Die 8 wichtigsten Anwendungsfälle für SIEM und Beispiele aus der Praxis

SIEM begegnet diesem Problem, indem es Daten aus der gesamten Umgebung – Endpunkten , Netzwerken, Cloud-Anwendungen und Authentifizierungssystemen – korreliert und so Verbindungen aufdeckt, die mit einem einzelnen Tool nicht erkennbar wären. Eine Anmeldung um 2 Uhr nachts ist an sich nicht verdächtig. Anders sieht es aus, wenn dieselbe Anmeldung mit einem plötzlichen Anstieg ausgehender Datentransfers und einem neuen USB-Gerät kombiniert wird.

Die nachfolgenden Anwendungsfälle zeigen, wie Unternehmen SIEM tatsächlich einsetzen, und enthalten Beispiele aus der Praxis, in denen sich die Bedrohungslandschaft oder die zugrunde liegende Technologie wesentlich verändert hat.

1. Erkennung und Verhinderung von Datenexfiltration

Datenexfiltration bezeichnet die unbefugte Übertragung von Daten aus den Systemen einer Organisation an einen externen Standort, die manuell oder durch Schadsoftware erfolgt. Laut dem Global Threat Report 2026 von CrowdStrike sind mittlerweile 82 % der Angriffe frei von Schadsoftware, d. h. sie hinterlassen keine Spuren, die von herkömmlichen Erkennungsregeln erfasst werden könnten. Daher ist die Verhaltenskorrelation, nicht der Signaturabgleich, die primäre Verteidigungslinie gegen Datenexfiltration. ¹

Wie SIEM-Systeme Datenexfiltration erkennen und verhindern:

Abbildung 1: Quelle: Medium ²

• Kompromittierte Zugangsdaten erkennen: Mithilfe von Korrelations-Engines können ungewöhnliche Benutzerverhaltensweisen, wie z. B. der Zugriff auf sensible Daten außerhalb der regulären Arbeitszeiten, identifiziert und Warnmeldungen für IT-Manager ausgelöst werden.
• Überwachung der command-and-control-Kommunikation: Korrelieren Sie den Netzwerkverkehr mit Bedrohungsdaten, um Malware zu identifizieren, die mit externen Servern kommuniziert.
• Anomalien analysieren: Sobald kompromittierte Zugangsdaten erkannt werden, sollten Aktivitäten wie USB-Nutzung, Zugriff auf persönliche E-Mails, Cloud-Speicherübertragungen oder ungewöhnlich hohe Datenmengen gekennzeichnet werden.
• Verschlüsselungsanomalien erkennen: Ungewöhnliche Datenverschlüsselung auf Benutzersystemen identifizieren, die auf einen Ransomware-Angriff hindeuten kann.
• Automatisierte Eindämmung: Kompromittierte Geräte werden isoliert und schädliche IPs blockiert, ohne dass ein manuelles Eingreifen erforderlich ist.

CrowdStrike und Commvault haben eine bidirektionale Integration zwischen Commvault Cloud und Falcon Next-Gen SIEM eingeführt. Sobald Falcon eine Bedrohung erkennt, überprüft Commvaults ThreatScan die Datenintegrität und stellt die Daten innerhalb desselben Workflows aus einem sauberen Backup wieder her. Dadurch wird die Lücke zwischen Erkennung und Wiederherstellung geschlossen, die bei den meisten SIEM-Implementierungen besteht. ³

Beispiel aus dem realen Leben ⁴

Die Bank hatte Schwierigkeiten, die täglich anfallenden Datenmengen zu bewältigen, die erstellt, geändert, verschoben oder gelöscht wurden. Sie benötigte eine zuverlässige Methode, um die Integrität der Dateien zu überwachen und Datendiebstahl über verschiedene Kanäle hinweg zu verhindern.

Die Bank of Wolcott setzte ManageEngine DataSecurity Plus ein, das kritische Dateiänderungen und -verschiebungen auf Dateiservern überwachte und auf Basis vordefinierter Kriterien Warnmeldungen versendete. Die Bank erkannte und reagierte auf Exfiltrationsversuche über USB-Sticks, E-Mail, Drucker und andere Kanäle.

2. Erkennung von Seitwärtsbewegungen

Unter lateraler Bewegung versteht man Techniken, mit denen Angreifer schrittweise tiefer in ein Netzwerk eindringen, um wertvolle Ressourcen zu finden. SIEM-Systeme erkennen laterale Bewegungen durch vordefinierte Korrelationen und die Integration von Bedrohungsdaten.

