Anzeige
Anzeige
Beitrag drucken

Log Management nach ISO 27002

Compliance als Wettbewerbsvorteil

In der Prozess- und Fertigungsindustrie gewinnen die ISO Normen 27001 und 27002 an Bedeutung. Die Standards gehören zu den wenigen international anerkannen Richtlinien: Ob in Pharma-, Automobil- oder Telekommunikationsindustrie – wer Informationssicherheit bieten und nachweisen kann, wird zum bevorzugten Partner. Dabei geht es nicht nur um den Schutz von Daten, sondern auch um hohe Systemverfügbarkeit und die Fähigkeit, gesetzliche Regulierungs- und Compliance-Vorschriften einzuhalten.

ISO-Normen waren noch nie ein leichtes Brot, bei ISO 27001 und 27002 kommt noch erschwerend die Dynamik der Entwicklung in der IT-Sicherheit hinzu: Regeln und Richtlinien müssen an sich ändernde IT-Umgebungen im Unternehmen oder bei Partnern und Kunden angepasst werden. Ein einmal aufgestelltes Sicherheitssystem darf nicht statisch konzipiert sein, ansonsten sind einem Unternehmen sehr schnell die Hände gebunden beim Versuch, sich flexibel und schnell auf Neuerungen des Marktes, der IT oder des Gesetzgebers einzustellen.

Technische und unternehmenspolitische Hürden

Der Oberbegriff ISO 27000 steht für die IT-Sicherheitsnormen der ISO 2700x-Familie. Dabei legt die ISO 27002 fest, wie IT-Sicherheit in der Praxis realisiert wird, inklusive Zielen, Vorschlägen zur Umsetzung und Kontrollmechanismen. Insgesamt werden elf Überwachungsbereiche erfasst, die sich in 39 Hauptkategorien untergliedern. Diese wiederum sind mit insgesamt 133 Sicherheitsmaßnahmen, auch ‚Controls‘ genannt, ausgelegt, deren Anwendung die Erreichung der Kontrollziele unterstützt. Schon ein oberflächlicher Einblick in ISO 27001 lässt ahnen, dass die Umsetzung von erheblichem Aufwand begleitet ist, technisch wie unternehmenspolitisch. „In diesen komplexen und dynamischen Umgebungen gilt es, auf den kleinsten und stabilen gemeinsamen Nenner aufzusetzen, und das sind Logs und IT-Daten, die von jeder Hardware und Software bei jeder Aktion erzeugt werden“, erklärt Martin Ulmer, Territory Account Manager bei Loglogic Deutschland. „Log Management ist schon bei klassischen IT-Infrastrukturen für zuverlässige Sicherheit erforderlich, findet aber häufig nur als Insellösungen einzelner IT-Abteilungen statt. Wer eine ISO 2700x-Zertifizierung anstrebt, für den wird modernes Log- und IT-Datenmanagement unumgänglich. Gleiches gilt, wenn Virtualisierung oder Outsourcing mittels Cloud Computing im Unternehmen relevant sind: In komplexen Welten zwischen physischen und virtuellen Servern sowie kaum noch lokalisierbaren Cloud-Systemen sind Logs und IT-Daten die einzig nicht manipulierbaren Anhaltspunkte. Setzt man sie in Beziehung zeigen sie präzise an, was im IT-Netz geschieht.“

Verteilte Verantwortlichkeiten strukturieren

Standards wie ISO 27002, die Organisationsrichtline Control Objectives for Information and Related Technology (Cobit) oder der Sicherheitsstandard PCI DSS für den elektronischen Zahlungsverkehr betreffen sämtliche IT-Bereiche wie Netzwerke, Server, Mainframe, Datenbanken und Applikationen. Obwohl die zugehörigen Bereiche im Unternehmen miteinander verbunden sind, unterliegen sie unterschiedlichen Verantwortungsbereichen, die jeweils für Sicherheit, Überwachung und Leistung verantwortlich sind. „Mit der Migration auf virtuelle Server verteilen sich Verantwortlichkeiten weiter: Eine Anwendung kann gleichzeitig auf unterschiedlichen Systemen laufen parallel mit Applikationen, die dafür eigentlich nicht vorgesehen waren“, erklärt Martin Ulmer. „Mit Cloud Computing verteilt sich das Datenmanagement global, was der Transparenz bezüglich Sicherheit und Compliance zusätzlich abträglich ist. Spätestens jetzt braucht man eine übergreifende IT-Datenmanagementlösung.“

