Säule 4NIS2DORABSI-GRUNDSCHUTZKRITIS

Logging & SIEM

Praxis-Szenario

Ein Unternehmen bemerkt nach 6 Monaten, dass ein Angreifer Zugriff auf den Mail-Server hatte. Die Frage der Forensiker: 'Zeigen Sie uns die Logs.' Antwort: 'Logs werden nach 7 Tagen überschrieben.' Ohne Protokollierung ist es unmöglich festzustellen, was gestohlen wurde, wie der Angreifer reinkam und ob er noch da ist. Ohne Logs kein Nachweis. Ohne Nachweis keine Forensik. Ohne Forensik keine Versicherungsleistung.

Rechtsfundament

NIS2NIS2 Art. 21 Abs. 2 lit. b

Fähigkeit zur Erkennung und Bewältigung von Sicherheitsvorfällen

DORADORA Art. 10

Protokollierung und Überwachung von IKT-Operationen

BSI IT-GrundschutzBSI OPS.1.1.5

Protokollierung sicherheitsrelevanter Ereignisse und Auswertung

KRITISBSIG 8a Abs. 1

Einsatz von Systemen zur Angriffserkennung gemäß BSIG §8a Abs. 1

Lösung & Umsetzung

1. Zentrale Log-Sammlung einrichten (Syslog-Server, ELK Stack, oder Graylog) 2. Mindestens protokollieren: Anmeldungen, Fehler, Änderungen, Netzwerkzugriffe 3. Log-Aufbewahrung: Mindestens 6 Monate (NIS2-Empfehlung: 12 Monate) 4. Alerting: Automatische Benachrichtigung bei verdächtigen Mustern 5. Regelmäßige Log-Review: Wöchentlich die wichtigsten Alerts prüfen

Ihr Mehrwert

Zentrale Protokollierung halbiert die Zeit zur Erkennung von Sicherheitsvorfällen (von 207 auf ~100 Tage). Logs sind die Grundlage für Forensik, Versicherungsansprüche und behördliche Meldungen.

Nächster Schritt