Case Study

Aufbau einer cloudbasierten SIEM-Lösung für IT-Sicherheit und Compliance

Ausgangssituation

Ein mittelständisches Unternehmen verfügte über keine zentrale Lösung zur Überwachung seiner IT-Infrastruktur. Sicherheitsrelevante Ereignisse aus verschiedenen Systemen wurden nicht systematisch erfasst oder ausgewertet.

Die Infrastruktur bestand aus:

  • Microsoft 365-Tenant mit Entra ID und SharePoint
  • Mehreren Windows-Endgeräten und Servern
  • Netzwerkkomponenten ohne zentrale Log-Erfassung
  • Keiner strukturierten Alarmierung bei sicherheitskritischen Ereignissen

Die Situation genügte wachsenden Anforderungen an Informationssicherheit und Compliance nicht mehr.

Festgestellte Probleme

Bei der Analyse zeigten sich mehrere typische Herausforderungen:

Keine Transparenz über Ereignisse

  • Anmeldeversuche und Konfigurationsänderungen blieben unbemerkt
  • Kein zentraler Überblick über die Systemlandschaft

Fehlende Compliance-Grundlage

  • Keine nachweisbare Log-Aufbewahrung
  • TISAX- und ISMS-Anforderungen nicht belegbar

Keine proaktive Alarmierung

  • Sicherheitsvorfälle erst reaktiv bemerkt
  • Kein automatisierter Benachrichtigungsmechanismus

Fehlende Härtung der Infrastruktur

  • Serverzugänge ohne konsequente Zugangsbeschränkung
  • Kein Schutz gegen wiederholte Anmeldeversuche

Zielsetzung

Zentrale Erfassung sicherheitsrelevanter Ereignisse
Revisionssichere Aufbewahrung (365 Tage)
Automatische Alarmierung bei kritischen Ereignissen
Nachweisbare Compliance-Grundlage

Lösung

Es wurde eine selbst betriebene SIEM-Lösung auf Basis von Wazuh aufgebaut und in die bestehende Microsoft-365-Infrastruktur integriert.

1

Wazuh-Deployment

Deployment von Wazuh auf einem dedizierten Cloud-Server (Ubuntu 22.04 LTS) als zentrale SIEM-Plattform für Log-Ingestion, Analyse und Alarmierung.

2

Microsoft-365-Integration

Anbindung von Microsoft 365, Entra ID und SharePoint zur Log-Ingestion. Sicherheitsrelevante Ereignisse aus dem gesamten M365-Tenant werden zentral erfasst.

3

Aufbewahrung und Alarmierung

Konfiguration einer 365-Tage-Aufbewahrungsrichtlinie für alle Log-Daten sowie Einrichtung automatischer E-Mail-Alarmierung ab kritischem Schweregrad.

4

Server-Härtung

SSH-Key-Only-Authentifizierung, Fail2ban, deaktivierte Passwortanmeldung. Dashboard-Zugriff ausschließlich über verschlüsselten SSH-Tunnel. Aktivierung automatischer Sicherheitsupdates.

Sicherheitsarchitektur

Die eingesetzte Lösung ist so aufgebaut, dass:

  • Das Dashboard nicht öffentlich erreichbar ist
  • Alle eingehenden Verbindungen auf das notwendige Minimum beschränkt sind
  • Serverupdates automatisch und ohne manuellen Eingriff eingespielt werden
  • Log-Daten unveränderlich gespeichert und nicht ohne Weiteres löschbar sind

Ergebnis

Nach der Inbetriebnahme ergaben sich mehrere Vorteile:

Vollständige Sichtbarkeit

Alle sicherheitsrelevanten Ereignisse aus M365, Entra ID und Serverinfrastruktur zentral erfasst

Proaktive Alarmierung

Automatische E-Mail-Benachrichtigung bei kritischen Ereignissen

Compliance-Nachweis

Revisionssichere Log-Aufbewahrung über 365 Tage, TISAX- und ISMS-konform

Gehärtete Infrastruktur

Minimale Angriffsfläche, automatisierte Sicherheitsupdates

Fazit & Nutzen

Viele Unternehmen verfügen über keine strukturierte Überwachung ihrer IT-Infrastruktur, obwohl regulatorische Anforderungen und die Bedrohungslage dies zunehmend erfordern.

Durch den Aufbau einer zentralen SIEM-Lösung konnte die Sichtbarkeit auf sicherheitsrelevante Ereignisse deutlich verbessert, eine nachweisbare Compliance-Grundlage geschaffen und die Gesamtsicherheit der IT-Infrastruktur erhöht werden.

Haben Sie den vollen Überblick über Ihr Netzwerk?

Sicherheit beginnt mit Sichtbarkeit. Lassen Sie uns prüfen, wie wir kritische Ereignisse in Ihrer IT-Infrastruktur frühzeitig erkennen können.

Jetzt Erstgespräch vereinbaren
Mo-Fr 9:00-17:00 Uhr
In Notfällen immer erreichbar
E-Mail schreiben
hallo@kopffrei.it
Sofort anrufen
030 / 814 56 99 60
Signal
Sichere Nachricht
Kontaktformular
Ausführliche Anfrage
E-Mail
Anrufen
Signal
Kontakt