7. KONZEPTE UND VERFAHREN ZUR BEWERTUNG DER WIRKSAMKEIT VON RISIKOMANAGEMENTMAßNAHMEN IM BEREICH DER CYBERSICHERHEIT
8. GRUNDLEGENDE VERFAHREN IM BEREICH DER CYBERHYGIENE UND SCHULUNGEN IM BEREICH DER CYBERSICHERHEIT
9. KRYPTOGRAFIE

3.2. Überwachung und Protokollierung

3.2.1. Die betreffenden Einrichtungen legen Verfahren fest und verwenden Instrumente, um Aktivitäten in ihrem Netz- und Informationssystem zu überwachen und zu protokollieren, damit sie Ereignisse, die als Sicherheitsvorfälle betrachtet werden könnten, erkennen und zur Eindämmung der Auswirkungen entsprechend darauf reagieren können.


3.2.2. Soweit durchführbar, erfolgt die Überwachung automatisch und wird vorbehaltlich der betrieblichen Kapazitäten entweder kontinuierlich oder in regelmäßigen Zeitabständen durchgeführt.

Die betreffenden Einrichtungen führen ihre Überwachungstätigkeiten so durch, dass es zu möglichst wenigen falsch positiven und falsch negativen Ergebnissen kommt.


3.2.3. Auf der Grundlage der in Nummer 3.2.1 genannten Verfahren führen, dokumentieren und überprüfen die betreffenden Einrichtungen Protokolle.

Die betreffenden Einrichtungen erstellen auf der Grundlage der Ergebnisse der gemäß Nummer 2.1 durchgeführten Risikobewertung eine Liste der Anlagen und Werte, die Gegenstand der Protokollierung sind.

Soweit angemessen, müssen die Protokolle Folgendes enthalten:

a) relevanten ausgehenden und eingehenden Netzverkehr;

b) Einrichtung, Änderung oder Löschung von Nutzern der Netz- und Informationssysteme der betreffenden Einrichtungen und Erweiterung der Berechtigungen;

c) Zugriffe auf Systeme und Anwendungen;

d) authentifizierungsbezogene Ereignisse;

e) alle privilegierten Zugriffe auf Systeme und Anwendungen sowie Aktivitäten der Verwaltungskonten;

f) Zugriffe auf kritische Konfigurations- und Backup-Sicherungsdateien oder Änderungen dieser Dateien;

g) Ereignisprotokolle und Protokolle von Sicherheitstools wie Antivirenprogrammen, Angriffserkennungssystemen oder Firewalls;

h) Nutzung der Systemressourcen sowie deren Leistung;

i) physischen Zugang zu Betriebsstätten;

j) Zugang zu ihren Netzwerkausrüstungen und -geräten und deren Nutzung;

k) Aktivierung, Beendigung und Pausieren der verschiedenen Protokolle;

l) Ereignisse im Umfeld.


3.2.4. Die Protokolle werden regelmäßig auf ungewöhnliche oder unerwünschte Trends überprüft.

Soweit angemessen, legen die betreffenden Einrichtungen geeignete Werte für Alarmschwellen fest. Bei Überschreitung der festgelegten Alarmschwellenwerte wird – soweit angemessen – automatisch ein Alarm ausgelöst.

Der betreffenden Einrichtungen stellen sicher, dass im Falle eines Alarms zeitnah eine qualifizierte und angemessene Reaktion eingeleitet wird.


3.2.5. Die betreffenden Einrichtungen führen und sichern die Protokolle für einen vorab festgelegten Zeitraum und schützen sie vor unbefugten Zugriffen oder Änderungen.


3.2.6. Soweit durchführbar, stellen die betreffenden Einrichtungen sicher, alle Systeme zeitlich synchronisiert sind, um Protokolle zwischen den Systemen für die Ereignisbewertung miteinander in Beziehung setzen zu können.

