Compliance-Lexikon · Praxis
Audit Trail aufbauen: NIS-2, DORA und ISO 27001 konkret
Ein Audit Trail ist mehr als ein Log. Dieser Artikel zeigt, welche Ereignisse protokolliert werden müssen, wie lange Logs aufzubewahren sind und warum Zeitstempel-Konsistenz ein häufiger Audit-Fehler ist.
Was Auditoren konkret prüfen
Bei einer Prüfung von Audit Trail fragt der Auditor nicht nach dem Vorhandensein einer Richtlinie, sondern nach dem Nachweis der Wirksamkeit. Das BAM-Objekt CROSS-AT-01 definiert im Evidence-Feld, was konkret vorgelegt werden muss.
Häufige Fehler
- Logs werden zu früh gelöscht (< 1 Jahr)
- Logs sind nicht vor Manipulation geschützt
- Kein zentrales Log-Management
- Zeitstempel inkonsistent (keine NTP-Synchronisation)
Praxis-Tipp
Für Audit Trail gilt: Evidence muss kontinuierlich entstehen, nicht punktuell vor dem Audit. Wer erst kurz vor dem Audit mit der Evidence-Sammlung beginnt, hat für den gesamten Prüfungszeitraum eine Lücke.
Zentrales Log-Management aufbauen
Verteilte Logs auf einzelnen Systemen sind kein Audit Trail – sie sind eine Sammlung unverbundener Protokolldateien. Ein zentrales Log-Management-System (SIEM, Graylog, ELK Stack) aggregiert Logs aus allen Quellen, normalisiert Zeitstempel auf UTC und schützt die Logs vor lokaler Manipulation. Für ein KMU ist bereits ein einfaches zentrales Log-Repository mit Write-Once-Eigenschaft ausreichend.
Was im Audit vorgelegt werden muss
Der Auditor erwartet: Nachweis der erfassten Log-Quellen (welche Systeme protokollieren was), Konfiguration der Aufbewahrungsdauer, NTP-Konfiguration als Screenshot oder Systemauszug und – bei DORA-pflichtigen Unternehmen – den Nachweis, dass Logs für eine IKT-Vorfallrekonstruktion ausreichen. Das BAM-Objekt CROSS-AT-01 enthält alle Evidence-Anforderungen im Detail.
Nächster Schritt
Stresstest starten
Kostenloser Compliance-Stresstest auf Basis der BAM-Objekte – unverbindlich, 20 Minuten.
Die strategische Einordnung – warum Audit Trail langfristig mehr als ein Compliance-Pflichtprogramm ist – findet sich auf Ebene 3.