Security Information and Event Management (SIEM) und Security Orchestration, Automation and Response (SOAR) bilden das operative Herzstück eines modernen Security Operations Centers (SOC). In kommerziellen Umgebungen ist ihre Bereitstellung eine Frage der Anbieterauswahl, des Integrationsaufwands und der operativen Disziplin. In militärischen und Verteidigungsumgebungen erfordert dieselbe Bereitstellung die Navigation von Klassifizierungsgrenzen, Air-Gap-Beschränkungen, Multi-Level-Security (MLS)-Datenhandling und Latenzanforderungen, für die kommerzielle Sicherheitstools nicht konzipiert wurden.

Dieser Artikel untersucht, wie SIEM- und SOAR-Integration in einem militärischen Kontext aussieht — welche Log-Quellen die Plattform speisen, wie automatisierte Reaktions-Playbooks unter Berücksichtigung der menschlichen Genehmigungsanforderungen für hochwirksame Aktionen gestaltet werden müssen, und was die architektonischen Unterschiede zwischen Einsätzen in klassifizierten und nicht klassifizierten Netzwerken sind.

SIEM-Grundlagen im militärischen Kontext (BSI/BMVg)

Ein SIEM aggregiert Log- und Ereignisdaten aus dem gesamten Netzwerk, normalisiert sie in ein gemeinsames Schema und wendet Korrelationsregeln an, die Muster erkennen, die auf Sicherheitsvorfälle hinweisen. Das Wertversprechen ist klar: Keine einzelne Log-Quelle erzählt die vollständige Geschichte eines Angriffs, aber die Korrelation von Logs aus mehreren Quellen — Netzwerk, Endpoint, Anwendung, Identität — kann die vollständige Angriffskette aufdecken.

Netzwerk-Log-Quellen umfassen Firewall-Logs (Verbindungsannahme/-ablehnung, Port-Scans, Geolokalisierungsanomalien), Router- und Switch-Logs (Routing-Tabellenänderungen, Spanning-Tree-Ereignisse), DNS-Abfrage-Logs (Beaconing-Muster, Domain-Generierungsalgorithmus-Erkennung, neu registrierte Domains), Proxy-Logs sowie IDS-Warnungen.

Endpoint-Log-Quellen stammen aus Windows-Ereignisprotokollen (Authentifizierungsereignisse, Prozesserstellung, Erstellung geplanter Aufgaben, Registry-Modifikationen, PowerShell-Ausführung), Linux auditd-Logs (Syscall-Auditing, Privilegieneskalation, Dateizugriff) und EDR-Agenten. In klassifizierten Umgebungen wird die EDR-Auswahl durch den Akkreditierungsstatus eingeschränkt — nicht alle kommerziellen EDR-Produkte sind für den Einsatz in klassifizierten Netzwerken zugelassen.

Gemäß den BSI-Grundschutz-Anforderungen und BMVg-Vorgaben müssen SIEM-Plattformen in Bundeswehr-Umgebungen On-Premises betrieben werden können, ohne Cloud-Abhängigkeiten. Splunk Enterprise und IBM QRadar erfüllen diese Anforderung; beide unterstützen air-gapped Deployment — eine harte Voraussetzung für Netzwerke, die VS-NfD (Verschlusssache — Nur für den Dienstgebrauch) oder höher klassifizierte Daten verarbeiten.

SOAR: Playbook-Design für militärische Anwendungsfälle

SOAR erweitert SIEM durch Automatisierung des Reaktions-Workflows — nicht nur einen Vorfall erkennen, sondern Maßnahmen ergreifen. Der Umfang automatisierter Aktionen ist der Punkt, an dem sich militärische Deployments am stärksten von kommerziellen unterscheiden. In einem kommerziellen SOC ist vollautomatisches Containment — Sperren einer IP an der Firewall, Isolieren einer Workstation vom Netzwerk — bei Erkennungen mit hoher Konfidenz akzeptabel. In einer militärischen Umgebung können automatisierte Eindämmungsaktionen operative Konsequenzen haben, die ohne menschliche Überprüfung inakzeptabel sind.