Die betreffenden Einrichtungen erstellen und führen eine Liste aller Anlagen und Werten, die protokolliert werden, und stellen sicher, dass für die Überwachung und Protokollierung Redundanzsysteme zur Verfügung stehen.

Die Verfügbarkeit der Überwachungs- und Protokollierungssysteme wird unabhängig von den von ihnen überwachten Systemen überwacht.


3.2.7. Die Verfahren sowie die Liste der protokollierten Anlagen und Werte werden in regelmäßigen Abständen und nach erheblichen Sicherheitsvorfällen überprüft und – soweit angemessen – aktualisiert.


redaktionelle Anmerkungen:


 

Stand: 17.10.2024

Ein effektives Überwachungs- und Protokollierungssystem hilft, Sicherheitsvorfälle schnell zu erkennen und gezielt darauf zu reagieren. Mit einer strukturierten Planung, automatisierten Prozessen und regelmäßiger Prüfung erfüllen Organisationen die NIS2-Anforderungen und stärken ihre Sicherheitsstrategie.

Vereinfachte Erklärung der Anforderungen aus 3.2: Überwachung und Protokollierung

3.2.1 Überwachung und Protokollierung von Aktivitäten

Organisationen müssen Verfahren und Tools implementieren, um Aktivitäten in ihren Netz- und IT-Systemen zu überwachen und zu protokollieren. Ziel ist es, potenzielle Sicherheitsvorfälle frühzeitig zu erkennen und angemessen darauf zu reagieren.


3.2.2 Automatisierung und Effizienz

  • Automatische Überwachung: Wenn möglich, sollte die Überwachung automatisiert und kontinuierlich oder regelmäßig erfolgen.
  • Fehlerreduktion: Überwachungsprozesse sollten so gestaltet sein, dass sie möglichst wenige Fehlalarme (falsch positive) und übersehene Vorfälle (falsch negative) produzieren.

3.2.3 Protokollinhalte und Risikobasierung

Auf Basis der Risikobewertung muss eine Liste der zu überwachenden Systeme und Werte erstellt werden. Die Protokolle sollten folgende Inhalte abdecken:
a) Ein- und ausgehender Netzwerkverkehr.
b) Änderungen bei Benutzerkonten und Berechtigungen.
c) Zugriffe auf Systeme und Anwendungen.
d) Authentifizierungsereignisse.
e) Aktivitäten privilegierter Konten.
f) Änderungen an kritischen Konfigurations- und Sicherungsdateien.
g) Protokolle von Sicherheitstools (z. B. Firewalls, Antivirenprogramme).
h) Nutzung und Leistung der Systemressourcen.
i) Physischer Zugang zu Betriebsstätten.
j) Zugang und Nutzung von Netzwerkausrüstung.
k) Aktivierung oder Beendigung von Protokollierungsdiensten.
l) Ereignisse im Umfeld.


3.2.4 Analyse und Alarme

  • Trendüberwachung: Protokolle müssen regelmäßig auf ungewöhnliche Muster geprüft werden.
  • Alarmierung: Schwellenwerte für Alarme sollten festgelegt werden. Bei Überschreitungen wird ein Alarm ausgelöst, der eine sofortige Reaktion ermöglicht.

3.2.5 Sicherung und Schutz der Protokolle

Protokolle müssen für einen definierten Zeitraum sicher aufbewahrt und vor unbefugtem Zugriff oder Änderungen geschützt werden.


3.2.6 Zeitliche Synchronisation und Redundanz

  • Zeitliche Synchronisation: Alle Systeme sollten synchronisiert sein, um Ereignisse übergreifend korrelieren zu können.
  • Redundanz: Systeme zur Überwachung und Protokollierung müssen redundant verfügbar sein, unabhängig von den überwachten Systemen.

3.2.7 Regelmäßige Prüfung und Aktualisierung

Die Verfahren und die Liste der zu überwachenden Systeme und Werte müssen regelmäßig und nach größeren Sicherheitsvorfällen überprüft und angepasst werden.

