· Rexoma Team · IT-Sicherheit  · 6 min read

SIEM für KMU: Sicherheitsvorfälle frühzeitig erkennen mit Wazuh

Angriffe bleiben im Durchschnitt über 200 Tage unentdeckt. Ein SIEM-System wie Wazuh gibt auch kleinen IT-Teams die nötige Sichtbarkeit – ohne Enterprise-Budget.

Angriffe bleiben im Durchschnitt über 200 Tage unentdeckt. Ein SIEM-System wie Wazuh gibt auch kleinen IT-Teams die nötige Sichtbarkeit – ohne Enterprise-Budget.

Wenn ein Angreifer in ein Unternehmensnetzwerk eindringt, dauert es im Schnitt mehr als 200 Tage, bis der Vorfall bemerkt wird – so die Erkenntnisse aus dem IBM Cost of a Data Breach Report. In dieser Zeit kopieren Kriminelle Kundendaten, verschlüsseln Backups und legen Weichen für einen späteren Ransomware-Angriff. Ein SIEM-System (Security Information and Event Management) schließt genau diese Lücke: Es sammelt Logs aus der gesamten IT-Infrastruktur, korreliert Ereignisse und schlägt Alarm, bevor Schaden entsteht. Mit Wazuh steht kleinen und mittleren Unternehmen in Dresden und Sachsen eine leistungsfähige Open-Source-Lösung zur Verfügung, die auch ohne Enterprise-Budget funktioniert.

Was ist ein SIEM und warum brauchen KMU es?

SIEM steht für die Kombination aus zwei Disziplinen:

  • SIM (Security Information Management): Langzeitarchivierung von Sicherheitslogs für Compliance und Forensik
  • SEM (Security Event Management): Echtzeit-Korrelation von Ereignissen und automatische Alarmierung

Ohne SIEM sehen IT-Verantwortliche immer nur Ausschnitte: Der Firewall-Admin schaut ins OPNsense-Log, der Windows-Admin prüft den Eventviewer, der Serveradmin liest den syslog. Niemand sieht das Gesamtbild. Ein Angreifer, der sich nach einem erfolgreichen Phishing-Angriff lateral durch das Netzwerk bewegt, hinterlässt in jedem dieser Silos einzelne, unscheinbare Spuren. Erst die Korrelation über alle Quellen hinweg macht das Angriffsmuster sichtbar.

Für ostdeutsche KMU kommt ein weiterer Treiber hinzu: Die NIS2-Richtlinie fordert von betroffenen Unternehmen unter anderem die Einführung von Systemen zur Erkennung von Sicherheitsvorfällen. Ein SIEM ist dabei ein zentrales Werkzeug, um diese Pflicht technisch nachweisbar zu erfüllen.

Wazuh: Open-Source-SIEM für KMU

Wazuh ist eine kostenlose, quelloffene Sicherheitsplattform, die aus dem bekannten OSSEC-Projekt hervorgegangen ist. Sie kombiniert mehrere Sicherheitsfunktionen in einer Lösung:

Was Wazuh kann

  • Log-Aggregation: Sammelt Logs von Windows-Rechnern, Linux-Servern, Firewalls, Switches, Cloud-Diensten und Webanwendungen
  • Intrusion Detection (HIDS): Erkennt verdächtige Prozesse, Rootkits, Dateiveränderungen und fehlgeschlagene Anmeldeversuche direkt auf den Endpunkten
  • Vulnerability Detection: Gleicht installierte Software automatisch gegen bekannte CVE-Datenbanken ab und zeigt offene Schwachstellen
  • File Integrity Monitoring (FIM): Meldet jede unerwartete Änderung an kritischen Systemdateien
  • Compliance-Dashboards: Vorgebaut für PCI-DSS, HIPAA, GDPR/DSGVO und NIS2-relevante Kontrollen
  • Active Response: Kann auf Vorfälle automatisch reagieren, z. B. eine IP-Adresse nach zu vielen fehlgeschlagenen SSH-Logins sperren

Architektur eines Wazuh-Deployments

Ein typisches Wazuh-Setup in einem KMU besteht aus drei Komponenten:

  1. Wazuh Manager (Server): Empfängt und analysiert alle Log-Daten, führt Korrelationsregeln aus und erzeugt Alarme. Läuft auf einem Linux-Server – ein einfacher Ubuntu-Server mit 4 Cores und 8 GB RAM reicht für bis zu 50 Agenten.

