Die Frage „Ist SIEM tot?“ sorgt derzeit für lebhafte Diskussionen in der Cyber Security Community. SIEM war lange Zeit das Fundament der Sicherheitsarchitektur von Unternehmen, aber neuere Entwicklungen wie XDR stellen die Relevanz traditioneller SIEM-Systeme in Frage. Viele IT-Sicherheitsverantwortliche fragen sich, ob es an der Zeit ist, auf modernere Lösungen umzusteigen.
XDR bietet viele Vorteile gegenüber traditionellen SIEM-Systemen, wie bessere Erkennung und reduzierte Fehlalarme.
(Bild: ipopba - stock.adobe.com)
Security Information and Event Management (SIEM) Systeme werden in zahlreichen Unternehmen weltweit eingesetzt. Laut Gartners „2023 Magic Quadrant for Security Information and Event Management“ nutzen 85 Prozent der großen Unternehmen SIEM-Systeme zur Sicherheitsüberwachung. Die zentrale Stärke von SIEM liegt in der umfassenden Aggregation und Langzeit-Speicherung von Sicherheitsdaten, die eine detaillierte Analyse und Berichterstattung ermöglichen. So entsteht eine zentrale Plattform für die Überwachung und das Management von Sicherheitsvorfällen. Dennoch sind Nutzer von SIEM-Systemen mit Herausforderungen wie hoher Komplexität und erheblichen Kosten konfrontiert.
Herausforderungen und Grenzen von SIEM
Traditionelle SIEM-Systeme haben ihre Grenzen. Ihre Bedrohungserkennung basiert überwiegend auf festen Regeln, was bedeutet, dass neuartige Angriffe teilweise übersehen werden können. Zudem erzeugen die von SIEM-Anbietern vordefinierten Regeln oft eine Alarm Fatigue, eine Flut an Meldungen, darunter auch falsch positive. Sicherheitsexperten stehen dann vor der Herausforderung, die dringlichsten Meldungen herauszufiltern, da die Priorisierung des Systems diese nicht unbedingt aufzeigt. Alternativ zu den vordefinierten Regeln, können auch eigene, zutreffendere SIEM-Regeln und -Trigger verwendet werden. Die Anzahl an Meldungen lässt sich damit reduzieren, jedoch sind der zeitliche Aufwand und die benötigten Ressourcen für eine solche Konfiguration erheblich. Die Komplexität der Systeme führt außerdem dazu, dass hohe Expertise und kontinuierliche Wartung erforderlich sind, um sie effektiv zu nutzen. Diese Limitierungen werfen die Frage auf, ob traditionelle SIEM-Systeme den modernen Sicherheitsanforderungen noch gewachsen sind.
Aufkommen und Vorteile von XDR
Extended Detection and Response (XDR) wird als die nächste Evolutionsstufe in der Cyber Security betrachtet. XDR bietet eine integrierte Lösung zur Erkennung und Reaktion auf Bedrohungen über mehrere Sicherheitslayer hinweg, einschließlich Endpunkt-Geräten, Servern, Netzwerken, Anwendungen und Cloud-Services. Durch die Kombination von Endpoint Detection and Response (EDR) und Managed Detection and Response (MDR) bietet XDR eine verbesserte Übersicht und reduziert die Anzahl an Warnmeldungen durch fortschrittliche Filtermechanismen und intelligente Korrelationstechniken. Dies führt zu präziseren Alarmierungen im Vergleich zu traditionellen SIEM-Systemen.
Laut einer Umfrage der Enterprise Strategy Group (ESG) aus dem Jahr 2023 planen 60 Prozent der befragten Unternehmen, XDR innerhalb der nächsten zwei Jahre zu implementieren. Eine weitere Studie von IDC aus dem Jahr 2023 zeigt, dass 70 Prozent der Sicherheitsteams von einer verbesserten Bedrohungserkennung durch XDR berichten. Zu den Hauptvorteilen von XDR zählen die automatisierte Reaktion auf Bedrohungen, die Entlastung des Sicherheitsteams durch weniger manuelle Eingriffe und der proaktive Ansatz, der die Sicherheit und Resilienz von IT-Systemen nachhaltig erhöht.