Fragenkatalog: Überwachung und Protokollierung

1. Verfahren und Instrumente für Überwachung und Protokollierung

  • Sind Verfahren für die Überwachung und Protokollierung der Aktivitäten in Netz- und Informationssystemen dokumentiert? (Bezug zu 3.2.1)
  • Werden geeignete Instrumente verwendet, um potenzielle Sicherheitsvorfälle zu erkennen und darauf zu reagieren? (Bezug zu 3.2.1)

2. Durchführung der Überwachung

  • Wird die Überwachung automatisch oder in regelmäßigen Abständen durchgeführt? (Bezug zu 3.2.2)
  • Werden die Überwachungstätigkeiten so durchgeführt, dass falsch positive und falsch negative Ergebnisse minimiert werden? (Bezug zu 3.2.2)

3. Protokollierung

  • Werden Protokolle gemäß den definierten Verfahren erstellt, dokumentiert und überprüft? (Bezug zu 3.2.3)
  • Wurde auf Basis der Risikobewertung (2.1) eine Liste der Anlagen und Werte, die protokolliert werden, erstellt? (Bezug zu 3.2.3)
  • Beinhaltet die Protokollierung die folgenden Elemente (soweit angemessen)?

a) Relevanten Netzverkehr (Bezug zu 3.2.3 a)

b) Änderungen an Benutzerkonten und Berechtigungen (Bezug zu 3.2.3 b)

c) Zugriffe auf Systeme und Anwendungen (Bezug zu 3.2.3 c)

d) Authentifizierungsereignisse (Bezug zu 3.2.3 d)

e) Privilegierte Zugriffe und Verwaltungskontoaktivitäten (Bezug zu 3.2.3 e)

f) Zugriffe auf kritische Dateien oder Änderungen daran (Bezug zu 3.2.3 f)

g) Ereignisprotokolle von Sicherheitstools (Bezug zu 3.2.3 g)

h) Nutzung der Systemressourcen (Bezug zu 3.2.3 h)

i) Physischer Zugang zu Betriebsstätten (Bezug zu 3.2.3 i)

j) Netzwerkzugang und Nutzung (Bezug zu 3.2.3 j)

k) Aktivierung und Beendigung von Protokollen (Bezug zu 3.2.3 k)

l) Ereignisse im Umfeld (Bezug zu 3.2.3 l)


4. Analyse und Alarmierung

  • Werden Protokolle regelmäßig auf ungewöhnliche oder unerwünschte Trends überprüft? (Bezug zu 3.2.4)
  • Sind geeignete Alarmschwellen definiert, und werden bei Überschreitungen automatische Alarme ausgelöst? (Bezug zu 3.2.4)
  • Wird sichergestellt, dass auf Alarme zeitnah angemessen reagiert wird? (Bezug zu 3.2.4)

5. Sicherheit und Synchronisation der Protokolle

  • Werden Protokolle für einen festgelegten Zeitraum aufbewahrt und vor unbefugtem Zugriff oder Änderungen geschützt? (Bezug zu 3.2.5)
  • Sind die Systeme zeitlich synchronisiert, um die Protokolle zwischen den Systemen für Ereignisbewertungen in Beziehung setzen zu können? (Bezug zu 3.2.6)
  • Wird eine Liste der protokollierten Anlagen und Werte geführt, und sind Redundanzsysteme für die Protokollierung vorhanden? (Bezug zu 3.2.6)

6. Überprüfung und Aktualisierung

  • Werden die Verfahren und die Liste der protokollierten Anlagen und Werte regelmäßig und nach Sicherheitsvorfällen überprüft? (Bezug zu 3.2.7)
  • Werden die Verfahren bei Bedarf aktualisiert, um neue Anforderungen oder Risiken zu berücksichtigen? (Bezug zu 3.2.7)

Holen Sie sich den NIS2-Umsetzungs-Fahrplan und unseren Newsletter!