Regularien wie NIS2 und DORA erhöhen die Anforderungen deutlich: Gefordert sind kontinuierliche Überwachung, strukturierte Incident Detection und klar definierte Reaktion. Entscheidend ist dabei nicht die Höhe der IT-Investitionen, sondern ob SIEM und SOC als integrierte Sicherheitsstruktur ineinandergreifen.
NIS2 und DORA verlangen lückenlose Erkennung und Reaktion auf Sicherheitsvorfälle. Ohne das Zusammenspiel von SIEM und SOC bleibt die geforderte Transparenz Stückwerk.
Die Budgets für IT-Sicherheit wachsen – und mit ihnen die Erwartungen. Laut Bitkom stiegen die Ausgaben für IT-Sicherheit in Deutschland im Jahr 2025 auf 11,1 Milliarden Euro; für 2026 wird ein weiteres Wachstum um 9,9 Prozent auf 12,2 Milliarden Euro erwartet. Unternehmen investieren verstärkt, und das zu Recht: Regulatorische Vorgaben wie NIS2 und DORA erhöhen den Druck auf kontinuierliche Überwachung, strukturierte Incident Detection und nachvollziehbare Reaktionsprozesse.
Doch mehr Budget bedeutet nicht automatisch mehr Sicherheit. In vielen Unternehmen fehlt es nicht an Investitionsbereitschaft, sondern an struktureller Tiefe: eine Sicherheitsorganisation, die Risiken durchgängig erkennt und adressiert – statt sich auf den Betrieb einzelner Tools zu beschränken.
Entscheidend ist daher nicht die Höhe der Investitionen oder die Anzahl der eingesetzten Lösungen. Maßgeblich ist ihre Einbettung in eine funktionierende Sicherheitsarchitektur und einen belastbaren Betrieb.
Ohne zentrale Datenbasis bleibt Sicherheit Stückwerk
Die regulatorischen Anforderungen verändern vor allem die Perspektive auf IT-Sicherheit. Im Fokus steht nicht mehr allein, ob einzelne Schutzmaßnahmen implementiert sind. Entscheidend ist ob Sicherheitsvorfälle kontinuierlich erkannt und innerhalb klarer Meldefristen und Eskalationspfade bearbeitet werden können.
Genau hier zeigen sich in vielen Unternehmen strukturelle Schwächen – und zwar entlang des gesamten IT-Lifecycles. Bereits in der Architektur wird Sicherheit häufig nicht als durchgängiges Prinzip berücksichtigt, sondern nachgelagert umgesetzt. Klare Sicherheitsanforderungen, systematisches Threat Modeling oder eine vollständige Transparenz über bestehende IT-Assets fehlen oft von Anfang an.
Diese Defizite setzen sich im Betrieb fort. Monitoring ist nicht durchgängig etabliert, Logdaten sind über verschiedene Systeme verteilt und eine zentrale Sicht auf sicherheitsrelevante Ereignisse fehlt. Gleichzeitig werden grundlegende Maßnahmen wie Netzwerksegmentierung, Multi-Faktor-Authentifizierung sowie strukturierte Patch- und Konfigurationsprozesse nicht konsequent umgesetzt.
Solange Sicherheitsvorfälle selten oder folgenlos bleiben, fallen diese Lücken im Alltag kaum auf. Mit wachsenden regulatorischen Anforderungen ändert sich das jedoch grundlegend: Unternehmen müssen sicherheitsrelevante Ereignisse lückenlos protokollieren, Risiken priorisieren und Vorfälle innerhalb gesetzlich definierter Fristen melden.
Damit geraten fragmentierte Sicherheitsstrukturen an ihre Grenzen, insbesondere dort, wo zentrale Transparenz und klar definierte Abläufe für die Bewertung und Behandlung von Sicherheitsereignissen fehlen.
SIEM schafft die Grundlage – aber erst der Kontext entscheidet
Um die geforderte Transparenz über sicherheitsrelevante Ereignisse zu erreichen, ist eine zentrale Datenbasis unerlässlich. In vielen IT-Umgebungen entstehen entsprechende Informationen parallel in unterschiedlichen Systemen – etwa in Netzwerken, Anwendungen, Servern oder Cloud-Diensten –, ohne dass sie systematisch zusammengeführt werden.