Menschliche Genehmigungspunkte sind in militärischen SOAR-Playbooks für alle Aktionen, die die operative Fähigkeit beeinflussen, obligatorisch. Das Playbook-Design folgt einem gestuften Modell: Niedrig-Impact-Aktionen (Anreicherung eines Alerts mit Threat Intelligence, Erstellen eines Tickets, Benachrichtigung des Bereitschaftsanalysten) werden automatisch ausgeführt. Mittel-Impact-Aktionen können mit einem 15-minütigen Benachrichtigungsfenster für Operator-Override automatisiert werden. Hoch-Impact-Aktionen (Isolierung eines Netzwerksegments, Widerruf eines privilegierten Kontos, Quarantäne eines Endpoints) erfordern explizite menschliche Genehmigung vor der Ausführung.

Air-Gapped SIEM-Deployment

Ein air-gapped SIEM-Deployment — bei dem die SIEM-Infrastruktur keine Internetkonnektivität hat — ist die Baseline für jede klassifizierte Netzwerkumgebung. Dies bringt operative Herausforderungen mit sich, mit denen kommerzielle Deployments nicht konfrontiert sind.

Threat-Intelligence-Updates können nicht automatisch von Cloud-Diensten der Anbieter abgerufen werden. MISP (Malware Information Sharing Platform) oder eine kommerzielle CTI-Plattform, die im selben isolierten Netzwerk betrieben wird, muss als Intelligence-Quelle dienen. Threat Intelligence aus externen Quellen gelangt über eine Datendiode oder eine genehmigte Cross-Domain-Solution (CDS) ein — nicht über eine Internetverbindung.

Kernaussage: Das Log-Volumen in militärischen Netzwerken wird bei der SIEM-Dimensionierung systematisch unterschätzt. Ein einzelnes Netzwerk mit aktiviertem umfassendem Endpoint-Logging wird 50–200 GB Log-Daten pro Tag generieren. Volumenbasierte SIEM-Lizenzierungsmodelle werden bei diesem Maßstab sehr teuer. Das knotenbasierte Lizenzierungsmodell von Elastic Security ist für hochvolumige militärische Deployments oft kosteneffizienter.

Automatisierte Reaktion auf bekannte IOCs: Erkennungs- bis Isolierungskette

Der häufigste SOAR-Automatisierungsanwendungsfall in militärischen Umgebungen ist die automatisierte Reaktion auf bekannte Indicators of Compromise (IOCs). Der Workflow demonstriert, wie SIEM und SOAR in der Praxis integriert werden.

Erkennung: Das SIEM empfängt ein DNS-Abfrage-Log vom rekursiven Resolver des Netzwerks. Die abgefragte Domain stimmt mit einem Eintrag in der IOC-Datenbank überein (bekannte Command-and-Control-Domain eines staatlich gesponserten Bedrohungsakteurs). Die SIEM-Korrelationsregel löst aus und generiert einen Alert mit Schweregrad HIGH und einer Referenz auf die IOC-Quelle und den Konfidenzgrad.

Anreicherung und Genehmigung: Das SOAR-Playbook empfängt den Alert über API, reichert ihn mit CTI-Kontext an und eskaliert an einen Analysten mit einem vorausgefüllten Incident-Ticket und empfohlener Aktion. Der Analyst bestätigt die Isolierungsaktion — das SOAR isoliert den Endpoint über die EDR-API, setzt die IOC auf die DNS-Sinkhole-Blockliste und erstellt eine Beweissicherungsaufgabe. Alle Aktionen werden mit Operator-Identität, Zeitstempel und Autorisierungsreferenz protokolliert.

Klassifizierungsbewusstes Logging in gemeinsam genutztem SIEM

Viele Militärorganisationen betreiben mehrere Netzwerke auf verschiedenen Klassifizierungsebenen. In einigen Architekturen überwacht ein gemeinsam genutztes SIEM alle davon. Dies schafft ein Multi-Level-Security (MLS)-Problem: Log-Daten aus dem GEHEIM-Netzwerk dürfen für Analysten mit nur offenem Zugang nicht sichtbar sein.

Datensegregierungsansätze umfassen den Einsatz separater SIEM-Instanzen pro Klassifizierungsebene (architektonisch einfach, aber teuer und operativ aufwändig), die Nutzung eines einzelnen SIEM mit strengen rollenbasierten Zugriffskontrollen und Daten-Tagging (komplex korrekt zu implementieren, aber operativ effizient) oder eine hierarchische SIEM-Architektur, bei der klassifizierte SIEM-Instanzen bereinigtes, herabgestuftes Alert-Material an ein nicht-klassifiziertes Master-Dashboard über einen einwegigen CDS weiterleiten. Audit-Logging aller Analystenanfragen gegen klassifizierte SIEM-Indizes ist obligatorisch.