A.8.16 — Überwachungsaktivitäten

Jede Nacht um 3 Uhr baut ein Server eine Verbindung zu einer IP-Adresse in einem Land auf, in dem die Organisation keine Geschäftsbeziehungen hat. Die Verbindung besteht 15 Minuten, dann wird sie beendet. Seit Wochen. Ohne aktive Überwachung fällt das niemandem auf. A.8.16 verlangt, dass Netzwerke, Systeme und Anwendungen kontinuierlich überwacht werden, um anomales Verhalten und potenzielle Sicherheitsvorfälle zu erkennen.

Überwachung ist die aktive Seite der Protokollierung: Wo A.8.15 die Daten sammelt, analysiert A.8.16 diese Daten und erzeugt daraus handlungsrelevante Alarme.

Was verlangt die Norm?

Überwachungsumfang festlegen. Basierend auf Geschäftsanforderungen und gesetzlichen Vorgaben den Umfang und das Niveau der Überwachung definieren.
Normales Verhalten als Baseline. Eine Baseline für normales Verhalten erstellen, um Abweichungen und Anomalien erkennen zu können.
Mehrere Überwachungsbereiche. Netzwerkverkehr, Systemzugriffe, Konfigurationsänderungen, Anwendungsprotokolle und Sicherheitstools überwachen.
Automatisierte Alarme. Echtzeit- oder periodische Überwachung mit vordefinierten Schwellenwerten und Alarmregeln. Fehlalarmrate minimieren.
Geschultes Personal. Personal für die Bewertung und Reaktion auf Alarme bereitstellen.

In der Praxis

SIEM als zentrale Überwachungsplattform. Ein SIEM (Security Information and Event Management) korreliert Ereignisse aus verschiedenen Quellen und erkennt Muster, die in isolierten Logs unsichtbar bleiben. Die wichtigsten Log-Quellen: Firewall, Active Directory, VPN, E-Mail-Gateway, Endpoint Detection.

Alarm-Prioritäten definieren. Kritisch (sofortige Reaktion): Login mit deaktiviertem Konto, bekannte Malware-Signatur, Datenexfiltration. Hoch: Mehrfach fehlgeschlagene Anmeldungen, unbekannte Geräte im Netzwerk. Mittel: Konfigurationsänderungen außerhalb der Wartungsfenster. Die Priorisierung verhindert Alarm-Müdigkeit.

Threat Intelligence einbinden. Feeds mit bekannten bösartigen IP-Adressen, Domains und Datei-Hashes automatisch in die Überwachung integrieren. So erkennst du Kommunikation mit bekannten Command-and-Control-Servern in Echtzeit.

Überwachung der Überwachung. Auch die Monitoring-Infrastruktur selbst muss überwacht werden: Läuft der SIEM-Agent? Kommen die Logs an? Ist der Speicher ausreichend? Ein blinder Fleck im Monitoring ist schlimmer als kein Monitoring — er erzeugt ein falsches Sicherheitsgefühl.

Typische Audit-Nachweise

Auditoren erwarten bei A.8.16 typischerweise diese Nachweise:

Überwachungskonzept — dokumentierter Umfang, Quellen und Alarm-Schwellenwerte (→ IT-Betriebsrichtlinie im Starter Kit)
SIEM-Dashboard — Übersicht der überwachten Systeme und aktiven Regeln
Alarm-Historik — protokollierte Alarme mit Bewertung und Reaktion
Incident-Meldungen — aus Überwachung generierte Vorfallmeldungen
Baseline-Dokumentation — Definition des normalen Verhaltens pro Systemtyp

KPI

Anteil der kritischen Systeme mit aktiver Sicherheitsüberwachung

Gemessen als Prozentsatz: Wie viele deiner kritischen Systeme werden aktiv überwacht (Log-Quellen im SIEM, Alarm-Regeln aktiv)? Ziel: 100%.

Ergänzende KPIs:

Mittlere Erkennungszeit (MTTD) für Sicherheitsvorfälle
False-Positive-Rate der Alarm-Regeln (Ziel: unter 10%)
Mittlere Reaktionszeit (MTTR) auf kritische Alarme

BSI IT-Grundschutz

A.8.16 mappt auf den BSI-Baustein für Detektion:

DER.1 (Detektion von sicherheitsrelevanten Ereignissen) — der Kernbaustein. Verlangt eine Detektionsstrategie, definierte Detektionsregeln, geschultes Personal und regelmäßige Bewertung der Erkennungsfähigkeit.
OPS.1.1.1 (Allgemeiner IT-Betrieb) — betriebliche Überwachung von Systemen und Netzwerken als Teil des Regelbetriebs.

Quellen

ISO/IEC 27001:2022 Annex A, Control A.8.16 — Überwachungsaktivitäten
ISO/IEC 27002:2022 Abschnitt 8.16 — Umsetzungshinweise zu Überwachungsaktivitäten
BSI IT-Grundschutz, DER.1 — Detektion von sicherheitsrelevanten Ereignissen

Häufig gestellte Fragen

Was ist der Unterschied zwischen Protokollierung (A.8.15) und Überwachung (A.8.16)?

A.8.15 sammelt und speichert Ereignisdaten. A.8.16 wertet diese Daten aktiv aus — in Echtzeit oder periodisch — um Anomalien und Sicherheitsvorfälle zu erkennen. Protokollierung liefert die Rohdaten, Überwachung liefert die Erkennung.

Brauche ich ein SOC (Security Operations Center) für A.8.16?

Ein eigenes SOC ist für die meisten KMU zu aufwendig. Alternativen: ein Managed SOC (SOC-as-a-Service), ein SIEM mit automatisierten Alarmen und definierten Reaktionsprozessen, oder — für kleine Organisationen — mindestens eine wöchentliche manuelle Log-Auswertung mit dokumentierten Ergebnissen.

Wie reduziere ich Fehlalarme?

Definiere eine Baseline für normales Verhalten, bevor du Alarm-Regeln aktivierst. Starte mit wenigen, hochkonfidenten Regeln (z.B. Login-Versuch eines deaktivierten Kontos) und erweitere schrittweise. Regelmäßiges Tuning ist unvermeidlich — plane feste Review-Zyklen ein.

Responsible	IT-Sicherheitsbeauftragter
Accountable	ISB
Consulted	Asset-Eigentümer, HR-Leitung, IT-Leitung, IT-Administrator, Incident-Response-Team, Risikoeigentümer, Softwareentwickler/Architekt
Informed	Alle Beschäftigten, DSB, IT-Leitung, IT-Sicherheitsbeauftragter, Incident-Response-Team, ISB, Rechtsabteilung, Risikoeigentümer, Softwareentwickler/Architekt