Wie SIEMs seitliche Bewegungen erkennen:

Abbildung 2: SIEM zur Erkennung von abnormalem Benutzerverhalten

Quelle: Splunk ⁵

• Korrelation des Nutzerverhaltens: Erkennung ungewöhnlicher Zugriffsmuster, z. B. wenn sich ein Benutzer mit Systemen verbindet, auf die er noch nie zuvor zugegriffen hat, und Benachrichtigung der IT-Administratoren.
• Verhaltenskategorisierung: Benutzer werden durch mehrfache Korrelationsdurchläufe als Angreifer, Opfer oder Verdächtige klassifiziert.
• Malware-Kommunikationserkennung: Integration des Netzwerkverkehrs mit Bedrohungsdaten, um Malware zu erkennen, die sich mit command-and-control-Servern verbindet.
• Ereignisanalyse aus mehreren Quellen: Sammeln Sie Daten von Endpunkten, Sicherheitssystemen und Intrusion-Detection-Tools, um ein vollständiges Bild der Bewegungen in der Umgebung zu erstellen.

Beispiel aus dem realen Leben ⁶

Abbildung 3: Beispiel eines Einbruchs aus dem Datensatz. Quelle: VMware ⁷

Herausforderungen: Organisationen hatten Schwierigkeiten, Angriffe zu erkennen, sobald diese bereits im Netzwerk waren, da die Transparenz über alle Endpunkte hinweg unzureichend war.

Lösung und Ergebnis: Die NSX SIEM-Lösung von VMware begegnete der lateralen Ausbreitung von Sicherheitslücken durch die Überwachung von Endpunkten auf ungewöhnliche Versuche der Rechteausweitung, verdächtige Datei- und Prozessaktivitäten auf verschiedenen Rechnern sowie Netzwerkverbindungen, die vom normalen Verhalten abwichen. Die Lösung ermöglichte die Echtzeitüberwachung und die automatische Isolierung kompromittierter Endpunkte.

3. Erkennung von Insiderbedrohungen

Bei Insiderbedrohungen handelt es sich um Sicherheitsrisiken, die von autorisierten Benutzern, Mitarbeitern, Auftragnehmern oder Geschäftspartnern ausgehen, die entweder ihren Zugriff absichtlich missbrauchen oder deren Konten von Angreifern kompromittiert werden.

Wie SIEM-Systeme Insiderbedrohungen erkennen:

Abbildung 4:

Quelle: SolarWinds ⁸

SIEM-Systeme erkennen Insiderbedrohungen, indem sie Daten aus verschiedenen Quellen im gesamten Netzwerk sammeln und korrelieren, beispielsweise Benutzeraktivitätsprotokolle, Systemprotokolle und Netzwerkprotokolle. Im Folgenden werden die Methoden von SIEM zur Erkennung von Insiderbedrohungen beschrieben:

• Echtzeitüberwachung und Korrelation: Überwachen Sie gleichzeitig das Anmeldeverhalten der Benutzer, Dateizugriffsmuster und den Netzwerkverkehr und korrelieren Sie die verschiedenen Quellen, um Muster sichtbar zu machen, die in einem einzelnen Protokoll nicht erkennbar sind.
• Korrelation externer Bedrohungsdaten: Einbeziehung von IP-Reputationsdaten und bekannten Bedrohungsakteurprofilen, um Fälle zu erkennen, in denen sich das Verhalten von Insidern mit der Infrastruktur externer Angriffe überschneidet.
• Erkennung kompromittierter Zugangsdaten: Korrelationsregeln anwenden, um Anzeichen für gestohlene Zugangsdaten zu identifizieren, darunter ungewöhnliche Authentifizierungssequenzen oder Zugriffe von unbekannten Standorten aus.
• Verhaltensanomalieerkennung: SIEMs mit UEBA nutzen maschinelles Lernen, um Abweichungen von der festgelegten Basislinie eines Benutzers zu erkennen, z. B. das Herunterladen des 10-fachen seines normalen Datenvolumens um Mitternacht.

Beispiel aus dem realen Leben ⁹

Herausforderungen: Mehr als 150 Unternehmen wurden Ziel der Insider-Bedrohungskampagne „Chollima“. In rund 50 % der untersuchten Fälle wurde ein Datendiebstahl bestätigt.

Die anvisierten Unternehmen kombinierten Telemetrie und menschliche Analyse mithilfe von CrowdStrike Falcon SIEM und Endpoint-Sicherheit. Falcon bot Echtzeit-Endpunkt- und Benutzerüberwachung, automatisierte Bewertung potenzieller Insider-Bedrohungen auf Basis bekannter Indikatoren sowie Abfragetools für Analysten bei der Bedrohungsanalyse.

