Schutzmaßnahmen

Monitoring und Protokollierung

Was ist Monitoring und Protokollierung in der IT?

Monitoring und Protokollierung bedeuten, dass IT-Systeme laufend beobachtet und wichtige Ereignisse mitgeschrieben werden, etwa Anmeldungen, Fehler und Änderungen an Berechtigungen. Diese Protokolle zeigen im Ernstfall, was wann geschehen ist und über welchen Zugang jemand hereinkam.

Zwischen dem ersten Zugriff eines Angreifers und dem sichtbaren Schaden liegt Zeit. In dieser Zeit hinterlässt er Spuren: eine Serie fehlgeschlagener Anmeldungen an der Fernwartung, eine erfolgreiche Anmeldung um drei Uhr früh aus einem anderen Land, ein neu angelegtes Administratorkonto, ein Virenschutz, der auf einem Rechner plötzlich abgeschaltet ist, ein Sicherungslauf, der seit Tagen fehlschlägt. Ohne Protokolle bleiben diese Spuren unsichtbar, und der Angriff wird erst am Tag der Verschlüsselung bemerkt.

Für einen KMU-Betrieb genügt eine überschaubare Auswahl. Protokolliert gehören die Anmeldungen an den Servern, an Microsoft 365 oder einem vergleichbaren Cloud-Dienst, am VPN, also am verschlüsselten Fernzugang in das Firmennetz, an der Fernwartung und an der Firewall. Dazu kommen Änderungen an Berechtigungen, das Anlegen und Löschen von Konten, das Abschalten von Schutzsoftware und das Ergebnis der Sicherungsläufe. Diese Protokolle werden an einer zentralen Stelle gesammelt, damit ein Angreifer sie auf dem befallenen Rechner nicht einfach löschen kann, und für eine festgelegte Dauer aufbewahrt.

Die Protokollierung schreibt mit. Monitoring bedeutet, dass jemand hinsieht. Ein Alarm, der in einem Postfach landet, das niemand öffnet, bleibt wirkungslos. Für Betriebe ohne eigene IT gibt es zwei gangbare Wege. Die Alarme gehen mit vereinbarter Reaktionszeit an den IT-Dienstleister. Oder die Überwachung wird als Dienst eingekauft, etwa über ein SOC (Security Operations Center), also eine Stelle, die eingehende Alarme rund um die Uhr auswertet und im Ernstfall verständigt.

Protokolle enthalten personenbezogene Daten, weil sie festhalten, wer sich wann angemeldet hat. Legen Sie deshalb vorab schriftlich fest, zu welchem Zweck protokolliert wird, wie lange die Einträge aufbewahrt werden und wer Einsicht nehmen darf, und binden Sie eine allfällige Mitarbeitervertretung ein. Eine saubere Regelung dient zugleich der Dokumentation der technischen und organisatorischen Maßnahmen nach der DSGVO.

Der erste sinnvolle Schritt ist eine Liste jener Systeme, die von außen erreichbar sind oder besonders wertvolle Daten enthalten. Prüfen Sie für jedes einzelne: Ist die Protokollierung eingeschaltet? Wie lange bleiben die Einträge erhalten? Wer sieht sie an, und in welchem Abstand? Der IT-Check erhebt, welche Protokolle geführt werden, wohin Alarme laufen und wer sie tatsächlich liest.

Alle Begriffe der Wissensdatenbank

Vom Begriff zur Praxis

Wie steht Ihr Betrieb wirklich da?

Der IT-Check prüft Ihre IT in 8 Prüfbereichen mit über 100 Prüfpunkten und liefert einen dokumentierten Befund mit priorisiertem Maßnahmenplan. Ab 1.299 € exkl. USt. Das Erstgespräch dauert 20 Minuten. Es entstehen keine Kosten.

Erstgespräch vereinbaren