ISO 27001 ist der internationale Standard zum Aufbau und Betrieb eines ISMS (Informationssicherheits-Managementsystems). Im Mittelpunkt dessen stehen Management-Prozesse für die Herstellung und kontinuierliche Verbesserung der Informationssicherheit.

‍

Die Norm selbst beschreibt diesen Prozess und ist recht übersichtlich. Sie besteht lediglich aus ca. 15 Seiten. Der normative Anhang ist entscheidend, er besteht nochmals aus ca. 15 Seiten und beschreibt die Ziele sowie die dafür notwendigen 114 Maßnahmen (Controls), um die Norm zu erfüllen. Dieser Anhang ist auch die Grundlage für eine Zertifizierung!

‍
Übrigens: Für spezielle KRITIS-Sektoren und Branchen gelten ggf. noch weitere Normen und Vorschriften. Zum Beispiel für die Energieversorgung gibt es speziell die ISO-Norm 27019. Während der Standard 27001 und 27002 branchenunabhängig formuliert ist, liefert die Norm 27019 noch weitere Definitionen zu Sicherheitsmaßnahmen und deren Umsetzungen speziell für den Energiesektor.

‍

Im normativen Anhang der ISO 27001, in der Sektion A 12.4 „Protokollierung und Überwachung“ wird dabei konkret auf das Thema Log Management mit folgenden Unterpunkten verwiesen:

‍

12.4.1 Event Logging

Es werden Informationen über den Zugang und die Aktionen von Usern, Fehlern, Events usw. in einem Informationssystem gesichert. Bei mehreren Applikationen empfiehlt sich das zentrale Erfassen dieser Logs in einem zentralen System.

‍

12.4.2 Schutz der Log-Informationen

‍
Die Logdaten müssen geschützt werden und dürfen nicht von unautorisierten Personen verändert oder gelöscht werden. Sollte es zu nicht-autorisierten Zugriffen auf das System kommen, werden Hacker in der Regel versuchen, Hinweise auf ihre Handlungen aus den Logs zu löschen. Es ist daher elementar, dass die Logs selbst auch einen entsprechenden Berechtigungsschutz erhalten.

‍

12.4.3 Logs für Systemadministratoren

‍
Systemadministratoren haben in der Regel besondere Zugriffsrechte in den Systemen, weshalb sie Aktionen ausführen können, die einem normalen User nicht möglich sind. Manchmal werden Aktionen von Systemadministratoren nicht erfasst und überwacht. Daraus resultiert eine Sicherheitslücke, insbesondere bei einem Angriff, bei dem sich der Angreifer Zugang zu einem Administrations-Konto verschafft hat. Systeme sollten deshalb Informationen über alle User und Usergruppen erfassen, egal welche Rechte und Zugriffe sie auf den Systemen haben.

‍

12.4.4 Synchrone Uhrzeiten

‍
Alle Systeme und Informationsquellen sollen mit identischem Datum und Uhrzeit betrieben werden. Sonst besteht die Gefahr, dass sich Fehler oder andere Vorfälle nicht mehr eindeutig nachvollziehen lassen, da unklar ist, welche Prozesse wann und wo durchgeführt wurden.

‍

Für Firmen und Organisationen, die sich nach ISO27001 zertifizieren lassen wollen, stellt sich also nicht die Frage, ob sie ein Log.-Management benötigen.
Vielmehr stellt sich die Frage, wie ein Log-Management sinnvollerweise implementiert werden kann, um die Anforderungen der Norm 27001 zu erfüllen!
Nachfolgend ein Beispiel!

Wie funktioniert ein Log-Management-System?

Es geht beim Log-Management (von englisch Log file; deutsch „Protokolldatei“) also um das Definieren, Empfangen, Auswerten, Speichern und Löschen von Protokolldaten, die ein IT-System während seines Betriebs erzeugt.

‍
Die linke Seite des Architekturbildes mit nBox, Safed und Beats liefert die Log-Daten. Bei unserer Lösung geht es optional noch darüber hinaus, da nBox-Systeme auch NetFlow-Daten bereitstellen, die Auskunft geben über die Art und Weise des Netzwerkverkehrs.

‍
In dem rot umrandeten Rechteck sind die Einzelkomponenten der NetEye-Lösung aufgeführt. NetEye ist eine technische Variante, um die geforderte zentrale Erfassung der Logs gemäß ISO27001 umzusetzen. Die Logs werden in eine zentrale Datenbank geschrieben (Elastic) und nach den Anforderungen des Projektes werden die Ergebnisse auf Dashboards dargestellt.

‍
Dabei ist zu beachten, dass die Logs revisionssicher aufbewahrt werden und eine nachträgliche Manipulation möglichst ausgeschlossen wird.

‍
NetEye fungiert dabei zusätzlich auch als ein Monitoringsystem um bei bestimmten (sicherheitsrelevanten) Ereignissen Alarmierungen auszulösen oder bestimmte Aktionen durchzuführen (z.B. ein System in Quarantäne zu versetzen).

Falls wir Sie neugierig gemacht haben und Sie weitere Informationen wünschen oder zu diesem Themenkomplex Fragen haben, stehen wir gerne zur Beratung zur Verfügung:

Zum Kontaktformular bitte hier klicken!