4. Erkennung von Zero-Day-Angriffen

Eine Zero-Day-Schwachstelle ist eine Sicherheitslücke, die weder den Softwarebesitzern noch jemandem, der sie beheben könnte, bekannt ist. Da für Zero-Day-Schwachstellen keine Signatur existiert, müssen SIEM-Systeme auf verhaltens- und anomaliebasierte Erkennung anstatt auf Regelabgleich setzen.

Wie SIEM-Systeme Zero-Day-Angriffe erkennen:

Abbildung 5:

• Systemübergreifende Logkorrelation: Daten aus Firewalls, Endpunkten, Intrusion-Prevention-Systemen und DNS-Logs werden aggregiert, um Zugriffsversuche zu erkennen, die keinem bekannten Muster entsprechen, aber statistisch anomal sind.
• Anomaly-Erkennung mit ML: Eingebaute Modelle für maschinelles Lernen analysieren historische Daten und kennzeichnen subtile Abweichungen vom normalen Verhalten, die Art von Signal, die Zero-Day-Exploits typischerweise erzeugen, bevor sie identifiziert werden.
• Verhaltenserkennung: Überwachung ungewöhnlicher Interaktionen zwischen Systemkomponenten anstatt sich auf bekannte Malware-Signaturen zu verlassen.
• Sandboxing-Integration: Einige SIEM-Systeme stellen eine Verbindung zu Sandboxing-Umgebungen her, um verdächtige Dateien isoliert zu analysieren und Verhaltensweisen wie Registry-Änderungen oder Versuche zur Rechteausweitung zu überwachen.
• Dateiinteraktionsanalyse: Erkennung von Zero-Day-Exploits anhand der Interaktion von Dateien mit dem Betriebssystem und nicht anhand ihres Inhalts.

5. Aufrechterhaltung der IoT-Sicherheit

Organisationen sind für kritische Abläufe auf vernetzte Geräte angewiesen, beispielsweise auf vernetzte Medizintechnik, industrielle Sensoren, Fabriksteuerungen und die Infrastruktur von Stromnetzen. Viele dieser Geräte wurden nicht mit Blick auf hohe Sicherheit entwickelt, und nach der Inbetriebnahme lassen sich Sicherheitslücken nur schwer beheben.

Die passive Überwachung des kabelgebundenen Netzwerkverkehrs, der traditionelle SIEM-Ansatz, reicht für diese Umgebungen nicht mehr aus. Aktive Geräteerkennung, Verhaltensanalyse einzelner Geräte und KI-gestützte Risikobewertung für ungepatchte Firmware sind heute unerlässliche Funktionen für Unternehmen mit einem relevanten OT- oder IoT-Einsatz.

Wie SIEMs die IoT-Sicherheit gewährleisten:
Abbildung 6:

• DoS-Erkennung: Ungewöhnliche Datenverkehrsmuster von IoT-Geräten erkennen und Denial-of-Service-Versuche frühzeitig kennzeichnen.
• Identifizierung von Schwachstellen: Aufdeckung veralteter Betriebssysteme, ungepatchter Firmware und unsicherer Kommunikationsprotokolle auf angeschlossenen Geräten.
• Zugriffskontrollüberwachung: Verfolgen Sie die Verbindungsquellen von IoT-Geräten und lassen Sie sich alarmieren, wenn Verbindungen von unbekannten oder unerwarteten Standorten ausgehen.
• Erkennung von Gerätekompromittierungen: Identifizieren Sie Verhaltensanomalien bei einzelnen Geräten und alarmieren Sie die Sicherheitsteams, wenn ein Gerät anfängt, sich außerhalb seines normalen Verhaltens zu verhalten.

6. Zentralisierte Protokollverwaltung

Sicherheitsteams sind auf historische Protokolldaten und Echtzeitwarnungen aus der gesamten IT-Umgebung angewiesen – E-Mail-Server, Authentifizierungssysteme, Firewalls, Cloud-Dienste und Endgeräte. Ohne ein zentrales Protokollverwaltungssystem ist die manuelle Korrelation dieser Daten in nennenswertem Umfang praktisch unmöglich.

