Logdaten sind mehr als ein digitales Tagebuch. Mit ihrer Hilfe können Unternehmen Cyberangriffe erkennen und abwehren. Vorausgesetzt, es stehen ausreichend Daten zur Verfügung, um sie auszuwerten. Sie langfristig zu speichern, ist allerdings kostenintensiv und aufwändig. Überwindet die SIEM-Cloud die traditionellen Grenzen des Logmanagements?
Sorgfältig in die Security-Infrastruktur integriert, verbessern Logmanagement und Cloud SIEM die Abwehr gefährlicher Hackerangriffe erheblich.
(Bild: natali_mis - stock.adobe.com)
Deutschlands Unternehmen haben Datensicherheit zur Kernpriorität erklärt. Immerhin können neun von zehn damit rechnen, Opfer von Datendiebstahl, Spionage oder Sabotage zu werden. Den Schaden beziffert der Branchenverband Bitkom auf 206 Milliarden Euro pro Jahr, wobei Unternehmen im Vergleich zu 2022 einen Anstieg der Bedrohungslage beobachten. Besondere Sorge gilt Hackerangriffen in Form von DDoS-Attacken, gleichzeitig identifizieren die Befragten Phishing-Kampagnen und Ransomware als Top-Risiken. Führungskräfte müssen auf der einen Seite mit dem technologischen Fortschritt Schritt halten, auf der anderen Seite sehen sie sich den raffinierter werdenden Methoden der Kriminellen ausgesetzt. Robuste Firewalls, starke Passwörter, Verschlüsselung und andere Sicherheitsmaßnahmen sind das Gebot der Stunde. Dabei übersehen viele das Potenzial, das in den Logdaten verborgen liegt.
Wenn nicht angemessen protokolliert und die IT-Infrastruktur nicht überwacht wird, bleiben potenzielle Sicherheitsvorfälle unentdeckt. Qualität und Integrität der Protokolldateien beeinflusst also die Sicherheit des gesamten Firmen-Systems. Sie liefern wertvolle Informationen, die dazu beitragen, die Sicherheit des Firmennetzwerks zu verbessern.
Logdaten und ihre Bedeutung für SIEM
Logdateien stehen im Zentrum eines effektiven Security Information and Event Management (SIEM)-Systems. Durch sie ist es möglich, das Firmennetzwerk fortlaufend zu beobachten und verdächtige Aktivitäten auszumachen. Anomalien in den Protokollen weisen frühzeitig auf potenzielle Angriffe hin und lassen diese eindämmen, noch bevor sie ernsthaften Schaden anrichten.
Kommt es trotzdem zu einem Sicherheitsvorfall, benötigen die Analysten genaue Informationen, um herauszufinden, was passiert ist. Logdateien dienen Incident-Response-Ermittlern demnach als Werkzeuge dafür, den Ursprung und den Verlauf eines Angriffs nachzuvollziehen und Beweise für eine spätere Untersuchung zu sichern. Viele Branchen und Regulierungsbehörden verlangen deshalb, Logdateien für eine bestimmte Zeitspanne aufzubewahren und auf Anfrage bereitzustellen. Logdaten-Management ist daher für die Betriebe unerlässlich, wenn sie keine hohen Geldstrafen und rechtliche Konsequenzen riskieren wollen – gerade jetzt mit Blick auf die EU-Richtlinie NIS-2. Es trägt allerdings nicht nur zur Sicherheit bei, sondern auch zur Optimierung der IT-Infrastruktur: Werden Protokolle analysiert, lassen sich Engpässe identifizieren, Ressourcen effizienter zuweisen und die Gesamtleistung verbessern.
Der Cloud-Ansatz: Ein Weg zu umfassender Sicherheit
Serverprotokolle, Sicherheitsprotokolle, Remote-Protokolle und mehr erzeugen einen enormen Datenstrom. Ihn in den Griff zu bekommen und die Daten langfristig zu speichern, kostet. Bei zehn Terabyte fallen schnell über 100.000 Euro an, insbesondere bei On-Premises-Systemen, wo präzise geplant und Hardware bereitgestellt werden muss. Deshalb speichern Unternehmen oft nur eine Auswahl ihrer Logdaten, was später ihre Fähigkeit zur umfassenden Analyse beeinträchtigt.
