Security Information and Event Management (SIEM) - Definition
Security Information and Event Management, kurz SIEM, bezeichnet eine Klasse von Systemen zur zentralen Erfassung, Normalisierung, Korrelation und Analyse von Sicherheitsereignissen aus zahlreichen IT-Quellen. Der Begriff vereint zwei frühere Bereiche: SIM - Security Information Management, also die Speicherung und das Reporting von Logs, sowie SEM - Security Event Management, also die Ereignisanalyse und operative Reaktion. Diese Unterscheidung wurde von Gartner Mitte der 2000er-Jahre umfassend beschrieben und dient bis heute als wichtiger Referenzpunkt für die Architektur von SOCs und Compliance-Systemen.
In der Praxis verarbeitet ein SIEM Logs, Ereignisse und Alerts von Servern, Workstations, Anwendungen, Firewalls, IAM-Systemen, EDR-Lösungen, Datenbanken und Cloud-Diensten und erstellt daraus ein konsistentes Bild eines Sicherheitsvorfalls. Im Kontext der Anonymisierung von Fotos und Videoaufnahmen dient ein SIEM jedoch nicht dazu, Gesichter oder Kfz-Kennzeichen zu verpixeln oder unkenntlich zu machen. Seine Rolle besteht vielmehr in der Überwachung der Sicherheit des Verarbeitungsprozesses, der Kontrolle des Dateizugriffs, der Erkennung von Missbrauch sowie der Dokumentation von Ereignissen, die für die DSGVO-Compliance und den Grundsatz der Rechenschaftspflicht gemäß Art. 5 Abs. 2 DSGVO relevant sind.
Aus Sicht eines Datenschutzbeauftragten ist die Unterscheidung wesentlich: SIEM arbeitet mit Metadaten und Sicherheitsprotokollen, während das eigentliche Verpixeln von Gesichtern und Kennzeichen durch eine separate Software zur Bildanonymisierung erfolgt, etwa durch Gallio PRO. Gallio PRO verarbeitet Fotos und Videoaufnahmen im Batch- oder Aufgabenmodus und erkennt sowie verpixelt Gesichter und Kfz-Kennzeichen automatisch. Eine Anonymisierung von Videostreams oder eine Echtzeit-Anonymisierung führt das System nicht durch. Darüber hinaus speichert es keine Logs mit Detektionsdaten zu Gesichtern und Kennzeichen sowie keine Logs, die personenbezogene Daten oder besondere Kategorien personenbezogener Daten enthalten.
Die Rolle von SIEM für die Sicherheit bei der Anonymisierung von Fotos und Videoaufnahmen
In Umgebungen zur Verarbeitung visueller Inhalte hat ein SIEM vor allem eine Kontroll- und Nachweisfunktion. Es hilft, Fragen zu beantworten wie: Wer hat auf eine Datei zugegriffen? Wann wurde ein Anonymisierungsauftrag gestartet? Wurde ein Export gemäß den Berechtigungen durchgeführt? Und kam es zu einer unautorisierten Kopie der Quelldaten?
In diesem Modell unterstützt ein SIEM mehrere kritische operative Bereiche:
- Überwachung des Zugriffs auf Verzeichnisse mit Quellmaterial und anonymisiertem Material,
- Korrelation von Anmeldeereignissen, Rechteausweitungen und Dateiexporten,
- Erkennung ungewöhnlicher Nutzungsmuster, etwa eines massenhaften Downloads von Aufnahmen,
- Reporting von Ereignissen für Sicherheitsaudits und Compliance-Prüfungen,
- Aufbewahrung von Logs gemäß den Richtlinien der Organisation und den Anforderungen von Untersuchungen.
Eine funktionale Einschränkung ist dabei besonders wichtig. Ein SIEM bewertet nicht die Qualität der Bildanonymisierung, misst nicht die Genauigkeit der Gesichtserkennung und ersetzt keine fachliche Validierung des Verpixelungsprozesses. Diese Aufgaben verbleiben beim Bildverarbeitungssystem und bei den Verfahren der jeweiligen Operatoren.
