Protokollierung und Monitoring

Protokollierung (Logging) ist die strukturierte Aufzeichnung von Ereignissen in IT-Systemen, Anwendungen und Netzwerken, etwa Anmeldevorgänge, Zugriffe auf schützenswerte Daten, Konfigurationsänderungen oder fehlgeschlagene Authentifizierungen. Monitoring ist die fortlaufende Überwachung und Auswertung dieser Protokolldaten, um Anomalien, Angriffsmuster und Sicherheitsvorfälle möglichst zeitnah zu erkennen. Gemeinsam bilden beide die technische Grundlage für Nachvollziehbarkeit, Beweissicherung und die Reaktion auf Vorfälle und sind damit ein zentraler Baustein jedes Informationssicherheits-Managementsystems.

Aus rechtlicher Sicht ist eine angemessene Protokollierung mehrfach verankert: Die NIS2-Richtlinie und ihre nationale Umsetzung verlangen von besonders wichtigen und wichtigen Einrichtungen Maßnahmen zur Bewältigung von Sicherheitsvorfällen sowie deren Erkennung, was ohne belastbare Log-Daten nicht möglich ist. Der BSI IT-Grundschutz (insbesondere Baustein OPS.1.1.5 Protokollierung) und die ISO/IEC 27001 (Control 8.15 Logging, 8.16 Monitoring activities) konkretisieren, welche Ereignisse zu erfassen, vor Manipulation zu schützen und auszuwerten sind. Zugleich sind datenschutzrechtliche Grenzen der DSGVO zu beachten, da Protokolle regelmäßig personenbezogene Daten enthalten und dem Grundsatz der Datenminimierung sowie Löschfristen unterliegen.

In der Praxis werden Protokolle zentral gesammelt, zeitlich synchronisiert (NTP) und manipulationssicher gespeichert, häufig in einem SIEM-System, das Ereignisse korreliert und Alarme auslöst. Wesentliche Anforderungen sind die Vollständigkeit der erfassten Ereignisse, der Schutz der Logs vor Veränderung und unbefugtem Zugriff, eine verlässliche Zeitsynchronisation für die forensische Auswertbarkeit sowie definierte Aufbewahrungs- und Löschfristen. Erst die regelmäßige, teils automatisierte Auswertung verwandelt Rohdaten in verwertbare Erkenntnisse; eine reine Speicherung ohne Monitoring erfüllt den Schutzzweck nicht.