Beitrag drucken

Log Management nach ISO 27002

Compliance als Wettbewerbsvorteil

In der Prozess- und Fertigungsindustrie gewinnen die ISO Normen 27001 und 27002 an Bedeutung. Die Standards gehören zu den wenigen international anerkannen Richtlinien: Ob in Pharma-, Automobil- oder Telekommunikationsindustrie – wer Informationssicherheit bieten und nachweisen kann, wird zum bevorzugten Partner. Dabei geht es nicht nur um den Schutz von Daten, sondern auch um hohe Systemverfügbarkeit und die Fähigkeit, gesetzliche Regulierungs- und Compliance-Vorschriften einzuhalten.

ISO-Normen waren noch nie ein leichtes Brot, bei ISO 27001 und 27002 kommt noch erschwerend die Dynamik der Entwicklung in der IT-Sicherheit hinzu: Regeln und Richtlinien müssen an sich ändernde IT-Umgebungen im Unternehmen oder bei Partnern und Kunden angepasst werden. Ein einmal aufgestelltes Sicherheitssystem darf nicht statisch konzipiert sein, ansonsten sind einem Unternehmen sehr schnell die Hände gebunden beim Versuch, sich flexibel und schnell auf Neuerungen des Marktes, der IT oder des Gesetzgebers einzustellen.

Technische und unternehmenspolitische Hürden

Der Oberbegriff ISO 27000 steht für die IT-Sicherheitsnormen der ISO 2700x-Familie. Dabei legt die ISO 27002 fest, wie IT-Sicherheit in der Praxis realisiert wird, inklusive Zielen, Vorschlägen zur Umsetzung und Kontrollmechanismen. Insgesamt werden elf Überwachungsbereiche erfasst, die sich in 39 Hauptkategorien untergliedern. Diese wiederum sind mit insgesamt 133 Sicherheitsmaßnahmen, auch ‚Controls‘ genannt, ausgelegt, deren Anwendung die Erreichung der Kontrollziele unterstützt. Schon ein oberflächlicher Einblick in ISO 27001 lässt ahnen, dass die Umsetzung von erheblichem Aufwand begleitet ist, technisch wie unternehmenspolitisch. „In diesen komplexen und dynamischen Umgebungen gilt es, auf den kleinsten und stabilen gemeinsamen Nenner aufzusetzen, und das sind Logs und IT-Daten, die von jeder Hardware und Software bei jeder Aktion erzeugt werden“, erklärt Martin Ulmer, Territory Account Manager bei Loglogic Deutschland. „Log Management ist schon bei klassischen IT-Infrastrukturen für zuverlässige Sicherheit erforderlich, findet aber häufig nur als Insellösungen einzelner IT-Abteilungen statt. Wer eine ISO 2700x-Zertifizierung anstrebt, für den wird modernes Log- und IT-Datenmanagement unumgänglich. Gleiches gilt, wenn Virtualisierung oder Outsourcing mittels Cloud Computing im Unternehmen relevant sind: In komplexen Welten zwischen physischen und virtuellen Servern sowie kaum noch lokalisierbaren Cloud-Systemen sind Logs und IT-Daten die einzig nicht manipulierbaren Anhaltspunkte. Setzt man sie in Beziehung zeigen sie präzise an, was im IT-Netz geschieht.“

Verteilte Verantwortlichkeiten strukturieren

Standards wie ISO 27002, die Organisationsrichtline Control Objectives for Information and Related Technology (Cobit) oder der Sicherheitsstandard PCI DSS für den elektronischen Zahlungsverkehr betreffen sämtliche IT-Bereiche wie Netzwerke, Server, Mainframe, Datenbanken und Applikationen. Obwohl die zugehörigen Bereiche im Unternehmen miteinander verbunden sind, unterliegen sie unterschiedlichen Verantwortungsbereichen, die jeweils für Sicherheit, Überwachung und Leistung verantwortlich sind. „Mit der Migration auf virtuelle Server verteilen sich Verantwortlichkeiten weiter: Eine Anwendung kann gleichzeitig auf unterschiedlichen Systemen laufen parallel mit Applikationen, die dafür eigentlich nicht vorgesehen waren“, erklärt Martin Ulmer. „Mit Cloud Computing verteilt sich das Datenmanagement global, was der Transparenz bezüglich Sicherheit und Compliance zusätzlich abträglich ist. Spätestens jetzt braucht man eine übergreifende IT-Datenmanagementlösung.“

