SIEM – Security Information and Event Management
SIEM (Security Information and Event Management) ist die zentrale Lösung für Sicherheits-Logging und Incident-Erkennung in IT-Landschaften. SIEM-Systeme korrelieren Logs aus ERP, Datenbank, Firewall, Active Directory und Cloud-Diensten, um Anomalien und Angriffe in Echtzeit zu erkennen.
Warum SIEM für ERP wichtig ist
ERPs sind das Herzstück sensibler Geschäftsdaten. Erfolgreiche Angriffe (z.B. CEO-Fraud, Manipulation von Lieferantendaten, Daten-Exfiltration) wären ohne SIEM oft unentdeckt. Pflichten aus NIS-2, DSGVO und der GoBD verlangen Audit-Trails — SIEM ist der zentrale Aggregator.
SIEM-Tools im Markt
- Splunk Enterprise Security: Marktführer, hochskalierbar, kostspielig
- Microsoft Sentinel: Cloud-natives SIEM für M365-Welten
- IBM QRadar: etabliert im Konzern-Segment
- Elastic Security: Open-Source-basiert, kostengünstig
- Graylog: Open-Source-SIEM für Mittelstand
- SecuPi/Logpoint: spezielle ERP-Compliance-Funktionen
ERP-spezifische SIEM-Anwendungsfälle
- Privileged-User-Monitoring: Wer hat Admin-Rechte genutzt?
- SoD-Verletzungen (Segregation of Duties)
- Massenabfragen auf Kunden-/Lieferantendaten
- Erfolglose Login-Versuche als Brute-Force-Indikator
- Buchungsmanipulationen außerhalb der Geschäftszeiten
Häufige Fragen
- Lohnt SIEM für mittelständische ERPs?
Ab 50-100 MA und kritischen Geschäftsdaten ja. Cloud-SIEM wie Sentinel skaliert günstiger als On-Prem-Splunk.
- Was kostet SIEM?
Splunk: 100-300 EUR/GB ingest/Jahr. Sentinel: 2-3 EUR/GB. Open-Source-Tools: ~Hardware + Operations-Aufwand.