  2. Wazuh Agents: Leichtgewichtige Software auf jedem zu überwachenden Endpunkt (Windows, Linux, macOS). Der Agent sammelt Logs und Systeminformationen und sendet sie verschlüsselt an den Manager.

  3. OpenSearch/Kibana (Visualisierung): Wazuh liefert eine eigene Web-Oberfläche mit Dashboards, Suche und Alarmübersicht. Bei Wazuh 4.x ist das vollständig in die Plattform integriert.

SIEM für KMU einrichten: Schritt-für-Schritt

Schritt 1: Anforderungen definieren

Bevor die Installation beginnt, sollten Sie klären:

  • Welche Systeme sollen überwacht werden? (Server, Clients, Firewalls, NAS)
  • Wie lange müssen Logs aufbewahrt werden? (DSGVO, Branchenvorgaben, NIS2 – häufig 12 Monate)
  • Wer reagiert auf Alarme? (internes IT-Team, externer IT-Dienstleister)

Schritt 2: Wazuh-Server installieren

Wazuh stellt ein Installationsskript bereit, das den gesamten Stack (Manager, Indexer, Dashboard) automatisch einrichtet:

curl -sO https://packages.wazuh.com/4.x/wazuh-install.sh
bash wazuh-install.sh -a

Für Produktivumgebungen empfiehlt sich eine dedizierte VM oder ein separater Server. In Sachsen setzen viele KMU Wazuh auf einem lokalen Linux-Server im eigenen Rechenzentrum ein – das hält alle Logdaten im Haus und erfüllt DSGVO-Anforderungen ohne Cloud-Risiko.

Schritt 3: Agenten ausrollen

Agenten lassen sich über das Wazuh-Dashboard mit einem einzeiligen Befehl installieren. Für Windows:

Invoke-WebRequest -Uri https://packages.wazuh.com/4.x/windows/wazuh-agent-4.x.x.msi -OutFile wazuh-agent.msi
msiexec /i wazuh-agent.msi WAZUH_MANAGER="192.168.1.10"

Für größere Windows-Umgebungen kann der Agent über Gruppenrichtlinien (GPO) oder Software-Deployment-Tools automatisiert ausgerollt werden.

Schritt 4: Log-Quellen anbinden

Neben den Agenten können externe Quellen per Syslog oder API angebunden werden:

  • OPNsense/pfSense Firewall: Syslog-Export in Wazuh
  • Microsoft 365: Wazuh bietet einen Office 365-Integrations-Modul
  • Nginx/Apache Webserver: Standard-Log-Parsing ist in Wazuh bereits enthalten

Schritt 5: Alarmregeln konfigurieren

Wazuh kommt mit über 3.000 vordefinierten Erkennungsregeln. Wichtige Prioritäten für KMU:

  • Brute-Force-Erkennung auf SSH, RDP und VPN
  • Privilegien-Eskalation (plötzlich Administrator-Rechte auf einem normalen Konto)
  • Unbekannte Prozesse auf Servern
  • Dateiänderungen in kritischen Verzeichnissen (z. B. C:\Windows\System32)
  • Neue lokale Benutzerkonten außerhalb der Geschäftszeiten

Schritt 6: Benachrichtigungen einrichten

Alarme können per E-Mail, Slack, Microsoft Teams oder Webhook zugestellt werden. Für ein kleines IT-Team in einem Dresdner KMU ist eine Teams-Integration besonders praktisch: Kritische Alarme erscheinen direkt im IT-Kanal und können von unterwegs bestätigt werden.

Typische Erkennungsszenarien in der Praxis

Szenario 1: Ransomware-Vorläufer erkennen Ein Mitarbeiter öffnet eine Phishing-E-Mail, ein PowerShell-Skript wird ausgeführt. Wazuh erkennt die verdächtige PowerShell-Ausführung (Regel: powershell -EncodedCommand) und schlägt innerhalb von Sekunden Alarm – bevor die Ransomware Dateien verschlüsselt.

