Viele Unternehmen haben zwar irgendwo Logs, nutzen sie aber kaum. Dann wird protokolliert, ohne dass jemand hinschaut. Oder es wird überwacht, ohne dass klar ist, worauf eigentlich geachtet wird. Genau da setzen die ISO 27001 Anforderungen A.8.15 und A.8.16 sinnvoll an: Relevante Ereignisse müssen aufgezeichnet, gespeichert, geschützt und analysiert werden. Und Netzwerke, Systeme und Anwendungen müssen auf auffälliges Verhalten überwacht werden, damit mögliche Sicherheitsvorfälle überhaupt erkannt und bewertet werden können. Das NCSC beschreibt Logging als Grundlage für Security Monitoring und Lagebild, und NIST nennt Log-Management einen wesentlichen Baustein, um Sicherheitsereignisse, Richtlinienverstöße und Betriebsprobleme zu erkennen.
Die kurze Antwort
Gutes Logging und Monitoring heißt nicht, möglichst viele Daten zu sammeln. Es heißt, die richtigen Ereignisse zu erfassen, diese Logs zuverlässig zu schützen und aufzubewahren und Auffälligkeiten so auszuwerten, dass daraus echte Reaktion entstehen kann. Logging ist die Grundlage, auf der Security Monitoring aufbaut. Und Security Monitoring ist die aktive Analyse dieser Informationen, um Angriffe oder ungewöhnliches Verhalten zu erkennen und angemessen zu reagieren.
Logging ist nicht dasselbe wie Monitoring
Das ist der erste wichtige Unterschied. Logging heißt: Ereignisse werden aufgezeichnet. Monitoring heißt: Diese Informationen werden genutzt, um Verhalten zu beobachten, Auffälligkeiten zu erkennen und handlungsfähig zu sein. Wer nur Logs sammelt, aber nie hinschaut, hat noch kein wirksames Monitoring.
Logs sind die Datenbasis, Monitoring ist die aktive Nutzung dieser Daten zur Erkennung und Untersuchung von Sicherheitsvorfällen.
Der häufigste Denkfehler
Der häufigste Denkfehler lautet: "Wir haben Logs, also haben wir das Thema im Griff." Das stimmt nicht. NIST weist ausdrücklich darauf hin, dass Log-Management nicht nur aus dem Erzeugen von Logs besteht, sondern auch aus Infrastruktur, Schutz, Analyse und Nutzung. Erst die Auswertung macht aus Logdaten ein Sicherheitsinstrument. Sonst haben Sie im Zweifel nur Speicherverbrauch mit Zeitstempel.
Erst klären, was Sie wirklich wissen wollen
Bevor Sie Logging und Monitoring aufbauen, sollten Sie eine einfache Frage beantworten: Welche Sicherheitsfragen wollen wir im Ernstfall beantworten können? Das NCSC nennt dazu typische Beispiele: Was ist passiert? Welche Auswirkungen hat es? Was sollten wir als Nächstes tun? Haben unsere Controls (Maßnahmen) funktioniert? Genau von solchen Fragen aus sollten Sie festlegen, was geloggt und überwacht werden muss. Nicht umgekehrt.
Nicht alles loggen, sondern das Richtige
Logs sind nur dann nützlich, wenn sie relevant sind. Typischerweise interessant sind Anmeldungen, fehlgeschlagene Zugriffe, Rechteänderungen, Admin-Aktivitäten, Systemfehler, Konfigurationsänderungen, Netzwerkereignisse, sicherheitsrelevante App-Ereignisse und Auffälligkeiten bei Schnittstellen oder Cloud-Diensten. Ein wirksames Log-Management basiert auf einer bewussten Auswahl und Strukturierung relevanter Quellen.
Logs müssen geschützt werden
Wenn Logs manipulierbar sind, verlieren sie einen großen Teil ihres Werts. Log Protection ist daher eigener Kernbereich guten Log-Managements. Praktisch heißt das: Logs sollten so gespeichert werden, dass sie nicht leicht gelöscht, überschrieben oder unbemerkt verändert werden können. Wer im Vorfall erst merkt, dass genau die entscheidenden Protokolle fehlen oder nicht vertrauenswürdig sind, ist bereits zu spät dran.