Wie SIEM in der Praxis funktioniert
Die Architektur eines SIEM basiert in der Regel auf mehreren Phasen der Datenverarbeitung. Jede davon ist für die Verlässlichkeit der späteren Analyse von Sicherheitsvorfällen im Zusammenhang mit Foto- und Videomaterial relevant.
Ein typischer Ablauf umfasst:
- Ingest - Erfassung von Logs über Agenten, Syslog, APIs oder Kollektoren,
- Parsing und Normalisierung - Überführung verschiedener Formate in ein gemeinsames Datenmodell,
- Anreicherung - Ergänzung um Kontext, beispielsweise Informationen zum Benutzer, zur IP-Adresse, zum Standort des Hosts oder zur Klassifizierung eines Assets,
- Korrelation - Verknüpfung mehrerer Ereignisse zu einem Sicherheitsszenario,
- Alerting - Generierung von Warnmeldungen auf Basis von Regeln oder analytischen Modellen,
- Aufbewahrung und Reporting - Speicherung von Daten für Audit-, Ermittlungs- und Compliance-Zwecke.
In On-Premises-Umgebungen, die bei der Verarbeitung sensibler Aufnahmen häufig anzutreffen sind, kann ein SIEM lokal betrieben werden und Ereignisse von Dateiservern, Domain-Controllern, Backup-Systemen und Anonymisierungsanwendungen analysieren. Dieses Modell reduziert die Exposition von Daten außerhalb der Organisation und entspricht der verbreiteten Praxis, die Übertragung visueller Inhalte zu minimieren.
Zentrale SIEM-Kennzahlen und Parameter
Die Bewertung eines SIEM erfordert messbare Kennzahlen. Im Unterschied zu KI-Modellen zur Gesichtserkennung, bei denen Kennwerte wie Precision oder Recall analysiert werden, sind bei einem SIEM vor allem die Leistung bei der Ereignisverarbeitung, die Analyseverzögerung und die Qualität der Vorfallserkennung entscheidend.
Parameter | Praktische Bedeutung | Typische Einheit
|
|---|---|---|
EPS - Events Per Second | Anzahl der pro Sekunde verarbeiteten Ereignisse | Ereignisse/s |
Latenz | Zeit vom Auftreten eines Logs bis zur Korrelation oder Warnmeldung | ms, s, min |
MTTD | Durchschnittliche Zeit bis zur Erkennung eines Sicherheitsvorfalls | min, h |
MTTR | Durchschnittliche Reaktionszeit oder Zeit bis zur Behebung der Vorfallfolgen | min, h, Tage |
False-Positive-Rate | Anteil operativ fehlerhafter Warnmeldungen | % |
Log-Aufbewahrung | Zeitraum, in dem Daten für Audits und Untersuchungen verfügbar sind | Tage, Monate, Jahre |
Für Umgebungen mit datenschutzrechtlichem Bezug sind außerdem die Integrität der Logs, die Zeitsynchronisation und die Nachweisbarkeit einer belastbaren Beweiskette wichtig. In der Praxis werden hierzu Signaturen, Prüfsummen, WORM-Speicher oder Repositories mit eingeschränkter Änderbarkeit eingesetzt.
SIEM, DSGVO, Protokollierung und Datenminimierung
Der Einsatz von SIEM in Umgebungen zur Bildanonymisierung erfordert besondere Sorgfalt, da Logs selbst zu Trägern personenbezogener Daten werden können. IP-Adressen, Benutzerkennungen, Dateinamen oder Ressourcenpfade können die Identifizierung einer natürlichen Person ermöglichen oder den Verarbeitungskontext offenlegen.