IT-Daten als Steuerungsinstrument

Schließlich gelte es, die Situation des Gesamtunternehmens zu betrachten. Dazu müssen die IT- und Log-Daten, die von Systemen, Geräten oder Applikationen im Netz gesendet werden, lückenlos gesammelt und mit den Controls der ISO 27002 abgeglichen werden. Und an diesem Punkt wird es erst einmal politisch: „Über Abteilungs-, Verantwortungs- und Kompetenzgrenzen hinweg Logs zu erfassen und anschließend die entsprechenden Informationen wieder den einzelnen Abteilungen für Fehlersuche, Forensik, Reporting und Alarmierung zur Verfügung zu stellen, hat hierarchische Hürden“, berichtet Martin Ulmer aus dem Praxisalltag. „Es ist Aufgabe der CIO und CFO, die ISO-Prozesse von oben durchzusetzen und zu kontrollieren.“ Nicht erst mit ISO 27001 gehen technische und politische Veränderungen in Unternehmen Hand in Hand: Laut der aktuellen Sans-Studie 2011 sammeln 89 Prozent der Unternehmen IT- und Log-Daten in der einen oder anderen Form, um die Sicherheit zu erhöhen, die Forensik zu verbessern oder die Einhaltung von Compliance-Richtlinien zu unterstützen. IT-Datenmanagement bietet die Möglichkeit, präzise zu wissen und zu verstehen, was im IT-Netz vorgeht. Damit avanciert das IT-Thema zur Aufgabe der Geschäftsführung.

Digitaler Blick auf das gesamte Unternehmen

Log Management hat sich vom technischen Monitoring-Tool zum Steuerungsinstrument für das Management in Form von IT-Datenmanagement gewandelt. Schließlich haften die Verantwortlichen persönlich dafür, angemessene Risikoüberwachungs- und Früherkennungssysteme zur Gefahrenabwehr einzusetzen. Geht es um ISO-Zertifizierung, gewinnt IT-Datenmanagement weiter an Relevanz für die Unternehmensführung. „Für zuverlässiges Unternehmens- und Compliance-Management gelten klare Kriterien: Zunächst müssen die Log- und IT-Daten lückenlos und in Echtzeit erfasst werden. Dabei darf es weder Einschränkungen im Umfang geben noch dürfen Systemgrenzen eine Hürde darstellen“, erklärt Martin Ulmer die Herangehensweise. „Ist dies erreicht, geht es darum, die Handhabung so effizient wie möglich zu gestalten – und hier ist auch der Übergang von Log Management zu IT-Datenmanagement zu sehen: Es gilt, anhand der Masse an IT- und Log-Daten schnellstmöglich Wissen und Einblick in die Vorgänge im IT-Netz zu schaffen, um direkt auf Verletzungen von Sicherheits- und Compliance-Richtlinien reagieren zu können und besser noch, im Kontext der Gesamtsituation die Risiken von Konstellationen, die für sich genommen harmlos erscheinen, vorab zu erkennen und entsprechende Maßnahmen einzuleiten.“

Automatisierung reduziert den ISO-Aufwand

Ein hoher Automatisierungsgrad im IT-Datenmanagement unterstützt dabei ein effizientes und kostenbewusstes Vorgehen. „Out-of-the-Box-Korrelationslösungen sorgen dafür, dass die Logs und IT-Daten über Filter, Reports und Alarm-Funktionen mit den Regeln und Controls aus ISO 27002 abgeglichen werden“, sagt Martin Ulmer. „Kombiniert mit einem Management-Tool wird der Compliance-Workflows automatisiert.“ Dabei werden den Verantwortlichen im Unternehmen die Rollen zugewiesen, die für einen ISO 27002 Audit notwendig sind. Die für das Compliance Management festgelegten Prozesse und Reports aktiviert der IT-Administrator. Die Reviewer prüfen die Reports im vorgeschrieben Zeitraum in Relation zu den IT Service Management Prozessen im Unternehmen. Ein ‚Executive Dashboard‘ zeigt, welche Bereiche die Controls eingehalten haben und was optimiert werden muss. Mit diesen definierten Abläufen und Verantwortlichkeiten ist es für einen Auditor einfacher, die Einhaltung der geforderten Prozesse zu prüfen. „Damit die Vorteile einer ISO 2700x Zertifizierung nicht durch den Aufwand zunichte gemacht werden, sind die Faktoren ‚lückenlose IT-Datensammlung‘ und ‚Automatisierungsgrad zwischen IT-Datenmanagement und Compliance-Workflow‘ entscheidend“, so das Resümee von Martin Ulmer. „Nicht zu vergessen ist aber auch die Skalierbarkeit des IT-Datenmanagements: Nur wenn es mit dem Unternehmen und der Modernisierung des IT-Systems schritthalten kann, sind getätigte Investitionen für die Einhaltung von Compliance geschützt und zukunftsfähig.“

 

