SIEM (Security Information and Event Management) ist die zentrale Lösung für Sicherheits-Logging und Incident-Erkennung in IT-Landschaften. SIEM-Systeme korrelieren Logs aus ERP, Datenbank, Firewall, Active Directory und Cloud-Diensten, um Anomalien und Angriffe in Echtzeit zu erkennen.
Warum SIEM für ERP wichtig ist
ERPs sind das Herzstück sensibler Geschäftsdaten. Erfolgreiche Angriffe (z.B. CEO-Fraud, Manipulation von Lieferantendaten, Daten-Exfiltration) wären ohne SIEM oft unentdeckt. Pflichten aus NIS-2, DSGVO und der GoBD verlangen Audit-Trails — SIEM ist der zentrale Aggregator.
Privileged-User-Monitoring: Wer hat Admin-Rechte genutzt?
SoD-Verletzungen (Segregation of Duties)
Massenabfragen auf Kunden-/Lieferantendaten
Erfolglose Login-Versuche als Brute-Force-Indikator
Buchungsmanipulationen außerhalb der Geschäftszeiten
Praxis-Beispiel
Ein Konzern überwacht alle System-Aktivitäten in einem SIEM (Security Information and Event Management): Logs aus ERP, Firewall, Active Directory, Server fließen zentral zusammen, werden korreliert, auf verdächtige Muster geprüft. Bei einem ungewöhnlichen Pattern (z. B. 50 fehlgeschlagene Login-Versuche von einer IP) erstellt das SIEM automatisch einen Alert. Tools: Splunk, IBM QRadar, Microsoft Sentinel, Elastic Security. Pflicht für NIS-2-pflichtige Unternehmen.
Brauche ich SIEM nur bei NIS-2-Pflicht? NIS-2 macht es verpflichtend, aber jedes Unternehmen ab 100+ MA und mit kritischen Daten profitiert von SIEM. Cybersecurity-Versicherer fordern es teilweise schon. Wie unterscheidet sich SIEM von einer Firewall? Firewall ist präventiv (verhindert unerlaubte Zugriffe). SIEM ist detektiv (erkennt verdächtige Muster nach dem Eindringen). Beide ergänzen sich.
