Ein SIEM-System ist ein wichtiges, wertvolles, aber auch komplexes Security-Ökosystem, das tiefgehendes Wissen über diverse Datenquellen erfordert. Genau deshalb passieren oft auch immer wieder die selben Fehler, die ein SIEM-Projekt scheitern lassen. In diesem Beitrag zeigen wir, wie Sie häufige Fehlerquellen vermeiden und ein erfolgreiches SIEM-Projekt realisieren.
Erfolgreiche SIEM-Projekte setzen auf umfassende Tests, spezialisierte Teams und detaillierte Planung, um die umfangreichen Datenmengen effektiv zu analysieren und zu überwachen.
(Bild: knssr - stock.adobe.com)
Ein Security Information and Event Management (SIEM) ist immer eine besonders komplexes Ökosystem. Umso mehr müssen die verschiedenen Quellen, deren Inhalt, Syntax und Eigenheiten dem jeweiligen Expertenpersonal intensiv bekannt sein.
Keine SIEM-Lösung ist perfekt. Die zahlreichen zu überwachenden Applikationen und Systeme sind häufig auch eigene Entwicklungen und gerade die erzwingen oft, dass SIEM-Teams in der Lage sind solche Datenströme mit eigenen Decodern zu parsen und mit entsprechenden Regeln zu analysieren, ohne sich auf einen Lösungsanbieter verlassen zu können.
Dieser Umstand und auch ein Fehlen eines umfangreiches Asset-Managements, lassen SIEM-Projekte häufig scheitern. Die meiner Meinung nach Top-10 Fehler bei einem SIEM-Projekt, geben einen Überblick über typische Fallstricke.
1. Fehlendes bzw. unvollständiges Asset-Management bzw. Inventar
Unbekannte Assets lassen sich nicht überwachen. Lückenhafte Informationen sorgen daher schnell dafür, dass wichtige Komponenten übersehen werden. So ist zum Beispiel die Überwachung eines Betriebssystems nicht ausreichend, wenn darauf eine produktive Datenbank betrieben wird und der SIEM-Analyst diese Daten nicht bekommt.
2. Ungenügendes Wissen über Datenquellen
Unabhängig davon, für welches Produkt man sich entschieden hat, wird kein SIEM-System mangelhaftes Wissen über die Datenquellen und wie man diese verarbeitet, kompensieren können. SIEM-Analysten bzw. die Fachteams, müssen bis ins kleinste Detail die Struktur der Quellen kennen, gegeben falls individuell anpassen und ihre Dokumentation stets aktuell halten.
3. Quellenanbindung geschieht unter falschen Vorstellungen
Ein weit verbreiteter Irrglauben von IT-Abteilungen ist es, dass man lediglich einen Agenten installiert und schon wäre die Arbeit getan. In der Realität sind komplexe Lösungen zwingend, um die Menge an Daten auf unterschiedlichste Weise, zuverlässig in ein SIEM zu importieren. Dabei ist es nicht unüblich eine breite Palette an Tools zu benutzen.
Ein SIEM-Team braucht deshalb einen erweiterten Sachverstand zu Themen wie Syslog, JSON, Sysmon-4-Windows, Sysmond-4-Linux, auditD und individuelle Entwicklungen. Um hier nicht in ein Chaos und einhergehend finanzielle Katastrophe abzudriften, sollte man sich einen Plan erstellen, der dann Schritt für Schritt konzentriert, abgearbeitet wird. Eine stete rigorose Optimierung und eigene Anpassungen sind essenziell.
4. Infrastruktur der SIEM-Lösung wurde falsch designt
Umso umfangreicher eine zu analysierte IT-Landschaft ist, desto leistungsstärker muss die SIEM-Architektur erstellt werden. Der Einsatz einer simplen VM oder gar eines Containers, widerspricht dem grundsätzlichen Design eines SIEM-Systems. Stattdessen sind leistungsstarke, bei größeren Setups auch geclusterte Systeme notwendig.
5. Die SIEM-Lösung arbeitet in der Cloud, der Datendurchsatz wurde ignoriert
In typisch mittelständigen Unternehmen und auch Konzernen, werden hunderte bis viele Tausende Assets betrieben. Eine Übertragung in die Cloud, kann mangels einer nicht ausreichend dimensionierten Internetleitung schnell die Effektivität eines SIEM behindern, und auch andere Systeme negativ beeinflussen. Als finanziell ruinös, können sich auch zu hohen Datenmengen darstellen.