Überwachungsbereiche der ISO 2700x

  1. Information Security Policy: Weisungen und Richtlinien zur Informationssicherheit
  2. Organization of Information Security: Sicherheitsorganisation und -Managementprozess
  3. Asset Management: Verantwortung und Klassifizierung von Informationswerten
  4. Human Resources Security: Personelle Sicherheit
  5. Physical and Environmental Security: Physische Sicherheit und öffentliche Versorgungsdienste
  6. Communications and Operations Management: Netzwerk- und Betriebssicherheit
  7. Access Control: Zugriffskontrolle
  8. Information Systems Acquisition, Development and Maintenance: Systementwicklung und Wartung
  9. Information Security Incident Management: Umgang mit Sicherheitsvorfällen
  10. Business Continuity Management: Notfallvorsorgeplanung
  11. Compliance: Einhaltung von Vorgaben, Sicherheitsrichtlinien und Überprüfungen durch Audits


Das könnte Sie auch interessieren:

Telefónica Tech erwirbt BE-terna und will damit seine Position als Technologie-Dienstleister stärken.‣ weiterlesen

Tim van Wasen tritt die Nachfolge von Stéphane Paté an und wird Geschäftsführer von Dell Technologies Deutschland.‣ weiterlesen

Überwachungssysteme, die vor Einbrüchen schützen sollen und sich per Smartphone-App steuern lassen, sollen die Nutzer in Sicherheit wiegen. Dass dieses Gefühl trügen kann, haben Studierende aus dem Studiengang Informatik an der Hochschule Emden/Leer im Rahmen eines Forschungsprojektes aufgedeckt.‣ weiterlesen

Das IT-Unternehmen Checkmarx hat das Tool Supply Chain Security vorgestellt. Das Programm zielt aber nicht auf die physische Lieferkette eines Produktionsunternehmens ab, sondern überwacht im Zusammenspiel mit Checkmarx Software Composition Analysis (SCA) den Health- und Security-Status von Open-Source-Projekten mit Blick auf mögliche Anomalien.‣ weiterlesen

Unternehmen haben bezüglich der Digitalisierung ihrer Qualitätsprozesse heute mehr Möglichkeiten denn je. Beim Blick auf klassische Produktionsunternehmen und deren Systemlandschaften kommen ERP- und CRM-Systeme, MES-Software und CAQ-Lösungen zum Vorschein, die durch offene Schnittstellenkonzepte wie OpenAPI in Summe wesentlich mehr Integrationsmöglichkeiten als früher mitbringen.‣ weiterlesen

Mit der weltgrößten Spaltrohrmotorpumpe mit Explosionsschutz konnte Hermetic-Pumpen für Aufsehen sorgen. Um bei der Entwicklung und Fertigung der Spezialpumpen erforderliche Normen und Vorgaben möglichst effizient umzusetzen, setzt der Hersteller aus Gundelfingen auf ein Integriertes Managementsystem.‣ weiterlesen

Mit einem Manufacturing Execution System (MES) können mittelständische Fertigungsbetriebe ihre Produktion digitalisieren und sie so auf komplexere Marktanforderungen ausrichten. Auf welche Funktionalitäten Fertiger achten sollten, zeigt der folgende Beitrag.‣ weiterlesen

Das Maschinenbauunternehmen Schenck Process hat die serverlose, modulare IoT-Plattform Coniq Cloud auf den Markt gebracht. Das System ist als IoT-Backbone für die eigenen Maschinen gedacht und bietet Anwendungsprogramme etwa zu Optimierung von Produktionszeiten und für Datenauswertungen.‣ weiterlesen

Komplexe Fertigung in Kombination mit hohem Termindruck führten beim Maschinenbauer Knoll dazu, dass lediglich 53 Prozent der Liefertermine zu halten waren. Nach der Einführung der PPS-Lösung von LF Consult liegt die Termintreue bei über 90 Prozent - bei kürzeren Durchlaufzeiten.‣ weiterlesen

Wenn sich am 30. Mai die Hallentore zum Flagschiff der Deutschen Messe öffnen, kann das als Startschuss für das postpandemische Messegeschehen gelten. Denn die Hannover Messe nimmt traditionell eine Sonderrolle unter den Industrieausstellungen ein. Grund dafür ist auch das hochkarätige Begleitprogramm, das diesmal mit 600 Vorträgen auf sechs Bühnen die Angebote der 2.500 Aussteller einrahmt.‣ weiterlesen

In diesem Jahr findet die Intralogistikmesse Logimat wieder in Präsenz statt. Und laut Veranstalter bewegen sich die Buchungen wieder auf Vor-Pandemie-Niveau. 1.500 Aussteller werden vom 31. Mai bis zum 2. Juni in Stuttgart erwartet.‣ weiterlesen

Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige