ANZEIGE
ANZEIGE
ANZEIGE
Beitrag drucken

Log Management nach ISO 27002

Compliance als Wettbewerbsvorteil

In der Prozess- und Fertigungsindustrie gewinnen die ISO Normen 27001 und 27002 an Bedeutung. Die Standards gehören zu den wenigen international anerkannen Richtlinien: Ob in Pharma-, Automobil- oder Telekommunikationsindustrie – wer Informationssicherheit bieten und nachweisen kann, wird zum bevorzugten Partner. Dabei geht es nicht nur um den Schutz von Daten, sondern auch um hohe Systemverfügbarkeit und die Fähigkeit, gesetzliche Regulierungs- und Compliance-Vorschriften einzuhalten.

ISO-Normen waren noch nie ein leichtes Brot, bei ISO 27001 und 27002 kommt noch erschwerend die Dynamik der Entwicklung in der IT-Sicherheit hinzu: Regeln und Richtlinien müssen an sich ändernde IT-Umgebungen im Unternehmen oder bei Partnern und Kunden angepasst werden. Ein einmal aufgestelltes Sicherheitssystem darf nicht statisch konzipiert sein, ansonsten sind einem Unternehmen sehr schnell die Hände gebunden beim Versuch, sich flexibel und schnell auf Neuerungen des Marktes, der IT oder des Gesetzgebers einzustellen.

Technische und unternehmenspolitische Hürden

Der Oberbegriff ISO 27000 steht für die IT-Sicherheitsnormen der ISO 2700x-Familie. Dabei legt die ISO 27002 fest, wie IT-Sicherheit in der Praxis realisiert wird, inklusive Zielen, Vorschlägen zur Umsetzung und Kontrollmechanismen. Insgesamt werden elf Überwachungsbereiche erfasst, die sich in 39 Hauptkategorien untergliedern. Diese wiederum sind mit insgesamt 133 Sicherheitsmaßnahmen, auch ‚Controls‘ genannt, ausgelegt, deren Anwendung die Erreichung der Kontrollziele unterstützt. Schon ein oberflächlicher Einblick in ISO 27001 lässt ahnen, dass die Umsetzung von erheblichem Aufwand begleitet ist, technisch wie unternehmenspolitisch. „In diesen komplexen und dynamischen Umgebungen gilt es, auf den kleinsten und stabilen gemeinsamen Nenner aufzusetzen, und das sind Logs und IT-Daten, die von jeder Hardware und Software bei jeder Aktion erzeugt werden“, erklärt Martin Ulmer, Territory Account Manager bei Loglogic Deutschland. „Log Management ist schon bei klassischen IT-Infrastrukturen für zuverlässige Sicherheit erforderlich, findet aber häufig nur als Insellösungen einzelner IT-Abteilungen statt. Wer eine ISO 2700x-Zertifizierung anstrebt, für den wird modernes Log- und IT-Datenmanagement unumgänglich. Gleiches gilt, wenn Virtualisierung oder Outsourcing mittels Cloud Computing im Unternehmen relevant sind: In komplexen Welten zwischen physischen und virtuellen Servern sowie kaum noch lokalisierbaren Cloud-Systemen sind Logs und IT-Daten die einzig nicht manipulierbaren Anhaltspunkte. Setzt man sie in Beziehung zeigen sie präzise an, was im IT-Netz geschieht.“

Verteilte Verantwortlichkeiten strukturieren

Standards wie ISO 27002, die Organisationsrichtline Control Objectives for Information and Related Technology (Cobit) oder der Sicherheitsstandard PCI DSS für den elektronischen Zahlungsverkehr betreffen sämtliche IT-Bereiche wie Netzwerke, Server, Mainframe, Datenbanken und Applikationen. Obwohl die zugehörigen Bereiche im Unternehmen miteinander verbunden sind, unterliegen sie unterschiedlichen Verantwortungsbereichen, die jeweils für Sicherheit, Überwachung und Leistung verantwortlich sind. „Mit der Migration auf virtuelle Server verteilen sich Verantwortlichkeiten weiter: Eine Anwendung kann gleichzeitig auf unterschiedlichen Systemen laufen parallel mit Applikationen, die dafür eigentlich nicht vorgesehen waren“, erklärt Martin Ulmer. „Mit Cloud Computing verteilt sich das Datenmanagement global, was der Transparenz bezüglich Sicherheit und Compliance zusätzlich abträglich ist. Spätestens jetzt braucht man eine übergreifende IT-Datenmanagementlösung.“

