Compliance-Lexikon · Technik
Logging & Monitoring
[ˈlɒɡɪŋ ænd ˈmɒnɪtərɪŋ] · auch: Protokollierung und Ueberwachung, SIEM
Logging und Monitoring bezeichnet die systematische Aufzeichnung sicherheitsrelevanter Ereignisse (Logging) und deren kontinuierliche Auswertung auf Anomalien und Sicherheitsvorfaelle (Monitoring) -- als Grundlage fuer Incident Detection, Incident Response und Audit-Trail-Erstellung.
Warum Logging & Monitoring wichtig ist
Ohne Logging und Monitoring bleiben Sicherheitsvorfaelle unentdeckt -- oder werden erst bemerkt, wenn der Schaden eingetreten ist. Alle massgeblichen Frameworks setzen Protokollierung und Auswertung als Grundvoraussetzung fuer Incident Detection voraus. Im Audit scheitern Organisationen haeufig daran, dass Protokolle zwar vorhanden sind, aber nicht ausgewertet werden -- oder dass Aufbewahrungsfristen nicht eingehalten werden.
Wo Logging & Monitoring gefordert wird
| Framework | Referenz | Anforderung |
|---|---|---|
| ISO 27001:2022 | A.8.15 / A.8.16 | Protokollierung von Ereignissen und Ueberwachung auf Anomalien: Protokolle muessen aufgezeichnet, geschuetzt und regelmaessig ausgewertet werden. |
| NIS-2 / BSIG | § 30 Abs. 2c | Erkennung von Sicherheitsvorfaellen als Pflichtmassnahme -- setzt Logging und Monitoring voraus. |
| DORA | Art. 10 | Frueherkennung und Reaktion auf IKT-bezogene Vorfaelle: Protokollierungs- und Erkennungsmechanismen sind Mindestanforderung. |
| DSGVO | Art. 32 / Art. 33 | Nachweis technischer Schutzmassnahmen und Datenpannen-Erkennung erfordern lueckenloses Logging. |
| BSI IT-Grundschutz | OPS.1.1.5 | Protokollierung: Mindestanforderungen an Protokollumfang, Aufbewahrungsdauer und Auswertung. |
BAM-Objektreferenz
Haeufige Audit-Fehler
- Protokolle vorhanden, werden aber nicht ausgewertet
- Aufbewahrungsdauer zu kurz (BSI empfiehlt mindestens 90 Tage online, 12 Monate archiviert)
- Protokolle nicht vor Manipulation geschuetzt
- Keine Alarmierung bei kritischen Ereignissen
Was protokolliert werden muss
ISO 27001 A.8.15 und NIS-2 fordern Protokollierung aller sicherheitsrelevanten Ereignisse: erfolgreiche und fehlgeschlagene Anmeldeversuche, Aenderungen an Benutzerrechten und Systemkonfigurationen, Zugriffe auf vertrauliche Daten, Netzwerkverbindungen an Perimeter-Systemen, Starten und Stoppen von sicherheitsrelevanten Diensten. In der Praxis hat sich ein dreistufiger Ansatz bewaehrt: grundlegende Protokollierung aller Systeme, erweiterte Protokollierung kritischer Systeme, SIEM-Integration fuer Korrelation und Alarmierung.
SIEM und automatisierte Auswertung
Ein Security Information and Event Management System (SIEM) sammelt Protokolldaten aus verschiedenen Quellen, korreliert Ereignisse und generiert Alarme. Gaengige Loesungen sind Splunk, Microsoft Sentinel, IBM QRadar und open-source-Ansaetze wie Elastic SIEM oder Wazuh. Fuer NIS-2 und DORA wird eine automatisierte Auswertung erwartet -- manuelle Protokoll-Sichtung genuegt nicht mehr.
Naechste Ebene
Logging & Monitoring in der Praxis: Audit-Anforderungen und Evidence
Was Auditoren konkret pruefen -- Umfang, Aufbewahrung, Auswertung und Evidence-Checkliste.