XDR integriert Echtzeitdaten aus Endpunkten, Netzwerken und der Cloud und nutzt fortschrittliche Analysen und Maschinelles Lernen, um Bedrohungen effizienter zu erkennen und darauf zu reagieren. Automatisierte Reaktionen auf Sicherheitsvorfälle verkürzen die Reaktionszeit erheblich und reduzieren das Risiko von Schäden. Durch die Verringerung der Anzahl an Fehlalarmen wird das Sicherheitsteam entlastet und kann sich auf die wirklich kritischen Vorfälle konzentrieren.
Synergieeffekte: SIEM und XDR gemeinsam nutzen
Trotz der Vorteile von XDR bedeutet dies nicht zwangsläufig den Tod von SIEM. Vielmehr können SIEM und XDR in Kombination ihre Stärken ausspielen. Während SIEM eine umfassende Datenaggregation und Langzeit-Speicherung bietet, stellt XDR fortschrittliche Erkennungs- und Reaktionsfähigkeiten bereit. Durch die Integration von Echtzeitdaten aus Endpunkten, Netzwerken und der Cloud sowie die Automatisierung von Reaktionen auf Sicherheitsvorfälle können Unternehmen eine bessere Übersicht, reduzierte Fehlalarme und schnellere Reaktionszeiten erzielen.
Für eine erfolgreiche Integration empfiehlt es sich, XDR schrittweise in bestehende SIEM-Umgebungen einzubinden und APIs sowie Integrations-Tools zu nutzen, um beide Systeme miteinander zu verbinden. Diese Kombination kann Unternehmen helfen, eine ganzheitliche Sicherheitsstrategie zu entwickeln, die sowohl die Stärken von SIEM als auch die innovativen Funktionen von XDR nutzt.
Dennoch ist die Kombination von SIEM und XDR nicht die richtige Lösung für jedes Unternehmen. Eine Sicherheitsstrategie muss individuell an die spezifischen Anforderungen und Bedürfnisse des jeweiligen Unternehmens angepasst werden. IT-Dienstleister können hierbei eine wertvolle Unterstützung bieten, indem sie ihre Expertise einbringen und maßgeschneiderte Lösungen entwickeln, die auf die spezifischen Sicherheitsanforderungen des Unternehmens abgestimmt sind.
Ausblick und Zukunftsperspektiven
Wie bei vielen Themen, kann auch hier der zunehmende Einfluss durch Künstliche Intelligenz nicht außer Acht gelassen werden. Eine aktuelle Untersuchung des BSI zeigt, dass die Zukunft der Cyber Security erheblich durch Künstliche Intelligenz beeinflusst wird, da die Technologie sowohl Angreifenden als auch Verteidigenden neue Möglichkeiten bietet. Moderne SIEM- und XDR-Systeme enthalten deshalb oft KI-Module, die in der Lage sind, Anomalien und Muster in großen Datenmengen zu erkennen. Diese Systeme können potenzielle Bedrohungen vorhersagen und Gegenmaßnahmen einleiten, womit traditionelle Systeme meist überfordert sind. KI-gestützte Systeme lernen zudem kontinuierlich und passen sich an neue Bedrohungen an.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Darüber hinaus ermöglicht KI eine effizientere Analyse großer Datenmengen und die Identifikation von Bedrohungen, die menschliche Analysten übersehen könnten. Diese Technologien können eine effektive Ergänzung zu bestehenden Sicherheitsinfrastrukturen darstellen und die Fähigkeit zur proaktiven Bedrohungserkennung und -abwehr erheblich verbessern.
Schlussfolgerung
Die wichtigste Erkenntnis ist, dass traditionelle SIEM-Systeme nicht zwangsläufig obsolet sind, sondern sich weiterentwickeln müssen. Statt einer Revolution ist eine Evolution notwendig, um den steigenden Anforderungen der Cyber Security gerecht zu werden. Die Integration von SIEM in breitere Sicherheitsstrategien, einschließlich der Nutzung von XDR, kann dabei helfen, die Sicherheitsinfrastruktur zu stärken.