6. Missinterpretation über den Einsatz eines SIEM
SIEM-Systeme analysieren Logdateien und Datenströme auf Sicherheitsbezogene Ereignisse, sie ersetzen jedoch kein Logmanagement! Zur Fehlersuche und Fehlerdiagnose, muss der IT-Fachmann weiterhin eigenständig mit den Quellen interagieren.
7. Fehlender Support des Herstellers
Egal wie modern eine SIEM-Software ist, sie ist niemals fehlerfrei, dafür immer anspruchsvoll und vielschichtig. Die Komplexität eines SIEM, fordert auch die kompetentesten SIEM-Teams heraus. Folglich sollte immer der direkte Kontakt zu einem Hersteller über einen zuverlässigen und offiziellen Partner gewährleistet sein.
8. Nicht vorhandene Testumgebung
Wer die Anbindung von neuen Assets, Decodern, Regeln, Alarmierungen und sonstigen Erweiterung nicht vorab an einen, dem Produktiv-System nachempfundenen, Test-System ausgiebig testet, wird früher oder später auf eklatante Fehler stoßen und handelt somit fahrlässig. Die nötige Sicherheitsüberwachung kann ausfallen und auch die Evidenzkraft bei juristischen Auseinandersetzungen kann angezweifelt werden.
In der Praxis hat sich folgendes Schichtmodell etabliert:
Produktiv:
Keine Änderung ohne Ticket bzw. Nachweise.
Keine Änderung ohne intensiven Test.
Änderungen nur von wenigen, hochspezialisierten Kräften.
Implementierungen haben die Anfangs-Testphase bereits durchlaufen.
Änderungen nur von wenigen, hochspezialisierten Kräften.
Hier werden Lastentests und Compliance-Anpassungen vervollständigt (z.B.: Regeln die einer MITRE-Nummer oder ISO 27001 Maßnahme zugeordnet werden)
Beobachtungen von sonstigen Anomalien über einen exakt definierten Zeitraum.
Ganzheitlich überwacht.
Einfache Backups.
Test:
Aktive Testumgebung für die SIEM-Experten.
Umgebung kann kleiner ausfallen.
Decoder, Regeln und Scripting werden hier isoliert entwickelt.
Testung der Wirkungsweise der erstellten Implementierungen.
Funktionale Überwachung.
Einfache Backups, ohne hohe Kritikalität.
Alle Test-Fälle sollten genau dokumentiert werden, reproduzierbar und allen Fachpersonal bekannt sein.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
9. Zu wenig Zeit für das Projekt
Kunden und/oder Teams, die keine ausreichende Zeit zur Verfügung haben, das Asset-Management zu vervollständigen, sich mit den verschiedenen Technologien auseinander zu setzen und/oder keine Lust haben, die Thematiken zu erlernen, sind immer als K.-O.-Kriterium anzusehen. Nur mit Planung, Geduld und Fachwissen aus der Praxis, ist ein SIEM zu realisieren.
Merke: Ein SIEM ist ein Öko-System, kein „klick-klick-fertig“ Tool!
10. Unnötig große Dienstleister-Teams
In der Regel, benötigt man die Hilfe von zertifizierten Dienstleistern, welche offizielle Partner einer SIEM-Lösung sind. Allerdings sollte man die Auswahl nicht an deren Größe festmachen, sondern vielmehr an der Praxiserfahrung bei der Überwachung von verschiedenen Assets und der Verwendung eines SIEM.
Es nützt nichts, wenn ein Dienstleister sein SIEM-Produkt gut kennt, aber keine nennenswerte Praxiserfahrung über die gängigen zu überwachenden Assets verfügt.
Weiter hilft es nicht, wenn ein Dienstleister eine schnelle Finalisierung eines SIEM-Projektes bewirbt, die Effizienz des SIEM-System jedoch nicht ausreichend ist und viel wichtiger, das Team des Kunden nicht ausreichend geschult wurde.
Ein kleines externes Team, welches mit Geduld und echten Fachwissen (Technik und Compliance aus einer Hand) das IT-Team seines Kunden Schritt für Schritt unterrichtet und gemeinsam das SIEM-Projekt zu Ende bringt, ist die bessere Variante.
Zu schnell „fertig gestellte“ SIEM-Projekte, tendieren eine falsche Sicherheit vorzugaukeln.