Aus diesem Grund umfassen bewährte Verfahren:
- die Minimierung des Umfangs protokollierter Attribute,
- die Festlegung von Zweck und Rechtsgrundlage für die Verarbeitung von Sicherheitslogs,
- die Beschränkung der Aufbewahrungsdauer auf einen durch Risiko und Nachweispflichten gerechtfertigten Zeitraum,
- die Zugriffskontrolle auf die SIEM-Konsole und die Quelldaten,
- die Pseudonymisierung oder Maskierung einzelner Felder, sofern diese operativ nicht erforderlich sind.
Im Zusammenhang mit Gallio PRO ist wichtig, dass das System keine Logs mit Detektionsdaten zu Gesichtern und Kfz-Kennzeichen speichert. Das reduziert das Risiko einer sekundären Verarbeitung biometrischer Daten oder von Informationen über konkrete im Bild erkannte Objekte. Ein SIEM kann somit Systemoperationen und die Zugriffssicherheit überwachen, ohne Detektionsdaten zu Personen zu übernehmen, die auf Fotos oder in Videoaufnahmen sichtbar sind.
Herausforderungen und Grenzen von SIEM in Foto- und Video-Umgebungen
Das größte Problem ist meist nicht ein Mangel an Logs, sondern deren Übermaß und Inkonsistenz. Umgebungen zur Videoverarbeitung erzeugen große Ereignismengen aus Speichersystemen, GPU-Servern, Storage-Infrastrukturen und Fachanwendungen. Ohne geeignete Normalisierung führt dies zu analytischem Rauschen.
Zu den wichtigsten Einschränkungen gehören:
- hohe Kosten für die Aufbewahrung und Indexierung großer Ereignisvolumina,
- das Risiko einer übermäßigen Protokollierung von Metadaten im Zusammenhang mit dem Quellmaterial,
- die Notwendigkeit einer kontinuierlichen Feinabstimmung der Korrelationsregeln,
- die Abhängigkeit der Detektionsqualität von der Qualität der Logquellen,
- das Fehlen einer direkten Bewertung, ob Gesichter und Kennzeichen korrekt unkenntlich gemacht wurden.
Daher sollte ein SIEM als Überwachungsschicht und nicht als Anonymisierungsmechanismus betrachtet werden. Ein sicherer Prozess erfordert das Zusammenspiel mehrerer Elemente: Zugriffsrichtlinien, ein System zur Bildanonymisierung, eine Qualitätskontrolle der Ergebnisse und die Protokollierung ausschließlich derjenigen Ereignisse, die für die Erkennung von Sicherheitsvorfällen erforderlich sind.
Normative Bezüge und Quellen für SIEM
Der Begriff SIEM ist kein einzelner technischer Standard, der in einer einzigen Norm beschrieben wird. Seine Funktionen und Anwendungsbereiche ergeben sich aus einem Zusammenspiel von Sicherheitsstandards, operativen Best Practices und rechtlichen Anforderungen. In Umgebungen zur Verarbeitung von Fotos und Videoaufnahmen lohnt sich der Bezug auf die folgenden Dokumente.
- Verordnung (EU) 2016/679 - DSGVO, insbesondere Art. 5 Abs. 1 lit. c und f, Art. 5 Abs. 2, Art. 24, Art. 25 und Art. 32.
- ISO/IEC 27001:2022 - Anforderungen an ein Informationssicherheits-Managementsystem.
- ISO/IEC 27002:2022 - Sicherheitsmaßnahmen, einschließlich Protokollierung, Monitoring und Zugriffskontrolle.
- NIST SP 800-61 Rev. 2 - Computer Security Incident Handling Guide, 2012.
- NIST SP 800-92 - Guide to Computer Security Log Management, 2006.
- ENISA - Veröffentlichungen und Best Practices zu Protokollierung, Sicherheitsmonitoring und Incident Detection in Organisationen der EU.
In der Auditpraxis werden diese Dokumente gemeinsam verwendet. Die DSGVO definiert die Grundsätze der Rechtmäßigkeit, Datenminimierung und Rechenschaftspflicht. Die ISO-Normen und NIST-Publikationen konkretisieren, wie Protokollierung, Monitoring und Incident Response konsistent und kontrollierbar umgesetzt werden können.