Protokollierung (Logging) ist eine wesentliche Maßnahme zur Erkennung, Analyse und Aufklärung von sicherheitsrelevanten Ereignissen. Ohne geeignete Protokolle können Angriffe, Fehlkonfigurationen oder Missbrauch von Systemen unentdeckt bleiben oder nicht nachvollzogen werden. Dieses Control stellt sicher, dass relevante Ereignisse protokolliert, geschützt und ausgewertet werden.
Zweck des Controls
A 8.15 soll gewährleisten, dass sicherheitsrelevante Aktivitäten in Informationsverarbeitungssystemen nachvollziehbar sind. Ziel ist es, die Erkennung von Sicherheitsvorfällen zu ermöglichen, Ursachen zu analysieren, Verantwortlichkeiten festzustellen und die Wirksamkeit von Sicherheitsmaßnahmen zu überprüfen.
Anforderungen und Maßnahmen
1. Festlegung von Protokollierungsanforderungen
Organisationen müssen definieren, welche Ereignisse zu protokollieren sind, insbesondere:
Anmelde- und Authentifizierungsereignisse
Zugriffe auf Informationen und Systeme
Änderungen an Konfigurationen oder Berechtigungen
administrative und privilegierte Tätigkeiten
sicherheitsrelevante Systemereignisse
Die Anforderungen müssen dokumentiert und risikoorientiert festgelegt werden.
2. Umfang und Granularität der Protokollierung
Der Umfang der Protokollierung muss angemessen sein:
ausreichende Detailtiefe zur Nachvollziehbarkeit
Vermeidung unnötiger oder übermäßiger Daten
Berücksichtigung von Leistungs- und Speicheraspekten
Abgleich mit Datenschutz- und Compliance-Anforderungen
So wird ein ausgewogenes Logging erreicht.
3. Schutz von Protokolldaten
Protokolldaten müssen vor unbefugtem Zugriff und Manipulation geschützt werden:
Zugriffsbeschränkungen auf Protokolle
Schutz vor Veränderung oder Löschung
sichere Speicherung
Trennung von Protokollen und operativen Systemen, sofern sinnvoll
Dies stellt die Integrität der Protokolle sicher.
4. Zeitliche Synchronisation
Zeitstempel in Protokollen müssen zuverlässig sein:
Synchronisation der Systemzeiten
einheitliche Zeitquellen
konsistente Zeitangaben über Systeme hinweg
Vermeidung von Abweichungen
So wird eine korrekte Ereignisabfolge ermöglicht.
5. Aufbewahrung und Löschung von Protokollen
Die Aufbewahrung von Protokolldaten muss geregelt sein:
Festlegung von Aufbewahrungsfristen
Berücksichtigung rechtlicher und regulatorischer Vorgaben
sichere Archivierung
fristgerechte Löschung
Dies unterstützt Datenschutz und Compliance.
6. Auswertung und Überwachung der Protokolle
Protokolle müssen regelmäßig ausgewertet werden:
manuelle oder automatisierte Auswertung
Erkennung ungewöhnlicher oder verdächtiger Aktivitäten
Definition von Alarm- und Eskalationsmechanismen
Integration in Incident-Management-Prozesse
So werden Sicherheitsvorfälle frühzeitig erkannt.
7. Umgang mit Protokollen bei Vorfällen
Bei Sicherheitsvorfällen müssen Protokolle gezielt genutzt werden:
Sicherstellung der Verfügbarkeit relevanter Protokolle
Analyse zur Ursachenfeststellung
Unterstützung forensischer Untersuchungen
Schutz der Protokolle als Beweismittel
Dies erhöht die Reaktionsfähigkeit.
8. Dokumentation und kontinuierliche Verbesserung
Protokollierungsprozesse müssen dokumentiert und überprüft werden:
Beschreibung der Protokollierungsanforderungen
Verantwortlichkeiten für Betrieb und Auswertung
regelmäßige Überprüfung der Wirksamkeit
Anpassung an neue Risiken oder Systeme
So bleibt die Protokollierung wirksam und aktuell.
Zusammenfassung
A 8.15 fordert, dass Organisationen sicherheitsrelevante Ereignisse systematisch protokollieren, schützen und auswerten. Durch klar definierte Protokollierungsanforderungen, angemessene Granularität, Schutz der Protokolldaten, regelmäßige Auswertung sowie Integration in Incident-Management-Prozesse wird sichergestellt, dass Sicherheitsereignisse nachvollziehbar sind und wirksam behandelt werden können. Das Control ist ein zentraler Bestandteil der technischen Sicherheitsmaßnahmen im Informationssicherheitsmanagementsystem.
Leave a comment