SIEM ist also nur dann tot, wenn es nicht mit der Zeit geht und weiterentwickelt wird. Unternehmen sollten die Chancen nutzen, die neue Technologien mitbringen, um ihre Sicherheitsmaßnahmen zu modernisieren und sich für die zukünftigen Herausforderungen der Cyber Security zu wappnen. Durch die Kombination der Stärken kann eine robuste und resiliente Sicherheitsarchitektur aufgebaut werden, die den komplexen und dynamischen Bedrohungen der heutigen Zeit gewachsen ist.
Über den Autor: Dino Huber ist Geschäftsführer der DATAGROUP Cyber Security Einheit.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1d/db/1ddbdc9047cbd3cd27d7cb0efca62bc4/0128713610v2.jpeg "Am 25. Dezember 2025 griffen mutmaßlich japanische Cyberkriminelle Adobe-ColdFusion-Server, mit dem Ziel, Zugriffe zu kapern, um diese dann zu verkaufen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e3/48/e348498d4582bb6d2bd6993b70462a5b/0129264709v2.jpeg "Bei der Microsoft-365-Security gibt es viele blinde Flecken, auf die IT-Verantwortlichen in Unternehmen achten müssen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d4/df/d4dfa5d473ecbb140447fb4755cab804/0129131184v2.jpeg "Bundesinnenminister Alexander Dobrindt (CSU) will härter gegen hybride Angriffe durch staatliche Geheimdienste vorgehen. (Bild: @ BMI / Henning Schacht)")
:quality(80)/p7i.vogel.de/wcms/3c/5c/3c5c6e99bcdad07637fea060dc2eab27/0127436898v1.jpeg "Der Autor: Alexander Waldmann ist Vice President bei Applause (Bild: Applause)")
:quality(80)/p7i.vogel.de/wcms/22/5d/225d1d7930c9090fe8fbf68e9d3465c2/0129163513v2.jpeg "Betroffen von der kritischen Schwachstelle EUVD-2026-4712 / CVE-2026-24858 sind die Produkte FortiOS, FortiManager, FortiAnalyzer, FortiProxy und FortiWeb. Die Sicherheitslücke erlaubt es Angreifern, sich über die FortiCloud-SSO-Anmeldung auf anderen Geräten unautorisiert anzumelden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/24/aa/24aad994e872a642db8ce5e566b2ff5a/0128652115v2.jpeg "Mit Agentic AI wollen Cyberkriminelle Angriffe effizienter durchführen, um ihren ROI zu erhöhen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9a/22/9a22abecd3b81745aafb5167c9a4eed5/0129101394v1.jpeg "OPSI wird nach dem WSUS-Ende zur Open-Source-Alternative und verwaltet Windows, Linux und macOS zentral mit automatischen Updates und Echtzeit-Status. Mehr in Text, Bildergalerie und Video (Tool-Tipp 38). (Bild: © Irene Kulinchyk - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/46/86/4686355223b7afc15b0ec2dcc54a5e58/0128882706v1.jpeg "Die Risiken der digitalen Erpressbarkeit: Genügt ein Klick, um Europa ins digitale Dunkel zu führen? (Bild: frei lizenziert Pete Linforth)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2c/7f/2c7f325ab87e8cde7456fb75e3fd2e0b/0128865641v2.jpeg "Die Code-Injection-Sicherheitslücke in PowerPoint von 2009 ermöglicht es Angreifern, durch speziell gestaltete PowerPoint-Dateien beliebigen Code auszuführen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:quality(80)/p7i.vogel.de/wcms/67/34/6734f0c7ef3a61c726759e96eaf3ff89/0124351368v2.jpeg "Europäische Unternehmen könnten durch einen ausgewogenen Ansatz von KI-gestützten Cybersecurity-Lösungen mit angemessener menschlicher Supervision ihre Widerstandsfähigkeit gegen Cyber-Bedrohungen deutlich verbessern. (Bild: Franklin - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a8/f8/a8f839b6d6fc54f14228abb8e4984e8c/0123871625v2.jpeg "Ein SIEM ermöglicht einen umfassenden Einblick auf die Cybersicherheitslage eines Unternehmens und ermöglicht eine schnelle Reaktion auf Bedrohungen. (Bild: kjekol - stock.adobe.com)")