Bachelor-Arbeit
Konzeption und prototypische Implementierung einer Open-Source-SIEM-Architektur für KMUs
Ein SIEM (Security Information and Event Management) ist ein zentrales System, das Sicherheitsereignisse aus Servern, Netzwerken und Anwendungen sammelt, auswertet und bei verdächtigen Vorgängen automatisch warnt. In meiner Bachelorarbeit habe ich eine modulare, Open-Source-basierte SIEM-Architektur entwickelt, die speziell auf die Bedürfnisse kleiner und mittlerer Unternehmen (KMU) zugeschnitten ist – bezahlbar, schlank, nachvollziehbar und praxisnah getestet. Die Arbeit wurde mit der Bestnote 1.0 bewertet.
Warum das für Ihr Unternehmen zählt
- Sichtbarkeit statt Blindflug: Zentralisierte Logs, klare Alarme, schnellere Reaktion.
- Compliance-ready: NIS2-, ISO 27001- und DSGVO-Basis mit nachvollziehbarer Dokumentation.
- Planbar skalierbar: Schrittweise Einführung statt Big-Bang-Projekt.
- Open Source als Vorteil: Keine Lizenzkosten, hohe Transparenz, volle Kontrolle.
Was der Auszug enthält
- Executive Summary zu Zielen, Methodik und Ergebnissen.
- Referenzarchitektur mit Wazuh, Rsyslog und GVM/OpenVAS (High-Level).
- Beispiel-Detektionen aus praxisnahen Angriffsszenarien.
- Compliance-Mapping auf NIS2/ISO/DSGVO (Auszug).
- Einführungspfad für KMU mit Quick Wins und Roadmap-Schritten.
Vertrauen durch Exzellenz
Diese Bachelor-Arbeit wurde mit der Bestnote 1.0 bewertet – ein Nachweis für methodische Tiefe, technische Präzision und reale Anwendbarkeit.
Sie zeigt, wie Open-Source-Sicherheitslösungen gezielt auf die Anforderungen kleiner und mittlerer Unternehmen zugeschnitten werden können – ohne unnötige Komplexität.
Jetzt auch als Unterstützung verfügbar
Aufbauend auf meiner Bachelorarbeit biete ich nun auch nebentätig Unterstützung für Unternehmen an, die ähnliche Ziele verfolgen – von der Einführung eines Open-Source-SIEM über technische Beratung bis hin zur Optimierung bestehender Security-Prozesse.
Wenn Sie Hilfe beim Aufbau einer schlanken, bezahlbaren und nachvollziehbaren Sicherheitsarchitektur wünschen, freue ich mich über Ihre Anfrage oder den fachlichen Austausch.
Auszug herunterladen
Laden Sie den Auszug meiner Arbeit herunter und erhalten Sie einen fundierten Einblick in Architektur, Use-Cases und Mehrwert einer Open-Source-SIEM-Lösung für KMU.
Kernpunkte des Projekts
- Architektur & Prototyp: Wazuh als zentrales SIEM-Baustein, Log-Aggregation (u. a. via Rsyslog), Anbindung agentenbasierter und agentenloser Quellen (z. B. Firewalls/Router), Integration von Schwachstellenmanagement (GVM/OpenVAS) und praxisnahes Dashboarding.
- Praxisnahe Tests: Simulation von webbasierten Angriffen, Malware-Infektionen, Insider-Bedrohungen und DoS-Szenarien zur Bewertung von Erkennung, Alarmierung und Reaktion.
- Regulatorik-Fokus: Ableitung von Anforderungen u. a. aus DSGVO/ISO 27001/NIS2 und Übertrag in technische Maßnahmen, Policies und Reporting.
- KMU-Tauglichkeit: Transparente Kosten, reduzierte Komplexität, dokumentierte Betriebsprozesse und klare Erweiterungspfade.
Warum das Thema (jetzt) relevant ist – besonders für KMU
KMU stehen unter Druck: zunehmende Angriffe, steigende regulatorische Pflichten und knappe Ressourcen. Klassische Enterprise-Lösungen sind oft zu teuer, zu komplex oder zu intransparent. Meine Arbeit adressiert genau diese Lücke:- Sichtbarkeit statt Blindflug: Ein SIEM konsolidiert Log-Daten aus Servern, Firewalls, Endpunkten und Anwendungen. So werden verdächtige Muster schneller erkennbar – egal ob Phishing-Folgen, verdächtige Admin-Aktionen oder lateral movement.
- Bezahlbare Compliance-Basis: Anforderungen aus NIS2/ISO/DSGVO verlangen Risikomanagement, Incident-Meldungen, Nachweise und Reporting. Die Architektur liefert prüfbare Evidenz und Berichtsbausteine, ohne ein Enterprise-Budget zu verbrennen.
- Skalierbar in kleinen Schritten: Start klein (kritische Systeme, wichtigste Logs), erweitere gezielt (Netzwerkkomponenten, Cloud-Workloads, SaaS). Die modulare Bauweise verhindert Big-Bang-Projekte und verteilt Kosten planbar.
- Betrieb, der zu KMU passt: Klare Runbooks, schlanke Dashboards, priorisierte Alarme (statt „Alert-Fatigue“) – und transparente Konfiguration, die sich dokumentieren und auditieren lässt.
- Unabhängigkeit & Zukunftssicherheit: Open-Source-Bausteine reduzieren Vendor-Lock-in, machen Sicherheitsentscheidungen nachvollziehbar und erlauben späteres Outsourcing/Insourcing ohne Komplettneubau.
Kurz: Was ist ein SIEM – und warum unverzichtbar?
Ein Security Information and Event Management (SIEM) sammelt sicherheitsrelevante Ereignisse aus vielen Quellen, korreliert sie und erzeugt Alarme mit Kontext. So erkennt man Vorfälle früher, reagiert gezielter und kann berichtsfähig dokumentieren, was passiert ist. Die kurze, nicht-technische Erklärung habe ich bereits in einem separaten Beitrag beschrieben: Hier entlang.Kurz gesagt: Ohne SIEM fehlt die zentrale Übersicht. Mit SIEM werden aus verstreuten Logs handlungsfähige Erkenntnisse.
Was meine Arbeit konkret liefert
- Anforderungskatalog für KMU: technisch & regulatorisch – priorisiert, umsetzbar, messbar.
- Referenzarchitektur: mit Wazuh als Kern, klaren Schnittstellen (u. a. Rsyslog/GVM), agentenbasiert und agentenlos (z. B. Sophos/MikroTik).
- Implementierungsleitfaden: Installations-, Integrations- und Tuning-Schritte, inklusive Dashboards und Alarmlogik.
- Wirksamkeitsnachweis: Ergebnisse aus Angriffssimulationen – wo das SIEM zu früh warnt, wo es robust erkennt, wo noch nachzuschärfen ist.
- Betriebs- und Compliance-Bausteine: Reporting-Vorlagen, Aufbewahrungs-/Rollenmodelle, Hinweise zur Audit-Readiness.
Für wen lohnt sich das Lesen (und Nachbauen)?
- KMU-Geschäftsführung & IT-Leitung: Umsetzbare Roadmap statt Buzzwords; Budget- und Compliance-Sicht im Blick.
- Admin/IT-Ops: Konkrete Integrationspfade, Best-Practices gegen Alert-Flut, Dashboards mit echtem Mehrwert.
- Security-Beauftragte/Auditoren: Nachvollziehbare Konfigurationen und Berichte als Prüf- und Nachweisgrundlage.
