Sicherheit durch Logmanagement

Es ergibt Sinn, sämtliche Securitydaten und -Informationen zentral zu speichern und zu verarbeiten – auch wenn die IT das Thema Sicherheit eventuell an einen professionellen Anbieter ausgelagert hat. Nicht nur weil die Komplexität der Angriffe steigt, ist es sinnvoll, möglichst aussagekräftige Logdaten zu sammeln: Sei es der Einsatz eines SOAR-Werkzeugs (Security Orchestration, Automation, Response) oder die Nutzung der nativen Verteidigungslinie von Microsofts Windows Defender. Eine isolierte Sicht auf Vorfälle in zwei oder drei verschiedenen Sicherheitstools bringt wenig und ermöglicht keine forensische Analyse, geschweige denn das gezielte Verhindern von Attacken.

Logmanagement für die Protokollierung

Die Notwendigkeit zum Logmanagement ist unstrittig und reicht vom Aspekt der datenschutzkonformen Protokollierung nach der EU-DSGVO über die zentrale Logarchivierung bis hin zur Forensik, ohne die zum Beispiel ein sinnvolles Incident-Response-Management im Angriffsfall gar nicht möglich ist. So ist das Logmanagement unter anderem in jedem Standard ein Thema, ob ISO-Projekt, dem bekannten BSI-Grundschutzhandbuch (Baustein OPS.1.1: Kern-IT-Betrieb/Kernaufgaben OPS.1.1.5: Protokollierung) oder den NIS-Richtlinien.

Je höher das potenzielle Risiko beziehungsweise je wichtiger und kritischer die Infrastruktur, umso naheliegender ist der Einsatz entsprechender Werkzeuge. Natürlich erfordert auch der ISO-27001-Standard umfangreiche und konkrete Schutzmaßnahmen, vom Security- bis zum Business-Continuity-Management.

Logmanagement für Compliance und Datenschutz

Auch IP-Adressen sind persönliche Daten, weswegen Organisationen die tägliche Arbeit der IT-Admins ebenfalls aus Security-Sichtweise betrachten sollten. Das heißt: Die Nachvollziehbarkeit der Zugriffe und der Speicherung muss protokolliert werden, ebenso

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.