Zum Hauptinhalt springen
CENEDRIL WIKI
EN
Annex A · Technologische Kontrolle

A.8.15 — Protokollierung

Aktualisiert am 3 Min. Geprüft von: Cenedril-Redaktion
A.8.15 ISO 27001ISO 27002BSI OPS.1.1.5

Nach einem Sicherheitsvorfall stellt das Incident-Response-Team fest: Die Firewall-Logs wurden nach 7 Tagen überschrieben, der betroffene Server hatte kein Audit-Logging aktiviert, und die Zeitstempel stimmen nicht überein, weil die Uhren nicht synchronisiert waren. Die Rekonstruktion des Angriffspfades ist unmöglich. A.8.15 verlangt, dass sicherheitsrelevante Ereignisse protokolliert, die Protokolle geschützt und für Untersuchungen nutzbar aufbewahrt werden.

Logs sind die Flugschreiber der IT. Ohne sie ist weder Erkennung noch Aufklärung von Sicherheitsvorfällen möglich.

Was verlangt die Norm?

  • Relevante Ereignisse protokollieren. Benutzer-IDs, Systemaktionen, Zugriffsversuche, Konfigurationsänderungen, Fehler und Sicherheitsereignisse.
  • Integrität der Logs schützen. Unbefugte Änderungen an Protokollen verhindern — durch kryptografisches Hashing, Nur-Anfüge-Formate oder zentrale Log-Sammlung.
  • Logs auswerten. Regelmäßige Analyse zur Erkennung ungewöhnlicher Aktivitäten und potenzieller Sicherheitsbedrohungen.
  • Sensible Daten in Logs schützen. Personenbezogene und vertrauliche Informationen in Protokollen angemessen schützen.
  • Aufbewahrungsfristen einhalten. Logs werden gemäß definierten Fristen aufbewahrt und danach gelöscht.

In der Praxis

Protokollierungsrichtlinie erstellen. Definiere: Welche Systeme? Welche Ereignisse? Welches Format? Welche Aufbewahrungsfrist? Wo gespeichert? Wer hat Lesezugriff? Die Richtlinie ist das Fundament für alle weiteren Schritte.

Logs zentral sammeln. Alle Systeme senden ihre Logs an einen zentralen Log-Server oder ein SIEM. Lokale Logs können manipuliert werden — zentrale Sammlung erhöht die Integrität und ermöglicht die Korrelation über Systemgrenzen hinweg.

Log-Integrität sichern. Verwende Nur-Anfüge-Speicher (Append-Only) oder kryptografische Verkettung (Hash Chains), um nachträgliche Manipulation erkennbar zu machen. Auf dem Quellsystem gespeicherte Logs können von einem Angreifer mit Admin-Rechten gelöscht werden — ein weiterer Grund für zentrale Sammlung.

Regelmäßige Log-Reviews durchführen. Automatisierte Regeln (SIEM-Alerts) für bekannte Angriffsmuster. Ergänzt durch manuelle Reviews — mindestens wöchentlich für privilegierte Zugriffe, monatlich für alle anderen.

Typische Audit-Nachweise

Auditoren erwarten bei A.8.15 typischerweise diese Nachweise:

  • Protokollierungsrichtlinie — dokumentierte Logging-Anforderungen (→ IT-Betriebsrichtlinie im Starter Kit)
  • Log-Konfiguration — Nachweis, welche Systeme welche Ereignisse protokollieren
  • SIEM-Dashboard — Überblick über Log-Quellen, Ereignisvolumen und Alarme
  • Log-Integritätsnachweis — Konfiguration von Append-Only oder Hash-Chain-Mechanismen
  • Log-Review-Protokolle — Nachweis regelmäßiger Auswertungen

KPI

Anteil der kritischen Systeme mit aktivierter und aufbewahrter Sicherheitsprotokollierung

Gemessen als Prozentsatz: Wie viele deiner kritischen Systeme haben aktiviertes Sicherheitslogging, das gemäß der definierten Frist aufbewahrt wird? Ziel: 100%.

Ergänzende KPIs:

  • Anteil der Systeme, die Logs an das zentrale SIEM senden (Ziel: 100%)
  • Mittlere Erkennungszeit für Sicherheitsereignisse (MTTD)
  • Anzahl der Log-Integritätsverletzungen (Ziel: 0)

BSI IT-Grundschutz

A.8.15 mappt auf die BSI-Bausteine für Protokollierung und Detektion:

  • OPS.1.1.5 (Protokollierung) — der Kernbaustein. Verlangt eine Protokollierungsrichtlinie, zentrale Sammlung, Integritätsschutz, Zugriffskontrollen und definierte Aufbewahrungsfristen.
  • DER.1 (Detektion von sicherheitsrelevanten Ereignissen) — nutzt Protokolldaten als Grundlage für die Erkennung von Sicherheitsvorfällen.

Verwandte Kontrollen

Quellen

Häufig gestellte Fragen

Welche Ereignisse müssen mindestens protokolliert werden?

Anmeldeversuche (erfolgreich und fehlgeschlagen), Zugriffe auf sensible Daten, privilegierte Aktionen, Konfigurationsänderungen, Systemfehler und Sicherheitsereignisse. Die genaue Liste hängt von der Risikobewertung ab.

Wie lange müssen Logs aufbewahrt werden?

Die Norm gibt keine feste Frist vor. Gängige Praxis: 90 Tage online (im SIEM), 12 Monate im Archiv. Bei regulatorischen Anforderungen (z.B. Finanzsektor) können längere Fristen gelten. Die Frist muss in der Protokollierungsrichtlinie dokumentiert sein.

Darf ich alles protokollieren?

Technisch ja, rechtlich nein. Der Datenschutz begrenzt die Protokollierung personenbezogener Daten. Protokolliere nur, was für Sicherheit und Betrieb erforderlich ist. Exzessive Protokollierung kann ein Datenschutzverstoß sein.