Doch der Trend im Security-Bereich geht zu Cloud-Lösungen, die Hardware-Kosten und Management-Aufwand reduzieren und sich schnell in Betrieb nehmen lassen. Es ist nur konsequent, dass mittlerweile alle großen Hyperscaler im Security-Umfeld aktiv sind – sowohl um eigene Angebote abzusichern als auch um Anteile in einem Wachstumsmarkt zu erobern. Amazon konzentriert sich bisher vor allem auf den Schutz von Webshops und Webapplikationen, während Microsoft insbesondere mit Security-Lösungen im Windows-, Office- und Microsoft-365-Umfeld aktiv ist. Dass Google dahingehende Pläne hat, dürfte spätestens seit der 5,4 Milliarden schweren Akquisition von Mandiant klar sein. Damit hat sich der Internet-Gigant führende Threat Intelligence einverleibt, mit der er sein IT-Sicherheitsangebot konsequent ausbaut.
Wie Unternehmen den richtigen Cloud-SIEM-Anbieter finden
Die Cloud-native Architektur erlaubt eine flexible und nahezu unbegrenzte Skalierung, wodurch keine umfassenden Konfigurationen oder Managementanpassungen vorgenommen werden müssen. Trotzdem sind bei der Wahl eines Cloud-SIEM-Anbieters mehrere Schlüsselfaktoren zu berücksichtigen. Diese Fragen helfen Unternehmen herauszufinden, welcher Anbieter zu ihnen passt:
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Wie komplex ist es, Logquellen anzubinden? Schnell und einfach geht das mit einer API-Integration.
Werden Daten automatisch normalisiert? Ist dies der Fall, erleichtert das die Integration unterschiedlicher Logquellen und sollte in der Lizenz enthalten sein.
Wie leicht lassen sich verschiedene Anbieter andocken? Je flexibler ein Cloud-SIEM ist, desto leichter lässt sich die Sicherheit erhöhen. Außerdem lassen sich verschiedene Datenquellen einbeziehen.
Wie viel Cloud Storage mit welcher Aufbewahrungszeit ist in der Lizenz enthalten? Die Menge und die Dauer bestimmt, wie vollständig und lange Betriebe die Daten aufbewahren können, ohne Mehrkosten in Kauf nehmen zu müssen.
Wie schnell durchsucht die SIEM-Cloud die gespeicherten Datenmengen? In der Schnelligkeit liegt auch Resilienz. Dadurch, dass die Betriebe rasch rückblickend Logdateien analysieren, sind sie nicht nur fähig, aktuelle Bedrohungen zu identifizieren, sondern auch Zero-Day-Angriffe zu erkennen.
Bei allen SIEM- und SOC-Systemen gilt: Für mittelständische Unternehmen, deren IT-Abteilungen stark unter dem IT-Fachkräftemangel leiden, ist es praktisch unmöglich, derart komplexe Systeme in Eigenregie in die vorhandene Security-Landschaft zu integrieren. Zudem ist es nicht mit der Anbindung von Logquellen getan. Anschließend gilt es, alles kontinuierlich zu betreiben, zu aktualisieren, Analysen zu fahren und gegebenenfalls Strategien gegen Cyberangriffe zu entwickeln und durchzuführen.
Wollen mittelständische Firmen also die Cloud-SIEM-Möglichkeiten nutzen, ist die Zusammenarbeit mit einem erfahrenen Managed Security Service Provider (MSSP) empfehlenswert. Dieser verfügt über ein professionelles SOC-Team und hat jahrelange Erfahrung im Umgang mit SIEM- und SOAR-Systemen. Innerhalb seines MDR-Service (Managed Detection & Response) kümmert er sich darum, dass alles korrekt angebunden ist, entwickelt gemäß aktuellen Herausforderungen kontinuierlich neue Playbooks und hat neue Entwicklungen in der Cybercrime-Branche stets im Blick. Im Falle eines Angriffs informiert er den Kunden umgehend, gibt Schritt-für-Schritt-Handlungsempfehlungen und unterstützt bei der Umsetzung der Gegenmaßnahmen.
Fazit: Logmanagement und SIEM sind heute für Unternehmen unverzichtbar
Sorgfältig in die Security-Infrastruktur integriert, verbessern Logmanagement und Cloud SIEM die Abwehr gefährlicher Hackerangriffe erheblich. Logdaten sind daher nicht nur Aufzeichnungen, sondern entscheidend für Compliance, Cyberangriffserkennung und -abwehr. Angesichts steigender Cyberbedrohungen und der Notwendigkeit, die Protokoll-Daten sicher zu verwalten, sind moderne Ansätze unverzichtbar. Der Blick in die Zukunft zeigt: Firmen, die proaktiv auf die rasant entwickelnde Bedrohungslandschaft reagieren, sind resilienter. Cloud-SIEM ist ihr Schlüssel dazu.
