Wenn SIEMs versagen: 80 % der Bedrohungen bleiben unentdeckt

Home » Blog » Wenn SIEMs versagen: 80 % der Bedrohungen bleiben unentdeckt
David Kasabji Principal Threat Intelligence Engineer
18. Juni 2025

Trotz umfangreicher Maßnahmen können moderne SIEM-Plattformen fast 80 % der bekannten MITRE ATT&CK-Techniken nicht erkennen. Diese kritische Lücke bedeutet, dass selbst hoch entwickelte SIEMs Standardtechniken übersehen können, so dass Angreifer über längere Zeiträume unentdeckt bleiben. Sich bei der Erkennung von Bedrohungen ausschließlich auf SIEMs zu verlassen, ist in der heutigen, sich ständig weiterentwickelnden Bedrohungslandschaft riskant.

SIEMs sind unzureichend

SIEMs (Security Information and Event Management)-Lösungen sind bekannte Elemente der Cybersicherheitsabwehr. Unternehmen nutzen sie, um Protokoll- und Ereignisdaten aus ihren IT-Umgebungen zu sammeln und zu analysieren. Häufig werden SIEMs auch dazu verwendet, potenzielle Bedrohungen zu erkennen, zu untersuchen und darauf zu reagieren. Und dieser Ansatz war vielleicht vor 5 bis 10 Jahren machbar.

Heute ist die Bedrohungslandschaft jedoch völlig anders, und sich bei der Erkennung von Bedrohungen auf SIEMs zu verlassen, ist ein riskantes Unterfangen. SIEMs sind im Kern Protokollverwaltungssysteme und keine Lösungen zur Erkennung von und Reaktion auf Bedrohungen. Jüngste Forschungsergebnisse unterstützen diese Sichtweise.

Trotz der beträchtlichen Fähigkeiten moderner SIEMs und zunehmender Investitionen in SIEM-Plattformen erhalten die meisten Unternehmen nur sehr wenig echten Einblick in das Verhalten von Angreifern. Der jüngste Bericht von CardinalOps zeigt, dass moderne SIEMs fast 80 % der bekannten MITRE ATT&CK-Techniken nicht erkennen können und somit kritische Lücken in den Verteidigungsstrategien von Unternehmen hinterlassen. Im Klartext bedeutet dies, dass Angreifer, selbst wenn Sie viel in ein führendes SIEM investiert haben, immer noch eine sehr verbreitete Technik wie Process Injection (T1055) nutzen und aufgrund fehlender Erkennungsregeln über 90 Tage lang unter dem Radar bleiben können.

Bei der Bewertung der Erkennungsabdeckung reicht es nicht aus, einfach nur Regeln oder Protokollquellen zu zählen. Vielmehr kommt es darauf an, ob Ihre Erkennungen mit den tatsächlichen Techniken übereinstimmen, die von echten Angreifern eingesetzt werden. Hier kommt das MITRE ATT&CK-Framework ins Spiel: Eine weltweit anerkannte Wissensbasis, die die von Bedrohungsakteuren über den gesamten Angriffslebenszyklus hinweg eingesetzten Taktiken, Techniken und Verfahren (TTPs) abbildet. Indem Sie die Abdeckung Ihres SIEM oder SOC mit ATT&CK vergleichen, erhalten Sie eine klare, auf den Angreifer fokussierte Sicht auf Ihre Erkennungsstärken und -lücken. Dieser Ansatz hilft bei der Priorisierung von technischen Maßnahmen, reduziert blinde Flecken und stellt sicher, dass Sie nicht nur auf die Bedrohungen von gestern reagieren, sondern sich aktiv auf die Bedrohungen von heute und morgen vorbereiten.

Während sich die Erkennungsabdeckung im Jahr 2024 geringfügig um 2 % verbesserte, deckt das durchschnittliche SIEM immer noch nur 21 % der relevanten Techniken ab. Erschwerend kommt hinzu, dass 13 % der vorhandenen Erkennungsregeln nicht funktionieren, was häufig auf falsch konfigurierte Datenquellen oder fehlende Protokollfelder zurückzuführen ist, so dass Unternehmen unwissentlich im Blindflug gegen gängige TTPs vorgehen.