Ohne Aufbewahrung keine Analyse
Logs helfen oft erst dann wirklich, wenn man in die Vergangenheit schauen kann. Genau deshalb ist nicht nur wichtig, dass protokolliert wird, sondern auch wie lange und in welcher Qualität. NIST betont, dass Sicherheitsprotokolle in ausreichender Detailtiefe und für einen angemessenen Zeitraum aufbewahrt werden müssen, damit Sicherheitsereignisse überhaupt nachvollzogen werden können. Das ist keine Archivromantik, sondern oft die Voraussetzung dafür, einen Vorfall sauber zu rekonstruieren.
Monitoring heißt: auf Auffälligkeiten achten
Anforderung ISO 27001 A.8.16 zielt genau darauf: Netzwerke, Systeme und Anwendungen sollen auf anormales Verhalten überwacht werden. Das NCSC beschreibt Security Monitoring genau in diesem Sinn als aktive Analyse von Logging-Informationen, um Anzeichen von Angriffen oder ungewöhnlichem Verhalten zu erkennen und anschließend passend zu reagieren. Damit wird aus Protokollierung ein Frühwarnsystem.
Was als "anormal" gilt, muss vorher klar sein
Monitoring scheitert oft nicht an der Technik, sondern an Unschärfe. Wenn niemand definiert, was verdächtig ist, wird aus Monitoring schnell hektisches Rauschen. Typische Beispiele für anormales Verhalten sind ungewöhnlich viele Fehlanmeldungen, Admin-Aktionen zu untypischen Zeiten oder von unplausiblen Orten, plötzlich stark ansteigender Datenverkehr, neue Verbindungen zu unerwarteten Zielen oder Konfigurationsänderungen außerhalb geplanter Fenster. Monitoring ist genau das Mittel, um solche Auffälligkeiten zu entdecken und anschließend bewerten zu können.
Logging und Monitoring gehören zusammen mit Incident Response
Logs und Monitoring sind kein Selbstzweck. Sie sollen helfen, Vorfälle zu erkennen, zu verstehen und zu bearbeiten. Das NCSC betont, dass Logging und Monitoring Ihre "Augen und Ohren" bei der Erkennung und Wiederherstellung nach Sicherheitsvorfällen sind. Wenn auf Auffälligkeiten niemand reagiert, fehlt die zweite Hälfte des Nutzens. Gute Protokollierung und gutes Monitoring müssen deshalb an Meldewege, Bewertung und Reaktion angeschlossen sein.
Nicht nur Server, auch Geräte, Netzwerk und Anwendungen
Ein weiteres Missverständnis ist die Vorstellung, dass sich Logging vor allem auf klassische Server bezieht. ISO 27001 Anforderungen A.8.15 und A.8.16 sprechen bewusst breiter: Aktivitäten, Ausnahmen, Fehler und andere relevante Ereignisse sollen erfasst werden, und Netzwerke, Systeme und Anwendungen sollen überwacht werden. Moderne Plattformen bieten Logging- und Monitoring-Optionen, auch für Netzwerke. Gute Sichtbarkeit braucht deshalb meist mehrere Perspektiven statt nur eines einzelnen Logtyps.
Mehr Logs sind nicht automatisch besser
Auch das gehört zur Wahrheit. Zu viele irrelevante Logs erschlagen Teams und verdecken im Zweifel die wichtigen Signale. Daher empfiehlt sich verhältnismäßiges Logging ("proportionate logging"): Gute Log-Management-Prozesse sollen praktisch nutzbar sein und nicht in unbeherrschbarer Datenmasse enden. Es geht also nicht um Vollständigkeitswahn, sondern um sinnvolle Auswahl.