IT-Daten als Steuerungsinstrument

Schließlich gelte es, die Situation des Gesamtunternehmens zu betrachten. Dazu müssen die IT- und Log-Daten, die von Systemen, Geräten oder Applikationen im Netz gesendet werden, lückenlos gesammelt und mit den Controls der ISO 27002 abgeglichen werden. Und an diesem Punkt wird es erst einmal politisch: „Über Abteilungs-, Verantwortungs- und Kompetenzgrenzen hinweg Logs zu erfassen und anschließend die entsprechenden Informationen wieder den einzelnen Abteilungen für Fehlersuche, Forensik, Reporting und Alarmierung zur Verfügung zu stellen, hat hierarchische Hürden“, berichtet Martin Ulmer aus dem Praxisalltag. „Es ist Aufgabe der CIO und CFO, die ISO-Prozesse von oben durchzusetzen und zu kontrollieren.“ Nicht erst mit ISO 27001 gehen technische und politische Veränderungen in Unternehmen Hand in Hand: Laut der aktuellen Sans-Studie 2011 sammeln 89 Prozent der Unternehmen IT- und Log-Daten in der einen oder anderen Form, um die Sicherheit zu erhöhen, die Forensik zu verbessern oder die Einhaltung von Compliance-Richtlinien zu unterstützen. IT-Datenmanagement bietet die Möglichkeit, präzise zu wissen und zu verstehen, was im IT-Netz vorgeht. Damit avanciert das IT-Thema zur Aufgabe der Geschäftsführung.

Digitaler Blick auf das gesamte Unternehmen

Log Management hat sich vom technischen Monitoring-Tool zum Steuerungsinstrument für das Management in Form von IT-Datenmanagement gewandelt. Schließlich haften die Verantwortlichen persönlich dafür, angemessene Risikoüberwachungs- und Früherkennungssysteme zur Gefahrenabwehr einzusetzen. Geht es um ISO-Zertifizierung, gewinnt IT-Datenmanagement weiter an Relevanz für die Unternehmensführung. „Für zuverlässiges Unternehmens- und Compliance-Management gelten klare Kriterien: Zunächst müssen die Log- und IT-Daten lückenlos und in Echtzeit erfasst werden. Dabei darf es weder Einschränkungen im Umfang geben noch dürfen Systemgrenzen eine Hürde darstellen“, erklärt Martin Ulmer die Herangehensweise. „Ist dies erreicht, geht es darum, die Handhabung so effizient wie möglich zu gestalten – und hier ist auch der Übergang von Log Management zu IT-Datenmanagement zu sehen: Es gilt, anhand der Masse an IT- und Log-Daten schnellstmöglich Wissen und Einblick in die Vorgänge im IT-Netz zu schaffen, um direkt auf Verletzungen von Sicherheits- und Compliance-Richtlinien reagieren zu können und besser noch, im Kontext der Gesamtsituation die Risiken von Konstellationen, die für sich genommen harmlos erscheinen, vorab zu erkennen und entsprechende Maßnahmen einzuleiten.“

Automatisierung reduziert den ISO-Aufwand

Ein hoher Automatisierungsgrad im IT-Datenmanagement unterstützt dabei ein effizientes und kostenbewusstes Vorgehen. „Out-of-the-Box-Korrelationslösungen sorgen dafür, dass die Logs und IT-Daten über Filter, Reports und Alarm-Funktionen mit den Regeln und Controls aus ISO 27002 abgeglichen werden“, sagt Martin Ulmer. „Kombiniert mit einem Management-Tool wird der Compliance-Workflows automatisiert.“ Dabei werden den Verantwortlichen im Unternehmen die Rollen zugewiesen, die für einen ISO 27002 Audit notwendig sind. Die für das Compliance Management festgelegten Prozesse und Reports aktiviert der IT-Administrator. Die Reviewer prüfen die Reports im vorgeschrieben Zeitraum in Relation zu den IT Service Management Prozessen im Unternehmen. Ein ‚Executive Dashboard‘ zeigt, welche Bereiche die Controls eingehalten haben und was optimiert werden muss. Mit diesen definierten Abläufen und Verantwortlichkeiten ist es für einen Auditor einfacher, die Einhaltung der geforderten Prozesse zu prüfen. „Damit die Vorteile einer ISO 2700x Zertifizierung nicht durch den Aufwand zunichte gemacht werden, sind die Faktoren ‚lückenlose IT-Datensammlung‘ und ‚Automatisierungsgrad zwischen IT-Datenmanagement und Compliance-Workflow‘ entscheidend“, so das Resümee von Martin Ulmer. „Nicht zu vergessen ist aber auch die Skalierbarkeit des IT-Datenmanagements: Nur wenn es mit dem Unternehmen und der Modernisierung des IT-Systems schritthalten kann, sind getätigte Investitionen für die Einhaltung von Compliance geschützt und zukunftsfähig.“

 

Überwachungsbereiche der ISO 2700x

  1. Information Security Policy: Weisungen und Richtlinien zur Informationssicherheit
  2. Organization of Information Security: Sicherheitsorganisation und -Managementprozess
  3. Asset Management: Verantwortung und Klassifizierung von Informationswerten
  4. Human Resources Security: Personelle Sicherheit
  5. Physical and Environmental Security: Physische Sicherheit und öffentliche Versorgungsdienste
  6. Communications and Operations Management: Netzwerk- und Betriebssicherheit
  7. Access Control: Zugriffskontrolle
  8. Information Systems Acquisition, Development and Maintenance: Systementwicklung und Wartung
  9. Information Security Incident Management: Umgang mit Sicherheitsvorfällen
  10. Business Continuity Management: Notfallvorsorgeplanung
  11. Compliance: Einhaltung von Vorgaben, Sicherheitsrichtlinien und Überprüfungen durch Audits


Das könnte Sie auch interessieren:

Anagnost ist neuer CEO von Autodesk

Andrew Anagnost ist aber sofort neuer CEO und Präsident von Autodesk. Amar Hanspal, Senior Vice President, Chief Product Officer und Interims-Co-CEO, hat sich dazu entschlossen, das Unternehmen zu verlassen.

‣ weiterlesen

„Komplexität ohne Aufwand“

Im globalen Wettbewerb um Kosten, Qualität und Flexibilität sind die Anforderungen an produzierende Unternehmen rasant gestiegen: Aspekte wie Ressourceneffizienz, Kostenersparnis oder auch wirtschaftliche Fertigung in Losgröße 1 zwingen zum Hinterfragen von Prozessen und der Suche nach alternativen Produktionsverfahren. Additive Fertigung, beziehungsweise der 3D-Druck, gewinnt branchenübergreifend an Relevanz. Trotz bekannter Potenziale steckt der breite Einsatz in der Praxis jedoch noch in Kinderschuhen. Initiativen wie das EU-Forschungsprojekt Bionicaircraft tragen dazu bei, neue Technologien, Methoden und Konzepte für den effizienten Einsatz der Additiven Fertigung zu entwickeln. Michael Schwartz (Bild) äußert sich im Interview zum Status quo additiver Fertigung in der Industrie. Schwartz ist Manager für innovative Aerospace-Lösungen bei Cenit, einem Unternehmen, dass sich auch als Partner in dem EU-Projekt engagiert. ‣ weiterlesen

Fehler effizient reduzieren

Ein funktionierendes Fehlermanagementsystem ist eine wichtige Säule des Qualitätsmanagements. Eine detaillierte Erfassung und Zusammenführung aller Fehlerinformationen sowie deren Analyse ist unabdingbar, um Planung und Ablauf von Korrektur- und Vorbeugungsmaßnahmen zu ermöglichen.
‣ weiterlesen

Achim Berg ist neuer Bitkom-Präsident

Der Bitkom hat im Rahmen seiner Jahrestagung einen neuen Präsidenten gewählt: Achim Berg soll in den kommenden beiden Jahren die Geschicke des Verbandes führen.

‣ weiterlesen

Die ‚See what I see‘-Datenbrille der Advanced Mobile Applications ist seit kurzem auf dem deutschsprachigen Markt erhältlich. Als Anwendung für Datenbrillen verschiedener Hersteller erlaubt Xpert Eye einem Beobachter, den Träger der Brille aus der Ferne zu unterstützen. ‣ weiterlesen

Ersatzteile on demand im 3D-Metalldruck

Anwender des 3D-Metalldrucks entdecken zunehmend die neuen Möglichkeiten und Freiheiten, die eine additive Fertigung eröffnet. 3D-Konstruktionen führen zu neuen Produktlösungen. Bisweilen werden Fertigungs- und Logistikkonzepte völlig neu aufgesetzt. Die Jung & Co. Gerätebau GmbH, Hersteller von Edelstahlkomponenten, setzt auf die additive Fertigung, um Ersatzteile für Getränkeabfüllanlagen schneller verfügbar zu haben. Der Ansatz überzeugt in einer Branche, in der ‚Zeit ist Geld‘ mehr als eine Floskel ist. Thomas Lehmann, Geschäftsführer von Jung & Co., spricht im Interview über das Einsatzgebiet und die Vorteile des 3D-Metalldrucks. ‣ weiterlesen