Dies ist keine Frage der Datenverfügbarkeit. Im Durchschnitt nehmen SIEMs 259 Protokolltypen aus fast 24.000 verschiedenen Quellen auf, was theoretisch eine Abdeckung von über 90 % des MITRE ATT&CK-Frameworks ermöglicht. Manuelle Regelerstellung und brüchige Erkennungs-Engineering-Workflows hindern Unternehmen jedoch daran, diese Telemetriedaten optimal zu nutzen.

Laut CardinalOps liegt die Ursache dafür in veralteten Erkennungspraktiken. Ohne Automatisierung, kontinuierliche Validierung und KI-gesteuerte Optimierung können Unternehmen nur langsam reagieren, während die Angreifer sich schnell weiterentwickeln.

SIEM-Plattformen sind keine Plug-and-Play-Erkennungsmaschinen. Ohne eine angemessene Entwicklung bleiben viele von ihnen kaum mehr als Plattformen zur Speicherung von Protokollen. Schlimmer noch, eine fehlende Abstimmung zwischen der Protokollaufnahme und den Erkennungsinhalten – wie fehlende Prozessbefehlszeilen oder Netzwerkverbindungs-Metadaten – führt zu stillen Fehlern.

Unternehmen gehen oft davon aus, dass Protokolle analysiert werden, nur weil sie erfasst werden. Doch Aufnahme ist nicht gleichbedeutend mit Erkennung. Ohne eine angemessene Korrelationslogik, Regelstatus und Validierung umgehen die meisten Angriffe die Erkennung, selbst wenn Telemetriedaten vorhanden sind.

SIEMs sind wichtig. Aber sie reichen nicht aus, um Bedrohungen zu erkennen.

SIEMs sind nicht per se schlecht. Sie sind durchaus gerechtfertigt, wenn es darum geht, die Anforderungen der EU-Verordnungen zur Aufbewahrung von Protokollen (wie NIS2 und DORA) zu erfüllen. Allerdings muss man sich davor hüten, dem Marketing der Anbieter auf den Leim zu gehen und zu glauben, dass SIEMs in der Lage sind, Bedrohungen zuverlässig zu erkennen und/oder darauf zu reagieren. Für Letzteres erweisen sich XDRs als wesentlich effektiver.

Aber auch XDRs sind nicht perfekt – sie erfordern immer noch eine Anpassung der Regeln an Ihre Umgebung. Detection Engineering sollte als kontinuierliche Disziplin behandelt werden – nicht als einmalige Einrichtung.

Wenn sich Ihr Unternehmen auf ein SIEM verlässt, ist dies eine rechtzeitige Erinnerung daran, dass Abdeckung nicht unbedingt mit Effektivität gleichzusetzen ist. Die Erkennung von Bedrohungen muss sich über die einfache Aufnahme und den Einsatz von Regeln hinaus weiterentwickeln – hin zu intelligenten, automatisierten und kontinuierlich validierten Erkennungsstrategien. Lösungen, die MDR, offensive Tests und Cyber-Bedrohungsdaten kombinieren, können diese Lücken schließen und sicherstellen, dass kritische Angriffe nicht unentdeckt bleiben. Wenn Sie wissen möchten, wie gut Ihr SIEM gegen reale Angreifer schützt, fragen Sie sich: Wann haben Sie das letzte Mal Ihre Erkennungen validiert?

Wollen Sie mehr über unsere Services und Lösungen zu erfahren? Zögern Sie nicht, uns zu kontaktieren.

Kontakt

Jan Bervar
Jan Bervar Group Security Architect
Whitepaper

SOC: Cyberabwehr im Fokus

244 Tage... Wie konnten wir das übersehen? Herkömmliche Technologien sind oft nicht in der Lage, ausgefeilte Cyberangriffe zu erkennen, was dazu führt, dass Sicherheitsverletzungen im […]
Weiterlesen