(nach ISO/IEC 27001:2022 und ISO/IEC 27002:2022)

Die Überwachung von Aktivitäten in Informationsverarbeitungssystemen ist eine wesentliche Maßnahme zur frühzeitigen Erkennung von Sicherheitsvorfällen, Fehlverhalten oder technischen Störungen. Ohne geeignete Überwachungsmechanismen können sicherheitsrelevante Ereignisse unentdeckt bleiben und sich zu schwerwiegenden Vorfällen entwickeln. Dieses Control stellt sicher, dass Aktivitäten angemessen überwacht und ausgewertet werden.

Zweck des Controls

A 8.16 soll gewährleisten, dass sicherheitsrelevante Aktivitäten erkannt, analysiert und bewertet werden. Ziel ist es, Bedrohungen und Anomalien frühzeitig zu identifizieren, die Wirksamkeit von Sicherheitsmaßnahmen zu überwachen und die Informationssicherheit kontinuierlich zu verbessern.

Anforderungen und Maßnahmen

1. Festlegung von Überwachungszielen und -umfang

Organisationen müssen festlegen, welche Aktivitäten überwacht werden, insbesondere:

• Zugriffe auf Systeme und Informationen
• administrative und privilegierte Tätigkeiten
• sicherheitsrelevante Systemereignisse
• Netzwerk- und Kommunikationsaktivitäten

Der Umfang muss risikoorientiert definiert sein.

2. Einsatz geeigneter Überwachungsmechanismen

Geeignete technische und organisatorische Maßnahmen müssen eingesetzt werden:

• zentrale Überwachungssysteme
• Korrelation von Ereignissen
• automatisierte Erkennung von Auffälligkeiten
• Integration verschiedener Datenquellen

So wird eine effektive Überwachung ermöglicht.

3. Definition von Schwellenwerten und Alarmen

Überwachungsmechanismen müssen klare Auslösekriterien besitzen:

• Definition normaler und abnormaler Aktivitäten
• Festlegung von Schwellenwerten
• automatische Alarmierung bei Abweichungen
• Eskalationsmechanismen

Dies ermöglicht schnelles Handeln.

4. Analyse und Bewertung von Aktivitäten

Überwachte Aktivitäten müssen regelmäßig analysiert werden:

• Bewertung von Auffälligkeiten
• Unterscheidung zwischen Fehlalarmen und Vorfällen
• Einordnung in den Risikokontext
• Dokumentation der Ergebnisse

So wird fundiert reagiert.

5. Integration in Incident-Management-Prozesse

Die Überwachung muss in das Incident-Management integriert sein:

• Übergabe erkannter Ereignisse
• Unterstützung bei der Vorfallanalyse
• Bereitstellung relevanter Informationen
• Nachverfolgung von Maßnahmen

Dies erhöht die Reaktionsfähigkeit.

6. Datenschutz und Verhältnismäßigkeit

Überwachung muss datenschutzkonform erfolgen:

• Beachtung rechtlicher Anforderungen
• Verhältnismäßigkeit der Maßnahmen
• Transparenz gegenüber betroffenen Personen
• Schutz personenbezogener Daten

So wird Compliance sichergestellt.

7. Rollen und Verantwortlichkeiten

Zuständigkeiten für Überwachung müssen klar geregelt sein:

• Verantwortliche für Betrieb und Auswertung
• Eskalations- und Entscheidungsbefugnisse
• Trennung von Aufgaben
• Vertretungsregelungen

Klare Rollen erhöhen die Wirksamkeit.

8. Dokumentation und kontinuierliche Verbesserung

Überwachungsprozesse müssen dokumentiert und überprüft werden:

• Beschreibung der Überwachungsmaßnahmen
• Nachweise über Auswertungen und Alarme
• Analyse von Vorfällen
• Anpassung an neue Risiken

So bleibt die Überwachung effektiv.

Zusammenfassung

A 8.16 fordert, dass Organisationen Aktivitäten in Informationsverarbeitungssystemen systematisch überwachen. Durch klare Überwachungsziele, geeignete Mechanismen, definierte Alarme, regelmäßige Analyse sowie datenschutzkonforme Umsetzung wird sichergestellt, dass sicherheitsrelevante Ereignisse frühzeitig erkannt und wirksam behandelt werden können. Das Control ist ein zentraler Bestandteil der technischen Sicherheitsmaßnahmen im Informationssicherheitsmanagementsystem.