Szenario 2: Laterale Bewegung stoppen Ein kompromittiertes Konto meldet sich nachts um 3 Uhr an drei verschiedenen Servern an. Wazuh korreliert die Anmeldeereignisse über alle Agenten, erkennt das ungewöhnliche Muster und generiert einen Hochrisiko-Alarm.

Szenario 3: Schwachstellen priorisieren Wazuh scannt kontinuierlich alle Agenten auf veraltete Software und zeigt im Dashboard, welche Systeme kritische CVEs aufweisen – priorisiert nach CVSS-Score. Das gibt IT-Teams in Sachsen einen sofortigen Überblick, wo Updates am dringendsten gebraucht werden.

Wazuh vs. kommerzielle SIEM-Lösungen

KriteriumWazuh (Open Source)Kommerzielle SIEMs
LizenzkostenKostenlos5.000–50.000 €/Jahr
BetriebsaufwandMittelGering bis mittel
FunktionsumfangSehr gut für KMUUmfangreicher (ML, Threat Intel)
SupportCommunity + kommerziellHerstellersupport
DatensouveränitätVollständig (on-premise)Oft Cloud-basiert

Für die meisten KMU in Deutschland ist Wazuh die sinnvollste Einstiegslösung. Der Funktionsumfang deckt die gängigen KMU-Anforderungen vollständig ab, und On-Premise-Betrieb bedeutet: keine Log-Daten verlassen das Unternehmensnetzwerk.

Unterstützung bei SIEM-Einführung in Dresden

Sie möchten die Sicherheit Ihrer IT verbessern und Angriffe frühzeitig erkennen? Rexoma IT unterstützt KMU in Dresden und Sachsen bei der Planung, Installation und Konfiguration von Wazuh SIEM. Wir richten das System auf Ihre Infrastruktur ab, definieren sinnvolle Alarmregeln und schulen Ihr Team im Umgang mit Sicherheitsvorfällen – damit Sie nicht erst nach 200 Tagen wissen, dass etwas nicht stimmt.


FAQ: SIEM für KMU

Wie viele Mitarbeiter braucht ein Unternehmen, um ein SIEM zu betreiben? Ein SIEM wie Wazuh lässt sich auch mit einem kleinen IT-Team oder einem externen IT-Dienstleister betreiben. Wichtig ist, dass jemand die Alarme regelmäßig prüft und auf kritische Ereignisse reagieren kann. Managed-SIEM-Services bieten hier eine gute Alternative zum Eigenbetrieb.

Wie viel Speicherplatz brauche ich für Wazuh-Logs? Das hängt von der Anzahl der Endpunkte und der Retention-Zeit ab. Als Faustregel gilt: Für 20 Endpunkte und 90 Tage Aufbewahrung sind 500 GB–1 TB ausreichend. Für 12 Monate Retention (NIS2) sollten mindestens 2–4 TB eingeplant werden.

Ist Wazuh DSGVO-konform? Ja, da Wazuh vollständig on-premise betrieben werden kann. Die Logdaten verlassen das Unternehmensnetzwerk nicht. Für die DSGVO-Konformität ist außerdem eine interne Datenschutz-Folgenabschätzung empfehlenswert, da Mitarbeiter-Logs verarbeitet werden.

Kann Wazuh auch Cloud-Dienste wie Microsoft 365 überwachen? Ja, Wazuh bietet Module für Microsoft 365, AWS, Google Cloud und Azure. Damit lassen sich auch Cloud-Aktivitäten wie verdächtige Admin-Anmeldungen oder Massendownloads aus SharePoint in das zentrale SIEM integrieren.

Was kostet die Einführung eines SIEM für ein KMU? Die Softwarekosten für Wazuh sind null (Open Source). Die tatsächlichen Kosten entstehen durch Hardware oder VM-Hosting, initiale Einrichtung und laufende Pflege. Ein externer IT-Dienstleister kann die Einrichtung in der Regel innerhalb von ein bis drei Tagen abschließen.

Back to Blog

Related Posts

View All Posts »