Sicherheitsmonitoring im Unternehmen – IDS, SIEM und Schwachstellenanalyse

Inhalt in Kürze

• 250.000 neue Schadprogramm-Varianten registriert das BSI pro Tag – ohne Monitoring bleiben Angriffe oft wochenlang unentdeckt.
• IDS, SIEM und Schwachstellenscanner bilden zusammen das Fundament für wirksames Sicherheitsmonitoring.
• Laut BSI-Lagebericht 2025 erfüllen KMU im Schnitt nur 56 % der Grundanforderungen an Cybersicherheit.
• Art. 32 DSGVO fordert Maßnahmen zur Erkennung von Sicherheitsvorfällen – Monitoring ist keine Kür, sondern Pflicht.

Ein Angreifer ist im Schnitt 200 Tage in einem Unternehmensnetzwerk aktiv, bevor er entdeckt wird. 200 Tage, in denen Daten abfließen, Zugänge kompromittiert und Hintertüren eingebaut werden. Der Grund: fehlende Überwachung.

Sicherheitsmonitoring bedeutet, die eigene IT-Infrastruktur rund um die Uhr auf Anomalien zu prüfen. Nicht mit einem einzelnen Tool, sondern mit einem abgestimmten System aus Angriffserkennung, Log-Analyse und Schwachstellenmanagement. Wir zeigen, wie das auch für KMU funktioniert.

Die drei Säulen des Sicherheitsmonitorings

IDS und IPS: Angriffe erkennen und stoppen

Ein Intrusion Detection System (IDS) überwacht den Netzwerkverkehr und sucht nach Mustern, die auf Angriffe hindeuten – etwa ungewöhnliche Datenströme, bekannte Angriffssignaturen oder verdächtige Verbindungen zu externen Servern.

Ein Intrusion Prevention System (IPS) geht einen Schritt weiter: Es blockiert schädlichen Datenverkehr automatisch. Moderne Lösungen kombinieren beide Funktionen.

SIEM: Das Gesamtbild verstehen

SIEM-Systeme (Security Information and Event Management) sammeln Log-Daten aus Firewalls, Servern, Endgeräten und Cloud-Diensten und korrelieren sie zu einem Gesamtbild. Wo ein einzelnes IDS einen auffälligen Login meldet, erkennt das SIEM den Zusammenhang: derselbe Nutzer hat sich zeitgleich aus Hamburg und Russland angemeldet.

Für KMU gibt es heute cloudbasierte SIEM-Dienste, die ohne eigenes Security Operations Center (SOC) funktionieren. Tools wie Wazuh (Open Source) oder Managed SIEM von spezialisierten Anbietern senken die Einstiegshürde erheblich.

Schwachstellenscanner: Lücken finden, bevor Angreifer es tun

Schwachstellenscanner prüfen Ihre Systeme automatisiert auf bekannte Sicherheitslücken – veraltete Software, unsichere Konfigurationen, fehlende Patches, schwache Passwörter. Die bekanntesten Tools:

• OpenVAS – Open Source, kostenfrei, umfassende Netzwerkscans
• Nessus – kommerziell, benutzerfreundlich, ab ca. 2.500 Euro pro Jahr
• Qualys – cloudbasiert, skalierbar, Integration mit anderen Sicherheitslösungen

Ein regelmäßiger Penetrationstest ergänzt automatisierte Scans um die menschliche Perspektive – Tester denken wie Angreifer und finden Schwachstellen, die Scanner übersehen.

Was DSGVO und NIS2 verlangen

Art. 32 DSGVO fordert technische und organisatorische Maßnahmen, die dem Risiko angemessen sind. Dazu gehört ausdrücklich die Fähigkeit, Sicherheitsvorfälle zu erkennen. IDS, Log-Analyse und Schwachstellenmanagement sind anerkannte Maßnahmen.

Mit NIS2 kommen zusätzliche Pflichten: Risikomanagement, Meldepflichten bei Vorfällen und persönliche Haftung der Geschäftsführung für Cybersicherheitsmaßnahmen.

Aus der Praxis

In Deutschland ist es häufig so, dass die Datenschutzbehörden eine beratende Funktion haben. Viele Mandanten haben Angst, eine Datenpanne zu melden – aber es ist nicht wie beim Finanzamt.

Nils OehmichenDatenschutzberater bei frag.hugo

Sicherheitsmonitoring einführen: Schritt für Schritt

1. Bestandsaufnahme: Welche Systeme, Cloud-Dienste und Endgeräte sind im Einsatz? Wo fallen Log-Daten an?
2. Log-Quellen anbinden: Firewall, Active Directory, Cloud-Plattformen und Endpunkte an ein zentrales Log-Management anschließen.
3. Schwachstellenscan starten: Erstmaligen Scan mit OpenVAS oder Nessus durchführen. Kritische Lücken sofort schließen.
4. IDS/IPS einrichten: Netzwerk-basiertes IDS an zentralen Übergangspunkten platzieren. Regelsätze an Ihr Netzwerk anpassen.
5. SIEM aufsetzen: Log-Daten korrelieren, Alarmschwellen definieren, Eskalationsprozess festlegen.
6. Incident-Response-Plan erstellen: Wer wird informiert? Wer entscheidet? Wer meldet an die Behörde innerhalb von 72 Stunden?

Häufige Fragen (FAQ)

Was ist ein SIEM-System und brauchen KMU das?

SIEM (Security Information and Event Management) sammelt und korreliert Log-Daten aus verschiedenen Quellen, um Angriffe zu erkennen. Für KMU gibt es cloudbasierte SIEM-Lösungen ab ca. 500 Euro monatlich, die auch ohne eigenes Security-Team nutzbar sind.

Was ist der Unterschied zwischen IDS und IPS?

Ein IDS (Intrusion Detection System) erkennt Angriffe und schlägt Alarm. Ein IPS (Intrusion Prevention System) geht weiter und blockiert den schädlichen Datenverkehr automatisch. Moderne Lösungen kombinieren beide Funktionen.

Wie oft sollten Schwachstellenscans durchgeführt werden?

Mindestens einmal pro Quartal, besser monatlich. Bei Änderungen an der IT-Infrastruktur oder nach Bekanntwerden neuer Sicherheitslücken sollten zusätzliche Scans erfolgen.

Fordert die DSGVO Sicherheitsmonitoring?

Art. 32 DSGVO verlangt technische Maßnahmen zum Schutz personenbezogener Daten, darunter die Fähigkeit, Sicherheitsvorfälle zu erkennen. IDS, Log-Analyse und Schwachstellenscans sind anerkannte Maßnahmen, um diese Anforderung zu erfüllen.

Was kostet Sicherheitsmonitoring für ein KMU?

Einstiegslösungen mit Managed SIEM und regelmäßigen Schwachstellenscans beginnen bei 300 bis 800 Euro monatlich. Open-Source-Alternativen wie Wazuh oder OpenVAS senken die Lizenzkosten, erfordern aber internes Know-how.