Über den Autor: Stephan H. Wenderlich ist Inhaber von „Gray-Hat IT-Security Consulting Stephan H. Wenderlich“. Als passionierter Informatiker liegt seine Expertise bei Informationssicherheit nach ISO/IEC 27001:2022 und den CIS Criticial Security Controls, sowie allgemeiner, ganzheitlicher IT-Sicherheit.
:quality(80)/p7i.vogel.de/wcms/53/9a/539a7369f3f6420e59149463d2a30c44/0128372174v3.jpeg "Wie sollte man im IT-Channel die Segel setzen, um auch 2026 erfolgreich zu sein? (Bild: © AlfaSmart - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f7/01/f701d737e67de7edf60a815556f87792/0128380190v2.jpeg "Europa spielt bei der Produktion von IT-Hardware überwiegend nur als Standort für die Endmontage von importierten Komponenten eine Rolle. (Bild: © Khusi - stock.adobe.com / KI-generiert)")
![KI in Deutschland: was muss passieren, dass Deutschland bei KI nicht den Anschluss verliert? (Bild: midjourney / KI-generiert - [M] J Rath)](https://cdn1.vogel.de/OR9Fozt0vJYiF8WyvqFIobegcW8=/288x162/smart/filters:format(jpg):quality(80)/p7i.vogel.de/wcms/59/e9/59e942e7bcde7a66e41bfbb69823c213/0127869976v3.jpeg "KI in Deutschland: was muss passieren, dass Deutschland bei KI nicht den Anschluss verliert? (Bild: midjourney / KI-generiert - [M] J Rath)")
:quality(80)/p7i.vogel.de/wcms/82/7d/827d53211ad894c4bbae3c9d377c80fe/0127628471v2.jpeg "Im Kundenservice können KI-Agenten zum Gamechanger werden und zu mehr Zufriedenheit bei Kunden und Mitarbeitern führen. (Bild: © Nasira Mai - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/b4/db/b4db7a77cd7ea6916c717964cf3d15be/0128896694v1.jpeg "Dr. Nils Kaufmann wird Vertriebsleiter bei indevis x Data-Sec. (Bild: indevis x Data-Sec)")
:quality(80)/p7i.vogel.de/wcms/cc/0e/cc0ee3afaddf3bb684a02ecb5ad68702/0128887963v2.jpeg "Kevin Kennedy, Vice President des Global Partner Ecosystem bei Red Hat (Bild: Red Hat)")
:quality(80)/p7i.vogel.de/wcms/01/94/0194b228bbaada88271174c98bc8fa3d/0128877523v2.jpeg "Gos Hein van de Wouw, SVP EMEA Sales bei Extreme Networks (Bild: Extreme Networks)")
:quality(80)/p7i.vogel.de/wcms/43/c8/43c83a1afdfe56b99d294a05b4c747e4/0128876251v2.jpeg "Stefan Fritz, Senior Director Channel Sales EMEA Central bei Sophos (Bild: Sophos)")
:quality(80)/p7i.vogel.de/wcms/4d/0d/4d0d39e269de9de8f4e42006ec3bec1e/0128602505v2.jpeg "Die Führungsetage ist verantwortlich für das Risikomanagement. Sie muss die potenziellen Bedrohungen verstehen und geeignete Maßnahmen ergreifen, um Risiken zu minimieren und die Resilienz des Unternehmens zu stärken. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/80/d2/80d2f021fd7b857615cdc90ea6ec40ff/0128893725v1.jpeg "In dieser Folge von IT ImPuls sprechen Natalie Forell und Mihriban Dincel über das brisante Thema NIS2. (Bild: Carin Böhm )")
:quality(80)/p7i.vogel.de/wcms/b0/87/b08746321b6cfef57c5bff16ab6994e2/0128603799v2.jpeg "Künstliche Intelligenz verändert Arbeitsprozesse und Kompetenzanforderungen in immer mehr Berufsgruppen. (Bild: ChatGPT / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/be/03/be03b4159ffcde7c26d822dc13537ee6/0128018541v1.jpeg "Enthalten KI-Modelle Sicherheitslücken, können sie durch Prompt-Injection-Angriffe dazu gebracht werden, versteckte Befehle auszuführen, Sicherheitsmechanismen zu umgehen und dabei unbemerkt persönliche Daten, gespeicherte Chats und andere sensible Informationen preiszugeben. (©Thaut Images - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4a/ed/4aedcc54c3302939b1296a75a80dcf02/0128867288v1.jpeg "Eine ganze Reihe neuer Gaming-Notebooks aus den Serien Raider, Stealth und Crosshair stellte MSI auf der CES in Las Vegas vor, teilweise mit Intels Panther-Lake-Prozessor. (Bild: MSI)")