Über den Autor: Wolfgang Kurz ist Geschäftsführer und Founder von Indevis.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/2e/2a/2e2ac965035d3a6fd7ac2fd253f1bbf0/0129285508v2.jpeg "Bei den gestohlenen Daten handle es sich größtenteils um interne Informationen sowie personenbezogene Daten von Bumble-Mitarbeitenden. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/96/c3/96c3f0eef0140714a3397057a1ac1bb4/0129321130v2.jpeg "Die Werkstatt Bremen betreut als Dienstleister die Computertechnik der Beweisstückstelle der Polizei. Glücklicherweise hat der Ransomware-Angriff keine Auswirkungen auf die reguläre Arbeit der Polizei. (Bild: James Thew - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c8/bb/c8bbb90768f2d69adb08e0d58bb90645/0128934085v1.jpeg "Beim DNS-Tunneling wird legitimer Namensauflösungsverkehr genutzt, um Daten verdeckt durch bestehende Netzwerkverbindungen zu übertragen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/7c/75/7c754f68090dae4a979abbbd877ff774/0129310503v2.jpeg "Instant Messaging und Kollaborationstools werden zum Einfallstor für Cyberangriffe auf die Automobilindustrie. Sichere, DSGVO-konforme Kommunikation wird zur strategischen Notwendigkeit. (Bild: © sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7c/51/7c51f12b88847cbe6b67250785911120/0129310016v2.jpeg "Cybersecurity zog sich als roter Faden durch Debatten über KI, Robotik, den Schutz verteilter IoT-Endpunkte und kritischer Infrastrukturen – sowohl auf den Bühnen des WebSummit 2025 in Lissabon, als auch hinter den Kulissen. (Bild: Web Summit)")
:quality(80)/p7i.vogel.de/wcms/21/d1/21d1c191d71d4c5e11c33df897f23005/0129068361v1.jpeg "Symbolbild: Mehrstufige Perimetersicherung mit Zaun, Zutrittskontrolle und Videoüberwachung zählt zu den Basismaßnahmen, um kritische Rechenzentrumsstandorte vor unbefugtem Zugriff zu schützen. (Bild: Midjourney / Paula Breukel / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/33/0b/330b92560794343f3b2e72a6c0201cfe/0129212056v2.jpeg "Ivanti Endpoint Manager Mobile ist erneut unter Beschuss: Zwei Zero-Day-Sicherheitslücken sollten sofort gepatcht werden. (Bild: Ar_TH - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d8/3f/d83fb3f1382c7a4597fac1bfcfc5087b/0129166059v2.jpeg "Nach diversen Spionage-Aktivitäten gegen WhatsApp-Nutzer führt der Anbieter mit den „strengen Kontoeinstellungen“ neue Sicherheitsfunktionen ein. (Bild: © ra2 studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/57/cc/57cc4ad7badd6e36300bf10fcda97eac/0129117117v2.jpeg "Microsoft reagiert mit außerplanmäßigen Updates auf eine Sicherheitsanfälligkeit in Office 2016 bis 2024 und Office 365-Apps und stellt derzeit im Eiltempo Notfall-Patches bereit, um schwerwiegende Angriffe durch das Umgehen von Sicherheitsfunktionen zu verhindern. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d8/46/d8461a6f3d03070ca78af2eeb81aa7a0/0129133031v2.jpeg "Bei einem Cyberangriff auf die Stadt Schorndorf wurden mutmaßlich Anmeldedaten der „Forscherfabrik Schorndorf“ gestohlen. (Bild: StockUp - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/39/a9/39a9c9edbf9edbcfdf7e01d87104b924/0129255851v2.jpeg "Auch 2025 fand die European Identity and Cloud Conference in Berlin statt und brachte Experten aus dem Bereich Identity and Access Management zusammen. (Bild: mail@nicolas~det.eu)")
:quality(80)/p7i.vogel.de/wcms/bd/b9/bdb94bdad4100b29346fe4392185cbd0/0129008419v1.jpeg "China kritisiert EU-Pläne, Anbieter von Netzwerktechnik wegen Sicherheitsbedenken auszuschließen. Das verletze die Regeln des fairen Wettbewerbs. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:quality(80)/p7i.vogel.de/wcms/ef/6d/ef6d3879267f986db948297c7113fdbd/0123887639v2.jpeg "Hochentwickelte Bedrohungen und komplexe digitale Infrastrukturen erfordern zentralisierte Telemetrie-Pipelines zur Echtzeit-Erkennung von Gefahren. (Bild: Dinara - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a8/f8/a8f839b6d6fc54f14228abb8e4984e8c/0123871625v2.jpeg "Ein SIEM ermöglicht einen umfassenden Einblick auf die Cybersicherheitslage eines Unternehmens und ermöglicht eine schnelle Reaktion auf Bedrohungen. (Bild: kjekol - stock.adobe.com)")