IT-Daten als Steuerungsinstrument

Schließlich gelte es, die Situation des Gesamtunternehmens zu betrachten. Dazu müssen die IT- und Log-Daten, die von Systemen, Geräten oder Applikationen im Netz gesendet werden, lückenlos gesammelt und mit den Controls der ISO 27002 abgeglichen werden. Und an diesem Punkt wird es erst einmal politisch: „Über Abteilungs-, Verantwortungs- und Kompetenzgrenzen hinweg Logs zu erfassen und anschließend die entsprechenden Informationen wieder den einzelnen Abteilungen für Fehlersuche, Forensik, Reporting und Alarmierung zur Verfügung zu stellen, hat hierarchische Hürden“, berichtet Martin Ulmer aus dem Praxisalltag. „Es ist Aufgabe der CIO und CFO, die ISO-Prozesse von oben durchzusetzen und zu kontrollieren.“ Nicht erst mit ISO 27001 gehen technische und politische Veränderungen in Unternehmen Hand in Hand: Laut der aktuellen Sans-Studie 2011 sammeln 89 Prozent der Unternehmen IT- und Log-Daten in der einen oder anderen Form, um die Sicherheit zu erhöhen, die Forensik zu verbessern oder die Einhaltung von Compliance-Richtlinien zu unterstützen. IT-Datenmanagement bietet die Möglichkeit, präzise zu wissen und zu verstehen, was im IT-Netz vorgeht. Damit avanciert das IT-Thema zur Aufgabe der Geschäftsführung.

Digitaler Blick auf das gesamte Unternehmen

Log Management hat sich vom technischen Monitoring-Tool zum Steuerungsinstrument für das Management in Form von IT-Datenmanagement gewandelt. Schließlich haften die Verantwortlichen persönlich dafür, angemessene Risikoüberwachungs- und Früherkennungssysteme zur Gefahrenabwehr einzusetzen. Geht es um ISO-Zertifizierung, gewinnt IT-Datenmanagement weiter an Relevanz für die Unternehmensführung. „Für zuverlässiges Unternehmens- und Compliance-Management gelten klare Kriterien: Zunächst müssen die Log- und IT-Daten lückenlos und in Echtzeit erfasst werden. Dabei darf es weder Einschränkungen im Umfang geben noch dürfen Systemgrenzen eine Hürde darstellen“, erklärt Martin Ulmer die Herangehensweise. „Ist dies erreicht, geht es darum, die Handhabung so effizient wie möglich zu gestalten – und hier ist auch der Übergang von Log Management zu IT-Datenmanagement zu sehen: Es gilt, anhand der Masse an IT- und Log-Daten schnellstmöglich Wissen und Einblick in die Vorgänge im IT-Netz zu schaffen, um direkt auf Verletzungen von Sicherheits- und Compliance-Richtlinien reagieren zu können und besser noch, im Kontext der Gesamtsituation die Risiken von Konstellationen, die für sich genommen harmlos erscheinen, vorab zu erkennen und entsprechende Maßnahmen einzuleiten.“

Automatisierung reduziert den ISO-Aufwand

Ein hoher Automatisierungsgrad im IT-Datenmanagement unterstützt dabei ein effizientes und kostenbewusstes Vorgehen. „Out-of-the-Box-Korrelationslösungen sorgen dafür, dass die Logs und IT-Daten über Filter, Reports und Alarm-Funktionen mit den Regeln und Controls aus ISO 27002 abgeglichen werden“, sagt Martin Ulmer. „Kombiniert mit einem Management-Tool wird der Compliance-Workflows automatisiert.“ Dabei werden den Verantwortlichen im Unternehmen die Rollen zugewiesen, die für einen ISO 27002 Audit notwendig sind. Die für das Compliance Management festgelegten Prozesse und Reports aktiviert der IT-Administrator. Die Reviewer prüfen die Reports im vorgeschrieben Zeitraum in Relation zu den IT Service Management Prozessen im Unternehmen. Ein ‚Executive Dashboard‘ zeigt, welche Bereiche die Controls eingehalten haben und was optimiert werden muss. Mit diesen definierten Abläufen und Verantwortlichkeiten ist es für einen Auditor einfacher, die Einhaltung der geforderten Prozesse zu prüfen. „Damit die Vorteile einer ISO 2700x Zertifizierung nicht durch den Aufwand zunichte gemacht werden, sind die Faktoren ‚lückenlose IT-Datensammlung‘ und ‚Automatisierungsgrad zwischen IT-Datenmanagement und Compliance-Workflow‘ entscheidend“, so das Resümee von Martin Ulmer. „Nicht zu vergessen ist aber auch die Skalierbarkeit des IT-Datenmanagements: Nur wenn es mit dem Unternehmen und der Modernisierung des IT-Systems schritthalten kann, sind getätigte Investitionen für die Einhaltung von Compliance geschützt und zukunftsfähig.“