:quality(80)/p7i.vogel.de/wcms/37/7f/377f9576a9914d8619e67ece12968cc2/0128602629v2.jpeg "Die Bedrohungslage verschärft sich weiter. MSP und Systemhäuser müssen 2026 laut Riedel verstärkt auf automatisierte und ganzheitliche Sicherheitslösungen setzen. (Bild: Canva)")
:quality(80)/p7i.vogel.de/wcms/2d/b0/2db024a7c100b93fe4e2183a526c4b1d/0128646643v2.jpeg "2026: KI denkt mit, handelt selbstständig – und verändert, wie wir arbeiten. (Bild: Reply)")
:quality(80)/p7i.vogel.de/wcms/9f/dd/9fdd85894bed1e083d823c08adbf0840/0128747016v2.jpeg "Das Unternehmen XGIMI präsentiert mit MemoMind seine erste KI-Brille. (Bild: © XGIMI )")
:quality(80)/p7i.vogel.de/wcms/db/b7/dbb7f1a221f31e00281e92dac2fb4e5c/0128874056v2.jpeg "Crowdstrike und Nord Security ermöglichen KMU umfassende Cybersicherheit über die Falcon-Plattform. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/98/50/9850475c7e7526e33d2cafc5ad0c5d1b/0128095819v1.jpeg "Lösungen für modernes Datenmanagement (Bild: AvePoint, vom AvePoint-Grafikteam gestaltet )")
:quality(80)/p7i.vogel.de/wcms/76/cb/76cbe49cfea473087f6945c0ce27b878/0128603154v2.jpeg "(Bild: Samsung)")
:quality(80)/p7i.vogel.de/wcms/1c/93/1c9397c3fcd862e27d544c1da0a2e6ec/0128411324v1.jpeg "Klare Kommunikation - auf das richtige Headset kommt es an! (Bild: Herweck)")
:quality(80)/p7i.vogel.de/wcms/1e/ab/1eab169e9eb77aed17ecb731bc0aaa81/0128441842v2.jpeg "(Bild: TD SYNNEX)")
:quality(80)/p7i.vogel.de/wcms/3d/4e/3d4eb05a9bb6148a258e1d7a320a0595/0128770700v1.jpeg "Der Lego Smart Brick ist vollgepackt Beschleunigungsmessern, Lichtsensoren und einem Schallsensor sowie einem Miniaturlautsprecher, der von einem integrierten Synthesizer angetrieben wird,. (Bild: Lego)")
:quality(80)/p7i.vogel.de/wcms/37/68/3768a9690d67761ff08303668746b35f/0128683978v1.jpeg "Auf der CES in Las Vegas lässt sich zum Jahresauftakt ablesen, was die Tech-Trends 2026 werden. (Bild: CTA)")
:quality(80)/p7i.vogel.de/wcms/14/a3/14a3efcff030b182d8774ef21539cafb/0128566028v2.jpeg "In München kamen am 11. Dezember fast 30 Mitglieder des deutschen Chapters der Women4Cyber zusammen. (Bild: Nicolas Armer)")
:fill(fff,0)/p7i.vogel.de/companies/60/cb/60cb1e784befc/securepoint-logo-800-400-max.jpeg "securepoint-logo-800-400-max (Securepoint)"){kind=logo}
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/133500/133538/65.jpg "Logo_WatchGuard_Color_Vector_HighRes.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/69/2e/692ecb7bb8f78/xopero-logo-color.png "xopero-logo-color (Xopero)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/18/11/1811f664f9b6b9494e57e328e6f1072b/0128383010v4.jpeg "In der Regel wird Sichtbarkeit ohne Handlungsfähigkeit zum Ballast. Sicherheit entsteht durch identitätszentrierte Prävention, sinnvolle Automatisierung und gezieltes Threat Hunting. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/69/58/6958fb7657aa06852c035fcc3038c34f/0128108126v1.jpeg "Künstliche Intelligenz kennt kein gut und böse – sie könnte Moral nur simulieren. (Bild: Midjourney / KI-generiert)")