Logging & Monitoring – Praxis

Logging und Monitoring ist im Audit einer der haeufigsten Befundpunkte -- nicht weil keine Protokolle vorhanden sind, sondern weil Auswertung, Aufbewahrung oder Schutz mangelhaft sind. Was Auditoren wirklich pruefen und welche Evidence benoetigt wird, zeigt dieser Abschnitt.

Was Auditoren konkret pruefen

Bei einer Pruefung von Logging & Monitoring fragt der Auditor nicht nach dem Vorhandensein einer Richtlinie, sondern nach dem Nachweis der Wirksamkeit. Das BAM-Objekt CROSS-LM-01 definiert im Evidence-Feld, was konkret vorgelegt werden muss.

Haeufige Fehler

• Protokolle werden aufgezeichnet, aber nicht regelmaessig ausgewertet
• Keine Alarmierung bei bekannten Angriffsmuster-Ereignissen
• Aufbewahrung unter 90 Tagen
• Protokollmanipulation nicht verhindert (Integritycheck fehlt)

Umsetzung Schritt fuer Schritt

Erster Schritt: Protokollierungsumfang in einer Richtlinie festlegen -- welche Systeme, welche Ereignistypen, welche Aufbewahrungsdauer. Zweiter Schritt: Zentralisierung der Protokolldaten in einem SIEM oder Log-Management-System. Dritter Schritt: Alarmierungs-Regeln definieren und testen (fehlgeschlagene Anmeldungen, Privilegienerweiterungen, Datenexfiltrations-Muster). Vierter Schritt: Regelmaessige Auswertung der Alarme dokumentieren -- wer hat wann was gepruefte und welche Massnahme ergriffen?

Evidence-Anforderungen im Audit

Der Auditor erwartet: die datierte Protokollierungsrichtlinie, Konfigurationsauszuege aus SIEM oder Log-Management-System, Nachweise der Aufbewahrungsdauer, dokumentierte Alarm-Regeln und Review-Protokolle (wer hat wann Alarme gepruefte), sowie Tickets fuer alle in der Pruefungsperiode ausgeloesten Alarme.

Die strategische Einordnung -- warum Logging & Monitoring langfristig mehr als ein Compliance-Pflichtprogramm ist -- findet sich auf Ebene 3.