Ein pragmatischer Start für Unternehmen
Wenn Sie Logging und Monitoring sinnvoll und ohne Theater aufsetzen wollen, reicht für den Start oft schon diese Linie:
1. Kritische Systeme, Anwendungen und Netzsegmente festlegen
Zuerst klären, wo sicherheitsrelevante Erkenntnisse am wichtigsten sind. Es empfiehlt sich, die Log-Strategie an den Fragen auszurichten, die Sie im Vorfall beantworten können wollen.
2. Relevante Ereignisse definieren
Nicht alles, sondern die Ereignisse, die für Sicherheit, Analyse und Reaktion wirklich wichtig sind: Logins, Rechteänderungen, Admin-Aktivitäten, Fehler, Konfigurationsänderungen und verdächtige Netzwerkereignisse.
3. Logs zentral und geschützt speichern
Wer Logs nur lokal und ungeschützt belässt, verschenkt viel Nutzen. Eine zentrale Log-Infrastruktur und guter Log-Schutz ist Teil robuster Log-Management-Prozesse.
4. Auffälligkeiten und Alarmkriterien festlegen
Monitoring braucht Kriterien dafür, wann aus Logdaten ein Sicherheitsverdacht wird. Security Monitoring ist genau das: die aktive Suche nach Anzeichen von Angriffen oder ungewöhnlichem Verhalten.
5. Reaktion anschließen
Wenn niemand auf Alarmierungen oder Auffälligkeiten reagiert, bleibt das Thema halb fertig. Logging und Monitoring müssen an Incident Handling angebunden sein
Was will der Auditor sehen?
Ein Auditor will in diesem Bereich in der Regel nicht hören: "Sie glauben ja gar nicht, was wir so alles loggen!" Er will erkennen, dass relevante Ereignisse gezielt protokolliert werden, dass Logs geschützt und aufbewahrt werden, dass es eine sinnvolle Auswertung gibt und dass auf auffälliges Verhalten reagiert werden kann.
FAQ
Logging ist das Aufzeichnen von Ereignissen. Monitoring ist die aktive Auswertung dieser Informationen, um Anzeichen von Angriffen oder ungewöhnlichem Verhalten zu erkennen und darauf zu reagieren.
Weil Logs ohne Schutz, Aufbewahrung und Analyse oft keinen praktischen Nutzen entfalten. NIST beschreibt gutes Log-Management ausdrücklich als mehr als nur Log-Erzeugung.
Zum Beispiel Logins, fehlgeschlagene Anmeldungen, Admin-Aktivitäten, Rechteänderungen, Konfigurationsänderungen, Fehler und andere sicherheitsrelevante Ereignisse. Die genaue Auswahl sollte sich an den Fragen orientieren, die im Vorfall beantwortet werden müssen.
Weil manipulierbare oder verlorene Logs im Vorfall wertlos werden. Log Protection ist Kernbereich guten Log-Managements.
Gemeint sind auffällige Aktivitäten, die auf einen Sicherheitsvorfall hindeuten könnten, etwa ungewöhnliche Login-Muster, verdächtige Admin-Aktionen oder unerwarteter Netzwerkverkehr.
Zu glauben, viel Logging sei automatisch gutes Logging. Ohne klare Ziele, Schutz, Auswertung und Reaktion bleibt oft nur Datenmenge statt Sicherheitsnutzen.
Unser Tipp
Logging und Monitoring sind keine lästige Pflichtübung für Admins, sondern die Grundlage dafür, Vorfälle überhaupt erkennen und bewerten zu können. Wer relevante Ereignisse sauber protokolliert, Logs schützt und aufbewahrt und auffälliges Verhalten aktiv überwacht, baut keine Log-Halde, sondern echte Sicherheitsfähigkeit auf. Genau darum geht es in ISO 27001 A.8.15 und A.8.16: sehen, was passiert - und rechtzeitig merken, wenn etwas nicht stimmt.
Interesse geweckt?
Wenn Sie Logging und Monitoring so aufbauen wollen, dass es im Alltag funktioniert und im Audit trägt, dann lassen Sie uns sprechen oder schreiben uns etwas gleich hier rechts unten auf der Seite in den Chat!