Systeme werden in Unternehmen heute zunehmend eingesetzt, um Netz- und Serverkomponenten auf ihre Verfügbarkeit zu kontrollieren. Denn der 24/7-Betrieb muss in den meisten Firmen für fast alle IT-Dienste sichergestellt werden können. Dabei ist auch die Berücksichtigung der IT-Sicherheit wichtig. Sog. SIEM-Systeme (Security Information and Event Management) geben Auskunft über aktuelle Risiken und entsprechende Handlungsempfehlungen. Problematisch bleibt das automatische Erkennen einer Anomalie.

Der Schwerpunkt eines SIEM-Systems ist die Überwachung und Verwaltung von Benutzerdiensten und -privilegien, Verzeichnisdiensten und Änderungen der Systemkonfiguration sowie die Bereitstellung zur Auditierung und Überprüfung der Vorfälle. Es geht damit einen Schritt weiter als herkömmliche Monitoring-Systeme und bezieht explizit die IT-Sicherheit mit ein. SIEM-Systeme werden daher mittlerweile als eine sehr wichtige Sicherheitskomponente von IT-Infrastrukturen angesehen. Sie kommen bisher allerdings fast ausschließlich in großen Unternehmen zum Einsatz, da ihr Betrieb sehr komplex und kostenintensiv ist.

Aktuelle SIEM-Systeme sind zudem auch nur dann nützlich, wenn Experten in IT-Abteilungen die Sicherheitswarnungen und Ausgaben des SIEM-Systems sinnvoll selektieren und interpretieren können, um dann geeignete Gegenmaßnahmen ergreifen zu können. Das macht den Betrieb in kleinen und mittelständischen Unternehmen (KMU) praktisch nicht möglich.

In seinem neuen Artikel erläutert Prof. Dr. Detken SIEM-Funktionalität, -Einführung und -Arbeitsweise. Anhand von Forschungsansätzen und der Herstellerlösung von LogRhythm identifiziert er bereits gut umgesetzte Funktionen, aber auch aktuelle Defizite.