2026-03-08
By Emre SalmanogluLog-Management: Der vollständige Leitfaden für Compliance- und Sicherheitsteams
Erfahren Sie, wie Sie Log-Management implementieren, das ISO 27001, SOC 2, NIS2 und DORA erfüllt. Umfasst Log-Sammlung, Aufbewahrung, Analyse, SIEM-Integration und Compliance-Nachweise.
Log-Management
Logging
SIEM
Audit-Trail
Compliance
Was ist Log-Management?
Log-Management ist die systematische Praxis des Sammelns, Zentralisierens, Speicherns und Analysierens von Protokolldaten, die von Systemen, Anwendungen und Netzwerkgeräten in der IT-Umgebung einer Organisation generiert werden. Logs liefern den Audit-Trail, der Sicherheitsüberwachung, Vorfalluntersuchung, Compliance-Nachweise und betriebliche Transparenz ermöglicht.
Für compliance-orientierte Organisationen ist Log-Management eine grundlegende Kontrolle, die von ISO 27001, SOC 2, NIS2 und DORA gefordert wird, um nachzuweisen, dass Sicherheitsereignisse aufgezeichnet, überwacht und für Audits verfügbar sind.
Log-Quellen
| Quelle | Log-Typen | Beispiele |
|---|---|---|
| Betriebssysteme | Authentifizierung, Systemereignisse, Prozessausführung | Windows Event Log, Linux syslog/journald |
| Anwendungen | Benutzeraktionen, Transaktionen, Fehler | Webserver-Logs, Anwendungs-Audit-Logs |
| Netzwerkgeräte | Traffic-Flows, Firewall-Regeln, DNS-Abfragen | Firewall-Logs, Proxy-Logs, Flow-Daten |
| Cloud-Plattformen | API-Aufrufe, Ressourcenänderungen, IAM-Ereignisse | AWS CloudTrail, Azure Activity Log, GCP Audit |
| Sicherheitstools | Alarme, Erkennungen, Scan-Ergebnisse | EDR, Schwachstellen-Scanner, WAF |
| Datenbanken | Abfragen, Schema-Änderungen, Admin-Operationen | Audit-Logs, Slow-Query-Logs |
| Identitätssysteme | Authentifizierung, MFA, SSO-Ereignisse | IdP-Logs, Active-Directory-Ereignisse |
Log-Management-Architektur
| Komponente | Funktion | Beispiele |
|---|---|---|
| Collection Agents | Logs aus Quellen sammeln | Fluentd, Filebeat, rsyslog, Cloud-native Agents |
| Transport | Sichere Übertragung zur zentralen Plattform | Kafka, AWS Kinesis, syslog-TLS |
| Verarbeitung | Logs parsen, normalisieren, anreichern | Logstash, Fluentd, Cloud-ETL-Pipelines |
| Speicher | Logs mit angemessener Aufbewahrung speichern | Elasticsearch, S3, Azure Blob, Splunk |
| Analyse | Logs suchen, korrelieren und visualisieren | Kibana, Splunk, Grafana, Cloud Analytics |
| Alerting | Echtzeit-Benachrichtigung bei kritischen Ereignissen | SIEM-Regeln, CloudWatch Alarms, PagerDuty |
Log-Aufbewahrungsanforderungen
| Framework | Mindestaufbewahrung | Empfohlene Aufbewahrung |
|---|---|---|
| ISO 27001 | Risikobasiert (typischerweise 12 Monate) | 1-3 Jahre |
| SOC 2 | Auditzeitraum (12 Monate) | 1-2 Jahre |
| NIS2 | Ausreichend für Untersuchung | 12-18 Monate |
| DORA | 5 Jahre für IKT-Vorfälle | 5 Jahre |
| DSGVO | Zweckgebunden angemessen | 6-12 Monate für Zugriffslogs |
Compliance-Anforderungen
Framework-Zuordnung
| Anforderung | ISO 27001 | SOC 2 | NIS2 | DORA |
|---|---|---|---|---|