 

Überwachungsbereiche der ISO 2700x

  1. Information Security Policy: Weisungen und Richtlinien zur Informationssicherheit
  2. Organization of Information Security: Sicherheitsorganisation und -Managementprozess
  3. Asset Management: Verantwortung und Klassifizierung von Informationswerten
  4. Human Resources Security: Personelle Sicherheit
  5. Physical and Environmental Security: Physische Sicherheit und öffentliche Versorgungsdienste
  6. Communications and Operations Management: Netzwerk- und Betriebssicherheit
  7. Access Control: Zugriffskontrolle
  8. Information Systems Acquisition, Development and Maintenance: Systementwicklung und Wartung
  9. Information Security Incident Management: Umgang mit Sicherheitsvorfällen
  10. Business Continuity Management: Notfallvorsorgeplanung
  11. Compliance: Einhaltung von Vorgaben, Sicherheitsrichtlinien und Überprüfungen durch Audits


Das könnte Sie auch interessieren:

22 Organisationen aus Industrie und Wissenschaft haben erstmals gemeinsame Empfehlungen für eine Innovationspolitik vorgelegt. Unterschrieben haben unter anderem der Daad, die Helmholtz-Institute, der VDMA und ZVEI. ‣ weiterlesen

Der französische Softwarehersteller Dassault Systèmes wird die amerkanische Exa Corporation für rund 400 Millionen US-Dollar kaufen. Damit erweitert der Anbieter von PLM- und Engineering-Lösungen sein Portfolio insbesondere im Bereich der Strömungssimulation. ‣ weiterlesen

Viele Unternehmen stehen dem Thema Künstliche Intelligenz grundsätzlich positiv gegenüber. Doch noch haben viele Firmen nicht das richtige Knowhow, um eigene KI-Projekte zu starten. Auch der organisatorische Rahmen und die fehlende Akzeptanz stehen der Marktdurchsetzung von KI-Lösungen noch im Weg. Das ergab eine Untersuchung des amerikanischen Business Analytics-Softwarehersteller SAS Institute.‣ weiterlesen

Sensordaten effizient nutzen

Im Stahlwalzprozess sammeln Tausende von Sensoren kontinuierlich Daten. Zwar übertragen die Sensoren diese Daten mittlerweile weitestgehend automatisiert, häufig erfolgt die Auswertung jedoch manuell. Das bedeutet viel Aufwand und einige Risiken bei Energieeffizienz oder Produktqualität. Gute Gründe, die Sensordaten automatisiert zu analysieren. ‣ weiterlesen

Materialise übernimmt Actech

Materialise, ein belgischer Anbieter von Additive Manufacturing-Angeboten, hat die Sctech GmbH auf Freiberg/Sachsen erworben. Actech ist ein Full Service-Hersteller von komplexen Metallgussteilen. Mit der Übernahme will Materialise sein Portfolio spezielle 3D-gedruckte Metallteile erweitern.‣ weiterlesen

Cyberangriffe auf die Industrie: Fertigungsbranche ist Top-Ziel

Etwa jede dritte Cyberattacke auf Rechner für industrielle Kontrollsysteme (ICS, Industrial Control Systems) in der ersten Jahreshälfte 2017 richtete sich gegen Unternehmen aus der Fertigungsbranche. Das zeigt der aktuelle Kaspersky-Bericht über Cyberbedrohungen für industrielle Automationssysteme [1]. Der zahlenmäßige Höhepunkt der Angriffe lag dabei im März 2017 – auch bedingt durch Wannacry. Zwischen April bis Juni gingen die Werte wieder leicht zurück. ‣ weiterlesen