Security-Information-and-Event-Management-Systeme (SIEM) setzen genau an dieser Stelle an: Sie aggregieren Log- und Ereignisdaten aus verschiedenen Quellen, korrelieren diese systemübergreifend und ermöglichen so eine konsolidierte Sicht auf sicherheitsrelevante Vorgänge. Dabei werden Muster und Auffälligkeiten sichtbar – etwa ungewöhnliche Zugriffsversuche im Sinne einer Intrusion Detection oder Abweichungen im Nutzerverhalten, wie sie im Kontext von Insider Threat Detection relevant sind.
Gerade vor dem Hintergrund regulatorischer Anforderungen wird diese Bündelung entscheidend, da nur so Zusammenhänge zwischen Ereignissen sichtbar werden, die isoliert betrachtet harmlos wirken. Ohne eine zentrale Auswertung bleibt die Sicherheitsüberwachung fragmentiert und eine zeitnahe Erkennung von Vorfällen ist nur eingeschränkt möglich.
Gleichzeitig zeigt die Praxis: Die Einführung eines SIEM schafft Transparenz und eine Vielzahl an Alerts, doch ohne kontinuierliche Bewertung und Einordnung bleibt unklar, welche Ereignisse tatsächlich handlungsrelevant sind. Transparenz allein ersetzt keine Entscheidung.
Erst ein SOC macht aus Daten handlungsfähige Sicherheit
Genau hier setzt ein Security Operations Center (SOC) an. Es übernimmt das kontinuierliche 24/7 Monitoring der durch das SIEM bereitgestellten Daten, bewertet eingehende Alerts im Kontext, priorisiert relevante Vorfälle und stößt strukturierte Incident-Response-Prozesse an. Ziel ist es, Auffälligkeiten sichtbar zu machen und im Ernstfall schnell und nachvollziehbar handeln zu können – mit klaren Verantwortlichkeiten, definierten Eskalationswegen und einer lückenlosen Dokumentation.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Security wird damit zur operativen Daueraufgabe, verankert in festen Prozessen und verbindlichen Abläufen, die auch unter regulatorischem Druck tragen.
In der Praxis stellt genau dieser Schritt viele Organisationen vor Herausforderungen. Der kontinuierliche Betrieb, die Bewertung von Ereignissen in Echtzeit sowie der Aufbau und die Pflege entsprechender Prozesse erfordern spezialisiertes Know-how und personelle Ressourcen, die intern oft nur begrenzt verfügbar sind. Viele Unternehmen setzen deshalb auf externe Dienstleister, die diese Lücke schließen und die nötige Expertise einbringen.
Im Zusammenspiel von technischer Grundlage und organisatorisch verankertem Betrieb entsteht so eine Sicherheitsstruktur, die nicht reaktiv bleibt, sondern dauerhaft trägt.
Wie Regulierung IT-Sicherheit in Resilienz übersetzt
Die Bedrohungslage macht den Wandel hin zu einer kontinuierlich betriebenen Sicherheitsorganisation unausweichlich. Angriffe werden schneller, gezielter und schwerer vorherzusagen. Ein rein reaktiver Ansatz reicht in dieser Realität nicht mehr aus. Unternehmen, die Regulierung als strategischen Rahmen begreifen, bauen dagegen die Fähigkeit aus, Angriffe nicht nur abzuwehren, sondern auch dann noch handlungsfähig zu bleiben, wenn etwas durchdringt.
Regulatorische Anforderungen leisten dabei genau das, was viele Organisationen aufschieben: Sie erzwingen Transparenz über gewachsene IT-Landschaften, geben Prozessen eine klare Struktur und verankern Verantwortlichkeiten verbindlich.
Der entscheidende Perspektivwechsel: Regulierung geht über reine Pflichterfüllung hinaus. Sie ist in der Praxis Grundlagenarbeit für ein belastbares Betriebs- und Sicherheitsmodell und damit ein Hebel, um die eigene Organisation widerstandsfähiger zu machen. Richtig umgesetzt, wird sie zum Katalysator für fundiertere Entscheidungen im Ernstfall, für schnellere Reaktionsfähigkeit unter Druck und für eine IT, die dauerhaft handlungsfähig bleibt.
Über die Autorin: Alexandra Odenthal ist als erfahrene Service Managerin und Prokuristin bei der Plus.line AG in der Welt der Managed Services und Internet-Provider zuhause. Ihr Schwerpunkt liegt auf dem stabilen Betrieb von IT-Infrastrukturen sowie deren Weiterentwicklung und Qualitätssicherung. Mit fundiertem Branchenwissen in der IT- und Telekommunikationswelt verbindet sie technische Anforderungen mit klaren Serviceprozessen und einem hohen Anspruch an Kundenzufriedenheit.