Wie SIEMs die zentrale Protokollverwaltung ermöglichen:

Abbildung 7:

Quelle: SolarWinds ¹⁰

• Datenerfassung aus mehreren Quellen: Protokolldaten werden von Sicherheitstools, Netzwerkgeräten, Endpoint-Protection-Systemen, Authentifizierungsservern und Cloud-Anwendungen erfasst.
• Zentrale Datenaggregation: Daten von Intrusion-Detection-Systemen und Netzwerküberwachungstools werden in einem einzigen Repository zusammengeführt, wodurch eine einheitliche Sichtweise entsteht, die einzelne Tools nicht bieten können.
• Log-Analyse und Korrelation: Anwendung von maschinellem Lernen und statistischen Modellen zur Erkennung komplexer Muster – wie etwa Sequenzen unautorisierter Zugriffe –, die in isolierten Logdateien unbemerkt bleiben würden.

Beispiel aus dem realen Leben ¹¹

Herausforderungen: Die Regulierungsbehörden erließen die Cybersicherheitsrichtlinie 2021 und forderten die Banken auf, ihre Sicherheitsvorkehrungen zu verstärken. Die Askari Bank verfügte über minimale Sicherheitskapazitäten, kein eigenes Sicherheitsteam und eine unzureichende Führungsstruktur.

Die Askari Bank implementierte Security QRadar SIEM (IBM), konsolidierte Protokolle aus verschiedenen Quellen in einem zentralen Repository und integrierte die Lösung in ihr neues Security Operations Center (SOC). Das SOC der Bank reduzierte die täglichen Sicherheitsvorfälle von rund 700 auf unter 20, und die durchschnittliche Behebungszeit sank von 30 auf 5 Minuten.

7. Forensik und Bedrohungsanalyse

Forensik und Bedrohungsanalyse sind zwei Seiten derselben Medaille: Die Forensik rekonstruiert den Hergang eines Vorfalls, während die Bedrohungsanalyse nach Bedrohungen sucht, die noch keine Warnmeldungen ausgelöst haben. SIEM-Tools unterstützen beides durch die Kombination von Echtzeitabfragen, Zugriff auf historische Protokolle und Korrelationsfunktionen.

Wie SIEM-Systeme bei der forensischen Analyse und der Bedrohungssuche helfen:

Abbildung 8: Quelle: MCSI-Bibliothek ¹²

• Echtzeitsuche: Abfrage von Live-Protokollen, Verkehrsdaten und Ereignisdaten zur Identifizierung von Risiken, bevor diese eskalieren.
• Stapelverarbeitung: Große Mengen historischer Daten werden verarbeitet, um langfristige Trends oder versteckte Muster zu finden, zum Beispiel eine Hintertür, die Monate vor ihrer Aktivierung installiert wurde.
• Proaktive Bedrohungserkennung: Anstatt auf Warnmeldungen zu warten, können Sicherheitsteams SIEM-Tools nutzen, um aktiv nach Anzeichen einer Kompromittierung in der gesamten Umgebung zu suchen.
• Untersuchung von Vorfällen: Erweiterte Protokollaggregation und -korrelation ermöglichen es Analysten, einen einheitlichen Überblick über den gesamten Umfang eines Angriffs zu erhalten, welche Systeme betroffen waren, wie sich der Angreifer bewegt hat und auf welche Daten zugegriffen wurde.
• Lernen nach dem Vorfall: Die Dokumentation und Analyse vergangener Vorfälle fließt in die Erkennungsregeln und Reaktionsverfahren ein und stärkt so die Abwehr gegen ähnliche Angriffe.

8. Kontrolle, Überwachung und Einhaltung der Vorschriften

SIEM-Lösungen unterstützen Unternehmen beim Nachweis der Einhaltung regulatorischer Vorgaben wie PCI-DSS, HIPAA, SOX, ISO 27001, CIS-Kontrollen, NIS2 und DORA. Die Übergangsfristen für NIS2 und DORA sind im Februar 2026 abgelaufen. Beide Vorschriften fordern dokumentierte Nachweise über die kontinuierliche Überwachung, die Erkennung von Sicherheitsvorfällen und die Reaktion darauf. SIEM-Audit-Trails liefern diese standardmäßig. ¹³

• Umfassende Protokollierung: Zusammenführung von Protokollen aus allen relevanten Quellen, Netzwerkgeräten, Servern, Endpunkten und Firewalls, um vollständige Aktivitätsaufzeichnungen zu gewährleisten.
• Aufbewahrungsmanagement: Protokolle werden für die von den geltenden Rahmenbedingungen vorgeschriebenen Zeiträume gespeichert, wobei die Richtlinien je nach Vorschrift angepasst werden können.
• Änderungsüberwachung: Warnung bei Rechteausweitungen, Systemdateiänderungen, Änderungen des Antivirus-Status und unsicheren Port- oder Dienstkonfigurationen.
• Audit-Trails: Es wird eine vollständige Historie von Sicherheitsereignissen, Zugriffsprotokollen und Systemaktivitäten geführt, die bei Audits oder Untersuchungen überprüft werden kann.
• Vordefinierte Compliance-Vorlagen: Die meisten SIEM-Plattformen werden mit integrierten Regeln und Vorlagen für gängige Frameworks ausgeliefert, wodurch der Konfigurationsaufwand für die Auditvorbereitung reduziert wird.
• Automatisierte Berichtserstellung: Protokolldaten werden erfasst und in Compliance-Berichte formatiert, die für Wirtschaftsprüfer, Aufsichtsbehörden und interne Prüfungen geeignet sind.

