Compliance-Lexikon · Audit
Audit Trail
[ˈɔːdɪt treɪl] · auch: Prüfpfad, Revisionspfad, Aktivitätsprotokoll
Ein Audit Trail ist eine chronologische, unveränderliche Aufzeichnung aller relevanten Systemereignisse, Zugriffshandlungen und Konfigurationsänderungen – so dass jede Aktion einer Person, einem System und einem Zeitpunkt zugeordnet werden kann.
Warum Audit Trail wichtig ist
Ein Audit Trail ist die technische Grundlage für Forensik, Incident Response und Compliance-Nachweis. Ohne lückenlosen Prüfpfad kann weder ein Angriff rekonstruiert noch eine Compliance-Anforderung nachgewiesen werden.
Wo Audit Trail gefordert wird
| Framework | Referenz | Anforderung |
|---|---|---|
| ISO 27001:2022 | A.8.15 | Protokollierung: Protokolle über Benutzeraktivitäten, Ausnahmen und Sicherheitsereignisse müssen erstellt und geschützt werden. |
| NIS-2 / BSIG | § 30 Abs. 2b | Vorfallmanagement erfordert lückenlose Protokollierung zur Rekonstruktion von Sicherheitsereignissen. |
| DORA | Art. 9 Abs. 4c | IKT-Systeme müssen Protokolle generieren, die eine Erkennung von Anomalien und Zwischenfällen ermöglichen. |
| DSGVO | Art. 5 Abs. 2 | Rechenschaftspflicht: Verarbeitungsvorgänge müssen nachvollziehbar dokumentiert sein. |
BAM-Objektreferenz
Häufige Audit-Fehler
- Logs werden zu früh gelöscht (< 1 Jahr)
- Logs sind nicht vor Manipulation geschützt
- Kein zentrales Log-Management
- Zeitstempel inkonsistent (keine NTP-Synchronisation)
Technische Anforderungen an einen Audit Trail
Ein Audit Trail muss vier technische Eigenschaften erfüllen: Vollständigkeit – alle relevanten Ereignisse werden lückenlos erfasst; Integrität – Logs können nicht unbemerkt manipuliert oder gelöscht werden; Verfügbarkeit – Logs sind für den gesamten Aufbewahrungszeitraum abrufbar; Zeitstempel-Konsistenz – alle Systeme verwenden eine synchronisierte Zeitquelle (NTP). Ein Audit Trail ohne NTP-Synchronisation ist im Audit angreifbar, weil Ereignissequenzen nicht verlässlich rekonstruiert werden können.
Aufbewahrungsfristen
ISO 27001 gibt keine feste Mindestfrist vor – die Aufbewahrungsdauer muss im ISMS-Scope definiert werden. Branchenüblich sind 12 Monate für operative Logs, 3 Jahre für sicherheitsrelevante Ereignisse und 10 Jahre für Compliance-kritische Nachweise. NIS-2 und DORA setzen keine expliziten Mindestfristen, aber die Meldepflichtkette erfordert, dass Logs aus dem Vorfallszeitraum vollständig vorliegen.
Nächste Ebene
Audit Trail aufbauen: NIS-2, DORA und ISO 27001 konkret
Welche Ereignisse müssen protokolliert werden, wie lange und warum Zeitstempel-Konsistenz ein häufiger Audit-Fehler ist.