| Ereignisprotokollierung | A.8.15 | CC7.2 | Art. 21(2)(g) | Art. 10(2) |
| Log-Schutz | A.8.15 | CC7.2 | Art. 21(2)(g) | Art. 10(2) |
| Zeitsynchronisation | A.8.17 | CC7.2 | Art. 21(2)(g) | Art. 10(2) |
| Log-Überprüfung | A.8.15 | CC7.2 | Art. 21(2)(b) | Art. 10(1) |
| Log-Aufbewahrung | A.8.15 | CC7.2 | Art. 21(2)(g) | Art. 10(2) |
| Admin-Protokollierung | A.8.15 | CC6.3 | Art. 21(2)(i) | Art. 9(4) |
Auditnachweise
| Nachweistyp | Beschreibung | Framework |
|---|---|---|
| Logging-Richtlinie | Dokumentierte Richtlinie, die definiert, was und wie lange protokolliert wird | Alle Frameworks |
| Log-Quelleninventar | Liste aller Systeme, die Logs senden, mit Abdeckungslücken | Alle Frameworks |
| Aufbewahrungskonfiguration | Nachweis, dass Aufbewahrungseinstellungen der Richtlinie entsprechen | Alle Frameworks |
| Log-Integritätskontrollen | Dokumentation der Manipulationsschutzmechanismen | Alle Frameworks |
| NTP-Konfiguration | Nachweis der Zeitsynchronisation über alle Systeme | ISO 27001, SOC 2 |
| Log-Überprüfungsverfahren | Dokumentierter Prozess zur regelmäßigen Log-Überprüfung | Alle Frameworks |
Häufige Fehler
| Fehler | Risiko | Lösung |
|---|---|---|
| Alles ohne Strategie loggen | Übermäßige Kosten, Alert-Fatigue, Compliance-Lücken | Logging-Anforderungen nach Use Case und Compliance-Bedarf definieren |
| Kein Log-Integritätsschutz | Logs können manipuliert werden, Auditwert untergraben | Unveränderlichen Speicher, kryptographisches Hashing nutzen |
| Inkonsistente Zeitstempel | Ereignisse über Systeme hinweg nicht korrelierbar | NTP-Synchronisation implementieren, Uhrendrift überwachen |
| Kein Log-Überprüfungsprozess | Logs werden gesammelt aber nie analysiert | Tägliche automatische Alerts und wöchentliche manuelle Überprüfung |
| Unzureichende Aufbewahrung | Logs vor Untersuchungs- oder Auditbedarf gelöscht | Aufbewahrung an längster geltender Framework-Anforderung ausrichten |
| Sensible Daten loggen | PII oder Anmeldedaten in Logs erzeugen zusätzliche Compliance-Last | Sensible Felder vor Speicherung maskieren oder schwärzen |
Wie Orbiq Log-Management-Compliance unterstützt
Orbiq hilft Ihnen, Log-Management-Kontrollen nachzuweisen:
- Nachweissammlung — Zentralisieren Sie Logging-Richtlinien, Aufbewahrungskonfigurationen und Überprüfungsverfahren
- Kontinuierliches Monitoring — Verfolgen Sie Logging-Abdeckung und Aufbewahrungskonformität
- Trust Center — Teilen Sie Ihre Logging- und Monitoring-Postur über Ihr Trust Center
- Compliance-Mapping — Ordnen Sie Logging-Kontrollen ISO 27001, SOC 2, NIS2 und DORA zu
- Audit-Bereitschaft — Vorgefertigte Nachweispakete für Auditorenprüfungen
Weiterführende Informationen
- SIEM — Sicherheitsanalysen aufbauend auf Log-Management
- Security Operations Center — SOC-Betrieb basierend auf Logs
- Incident Response — Logs für Vorfalluntersuchungen nutzen
- Privileged Access Management — Privilegierte Aktivitäten protokollieren
- Compliance-Automatisierung — Automatisierung der Log-Nachweissammlung