siem
Die klassische Logik eines SIEM-Systems lässt sich wie folgt vereinfachen: Tritt erst Ereignis A ein und dann Ereignis B, so kann dies auf einen Angriff hindeuten, und ein IT-Sicherheitsexperte sollte benachrichtigt werden. Unter heutigen Umständen versagt dieses einfache Szenario jedoch zunehmend. Erst kürzlich analysierten unsere Experten einen aufsehenerregenden Vorfall: Angreifer manipulierten die Update-Infrastruktur des beliebten Programms Notepad++ und verbreiteten Malware über den Update-Mechanismus. Es ist einfach unmöglich, im Voraus Regeln zu erstellen, die speziell darauf ausgelegt sind, solchen Szenarien zu begegnen.
Die Angriffe werden immer ausgefeilter: Hacker verwenden legitime Tools, sie greifen die Lieferkette an, manipulieren dazu externe Software, dehnen Angriffe über einen längeren Zeitraum aus und tarnen ihr Vorgehen als normale Aktivitäten. Mit anderen Worten: Es ist kein „Einbruch“ in die Infrastruktur, sondern die Angreifer melden sich meistens dort an und verwenden legitime Software. Darum werden die klassischen, festen Regeln entweder nicht ausgelöst oder generieren massenhaft Fehlalarme. Inzwischen sind flexiblere Korrelationsszenarien erforderlich.
Dynamisch aktualisierte SIEM-Inhalte
Korrelationsinhalte sind heute kein statisches Regelwerk mehr, sondern ein Prozess: Sie entwickeln sich ständig weiter und passen sich aktuellen Bedrohungen an. Allein im Jahr 2025 haben wir 55 Updates mit Regelpaketen für verschiedene Versionen und Sprachen unseres Kaspersky SIEM-Systems veröffentlicht. In nur einem Jahr haben wir 10 neue Regelpakete sowie 250 Erkennungsregeln und zahlreiche Verbesserungen für bestehende Inhalte hinzugefügt. Im laufenden Jahr haben wir bereits 43 neue Regeln hinzugefügt und weitere 63 verfeinert. Summa summarum sind dies über 850 Regeln, die einen erheblichen Teil des MITRE ATT&CK-Frameworks abdecken.
Die Kaspersky SIEM-Regeln basieren auf den Erkenntnissen unserer Experten, die reale, aktuelle Angriffe analysieren: Wir stützen uns hauptsächlich auf die Ergebnisse unseres Managed Detection and Response-Dienstes (MDR) und unserer Bedrohungsforschung. Daher decken unsere Regeln auch Szenarien ab, die brandneue Angriffsmethoden beinhalten – von Spionage bis zur Ausweitung von Berechtigungen. Wir erkennen auch neue Angriffstechniken wie beispielsweise ToolShell.
Zusätzlich zu den geplanten Updates veröffentlicht das Team regelmäßig sogenannten Emergency Content – Regelsätze für eine schnelle Reaktion auf neue und unerwartete Angriffsmethoden. Beispiel: Im Februar erschienen Erkennungsregeln für die Umgehung der Authentifizierung in Fortinet-Produkten über den SSO-Mechanismus: Angreifer nutzten speziell präparierte SAML-Anfragen, um ohne Anmeldeinformationen auf Systeme zuzugreifen.
Von Ereignissen zu Angriffsketten
Darüber hinaus beschreiben moderne SIEM-Regeln nicht mehr einzelne Ereignisse, sondern ganze Abfolgen von Aktionen. Die Szenarien basieren auf den verschiedenen Phasen eines Angriffs: vom ersten Zugriff über die Rechteausweitung bis hin zur Persistenz. Die Effektivität von Kaspersky SIEM wird durch die Integration mit Kaspersky EDR und dedizierten Regelsätzen für Active Directory optimiert. Dabei werden Dutzende von Szenarien zur Angriffserkennung in verschiedenen Phasen implementiert. Durch diesen Ansatz können wir nicht nur einzelne Signale sehen, sondern das gesamte Bild.
Integration und interne Sichtbarkeit
Eine weitere Möglichkeit, die Effektivität eines SIEM-Systems zu verbessern, besteht in der Erweiterung von Datenquellen. Ein klassisches SIEM aggregiert Ereignisse aus verschiedenen Infrastrukturebenen: von Protokollen bis hin zu Telemetriedaten aus Endpunkten und internen Systemen. Zusätzlich enthält unser SIEM-System spezielle Regelsätze für unsere anderen Lösungen (Kaspersky Security Center, Kaspersky Security for Mail Groups, Plattform K Anti-Targeted Attack). Dadurch können Administratoraktionen, Authentifizierung und Dienststatus überwacht werden. Das System ist also nicht nur ein Werkzeug für die Angriffserkennung, sondern auch für die Überwachung interner Aktivitäten.
SIEM ist also kein pures Regelwerk mehr, sondern hat sich zu einem Erkennungssystem entwickelt, das laufend aktualisiert wird. Die Wirksamkeit wird nicht durch die Anzahl der Funde bestimmt, sondern durch deren Relevanz, Kohärenz und dadurch, wie genau sie die tatsächlichen Aktionen der Angreifer widerspiegeln. Aktuelle Informationen zu unserer Kaspersky Unified Monitoring and Analysis Platform (SIEM) findest du auf der offiziellen Produktseite.