Beispiel aus dem realen Leben ¹⁴

RCO Engineering hatte nur begrenzten Einblick in IT-Sicherheitsereignisse. Das IT-Team überprüfte die Windows-Ereignisanzeige manuell, um die Ursache von Vorfällen zu ermitteln – ein langsamer Prozess, bei dem Zusammenhänge zwischen Ereignissen leicht übersehen werden konnten.

Lösungen und Ergebnisse: RCO Engineering implementierte ManageEngine Log360 für einheitliches Log-Management und Netzwerksicherheit. Das Log360-Dashboard, die vordefinierten Berichte und die anpassbaren Warnmeldungen verschafften dem Team die zuvor fehlende Transparenz und stärkten so sowohl die Netzwerkkontrolle als auch die Compliance-Anforderungen.

FAQs

Referenzlinks

1.

2026 CrowdStrike Global Threat Report: AI Accelerated Adversaries

CrowdStrike

2.

Using Machine Learning for DNS Exfiltration / Tunnel Detection | by Syed Suleman Qutb | Medium

Medium

3.

4.

How DataSecurity Plus helped Tyler ISD up their file monitoring game

5.

Detecting Lateral Movement with Splunk: How To Spot the Signs | Splunk

6.

Lateral Movement in the Real World: A Quantitative Analysis - VMware Security Blog - VMware

7.

Lateral Movement in the Real World: A Quantitative Analysis - VMware Security Blog - VMware

8.

Insider Threat Management Software | SolarWinds

9.

Technical Case Study: Defend Against Insider Threats | CrowdStrike

CrowdStrike

10.

Enterprise Server Log Management & Monitoring System | SolarWinds

11.

Case Studies - IBM QRadar SIEM

12.

13.

HIPAA Audit Summary (Explore) – Tenable.io Dashboard.

14.

SIEM (InsightIDR) Overview | SIEM Documentation

Cem Dilmegani

Leitender Analyst

Folgen auf

Cem ist seit 2017 leitender Analyst bei AIMultiple. AIMultiple informiert monatlich Hunderttausende von Unternehmen (laut similarWeb), darunter 55 % der Fortune 500. Cems Arbeit wurde von führenden globalen Publikationen wie Business Insider, Forbes und der Washington Post, von globalen Unternehmen wie Deloitte und HPE sowie von NGOs wie dem Weltwirtschaftsforum und supranationalen Organisationen wie der Europäischen Kommission zitiert. Weitere namhafte Unternehmen und Ressourcen, die AIMultiple referenziert haben, finden Sie hier. Im Laufe seiner Karriere war Cem als Technologieberater, Technologieeinkäufer und Technologieunternehmer tätig. Über ein Jahrzehnt lang beriet er Unternehmen bei McKinsey & Company und Altman Solon in ihren Technologieentscheidungen. Er veröffentlichte außerdem einen McKinsey-Bericht zur Digitalisierung. Bei einem Telekommunikationsunternehmen leitete er die Technologiestrategie und -beschaffung und berichtete direkt an den CEO. Darüber hinaus verantwortete er das kommerzielle Wachstum des Deep-Tech-Unternehmens Hypatos, das innerhalb von zwei Jahren von null auf einen siebenstelligen jährlichen wiederkehrenden Umsatz und eine neunstellige Unternehmensbewertung kam. Cems Arbeit bei Hypatos wurde von führenden Technologiepublikationen wie TechCrunch und Business Insider gewürdigt. Er ist ein gefragter Redner auf internationalen Technologiekonferenzen. Cem absolvierte sein Studium der Informatik an der Bogazici-Universität und besitzt einen MBA der Columbia Business School.

Vollständiges Profil anzeigen

Seien Sie der Erste, der kommentiert

Ihre E-Mail-Adresse wird nicht veröffentlicht. Alle Felder sind erforderlich.

Name

E-Mail-Adresse

Kommentar

0/450

Kommentar posten