale in einem Entity-Risk-Score akkumuliert, sodass ein Alarm ausgelöst wird statt zwölf. Hier verdient SOAR sein Geld — indem es jeden Alert automatisch mit IP-Reputation, dem Normalverhalten des Nutzers und der Kritikalität des Assets anreichert und reversible Containment-Schritte automatisiert, etwa das Deaktivieren eines Accounts oder das Isolieren eines Hosts über das EDR, während die menschliche Freigabe destruktiven Schritten vorbehalten bleibt. Messen Sie das Programm an Mean Time to Detect und Mean Time to Respond; fallen diese Zahlen nicht, ist die Automatisierung Dekoration.

Der Stack rund um das SIEM

Ein SIEM korreliert; es sieht nicht. Die Detection-Qualität ist durch die Inputs begrenzt, und die moderne Baseline ist eindeutig. Endpoints brauchen EDR oder XDR — kontinuierlichen, verhaltensbasierten Schutz; signaturbasierter Virenschutz und geplante Malware-Scans sind seit Jahren keine akzeptable Kontrolle mehr. Identität braucht überall durchgesetzte MFA und Sign-in-Telemetrie, die ins SIEM fließt, einschließlich Alerts auf MFA-Fatigue-Push-Bombing. Cloud-Control-Plane-Logs sind nicht verhandelbar. Und die Quellen auf Applikationsebene sind die am stärksten unterschätzten von allen: API-Gateway- und Authentifizierungslogs machen Credential Stuffing und Token-Missbrauch sichtbar, lange bevor Daten das Haus verlassen — ein Thema, das wir in unserem Leitfaden zur Absicherung von APIs behandeln. Und schließlich: Geschulte Mitarbeiter, die einen Phish innerhalb von Minuten melden, bleiben ein besserer Sensor als jede Appliance — halten Sie das Security-Awareness-Programm am Laufen.

Build, Buy oder Managed SOC

Rund-um-die-Uhr-Monitoring erfordert mindestens etwa fünf Analysten, sobald Schichten, Urlaub und Fluktuation einkalkuliert sind — weshalb die Personalfrage über mehr SIEM-Projekte entscheidet als die Technologie. Drei Modelle sind realistisch: selbst betreiben (maximale Kontrolle, maximale Lohnkosten), co-managen (Sie besitzen den Detection-Content, ein Provider besetzt die Konsole) oder die gesamte Funktion an einen MDR- oder Managed-SOC-Anbieter übergeben. Für welches Modell Sie sich auch entscheiden, behalten Sie zwei Dinge in eigener Hand: Ihre Detection-Anforderungen — die kurze schriftliche Liste der Ereignisse, die in Ihrer Umgebung niemals unbemerkt bleiben dürfen — und Ihre Daten, exportierbar in offenen Formaten. Verlieren Sie eines von beiden, können Sie den Anbieter nicht wechseln, ohne von vorn zu beginnen.

Wenn Sie ein erstes SIEM-Deployment scopen, ein teures rationalisieren oder ein Managed SOC gegen ein internes Team abwägen, hilft Ihnen unsere Security-Operations-Practice, den Detection-Stack zu entwerfen, bevor eine Lizenz unterschrieben wird — und unsere Engineering Services übernehmen die anschließende Integrationsarbeit.

Möchten Sie das gegen Ihre Accounts prüfen lassen? Unser AWS Security Assessment umfasst 98 Prüfpunkte, gemappt auf ISO 27001, SOC 2, NIS2 und DORA — Festpreis, Nachweise inklusive.