Security Monitoring: Ein Muss für jede Firma

Security Monitoring ist unverzichtbar. Denn immer mehr Standards und Regularien machen heute diesbezüglich klare Vorgaben. Zudem hilft die Auswertung der Logdaten, die Sicherheit markant zu erhöhen - und zwar ohne Mehrausgaben.

» Von Uwe Maurer, 23.10.2007 09:22. Letztes Update, 23.10.2007 09:23.

Uwe Maurer ist Senior Consultant der Integralis Deutschland.

Wer seine IT-Security nicht im Griff hat, steht mit einem Bein im Gefängnis. Denn Gesetze und Standards machen heute klare Vorgaben zum Nachweis der IT-Sicherheit im Unternehmen. Kann die ordungsgemässe IT-Sicherheit nicht belegt werden, drohen empfindliche Strafen.

Ein guter Weg, die IT-Security und damit die Compliance zu dokumentieren, bietet Security Monitoring. Weshalb es heute auch für dieses in den verschiedenen Regularien klare Formulierungen und Vorgaben gibt.

Standards fordern Security Monitoring

Im ISO-Standard 17799 ist dem Security Monitoring ein eigenes Kapitel gewidmet. Darin werden unter anderem die Vorgaben formuliert, dass die Systeme unter Einhaltung der gesetzlichen Vorschriften zu überwachen sind und dass alle sicherheitsrelevanten Ereignisse aufgezeichnet werden müssen. Überdies wird vorgegeben, dass die Effektivität der eingesetzten Schutzmassnahmen überwacht werden muss und die geforderte Richtlinienkonformität nachzuweisen ist. Weiterhin finden sich in ISO 17799 klare Empfehlungen als Schutzmassnahmen im Bereich Security Monitoring. So wird ein Audit-Logging ebenso vorgeschlagen wie die laufende Überwachung der Systemnutzung, die Implementierung eines ausreichenden Schutzes der Log-Informationen gegen Manipulationen, die Aufzeichnung der Administrations- und Betriebsaktivitäten, die lückenlose Fehleraufzeichnung und eine Zeitsynchronisation zur besseren Auswertbarkeit.

Verbindliche Vorschriften für das Security Monitoring sind auch im Gramm-Leach-Billey Act (GLBA) aufgeführt. Das Gesetz, welches sich auf den gesamten Finanzsektor bezieht, fordert ausdrücklich die Entwicklung unternehmensweiter Sicherheitsrichtlinien zum Schutz der Vertraulichkeit von Kundendaten vor bekannten Gefährdungen und unautorisierten Zugriffen. Ähnliche Bestimmungen finden sich im Payment Card Industry Data Security Standard (PCI DSS), einem Sicherheitsstandard zur Abwicklung von Kreditkartentransaktionen (siehe auch «Kreditkartennummer ohne Reue» in Computerworld 40/2007, Seite 8). In diesem Standard, in dem die Kreditkartenindustrie klare Massnahmen zur Erhöhung der Datensicherheit beim Umgang mit Kreditkartendaten vorschreibt, sind unter Punkt zehn bis zwölf drei klare Vorgaben zum Security Monitoring aufgeführt: Alle Zugriffe auf Daten von Kreditkarteninhabern sind zu protokollieren und zu prüfen. Alle Sicherheitssysteme und -prozesse sind regelmässig zu verifizieren. Es werden umfangreiche Audit-Trails und deren tägliche Kontrolle eingefordert.

KOMMENTARE

Keine Kommentare

KOMMENTAR SCHREIBEN

Vorname: *

Name: *

E-Mail: *

Code eingeben:

Kommentar: *

Alles Pflichfelder, E-Mail-Adresse wird nicht angezeigt.

Die Redaktion hält sich vor, unangebrachte, rassistische oder ehrverletzende Kommentare zu löschen.
Die Verfasser von Leserkommentaren gewähren der IDG Communications AG das unentgeltliche, zeitlich und räumlich unbegrenzte Recht, ihre Leserkommentare ganz oder teilweise auf dem Portal zu verwenden. Eingeschlossen ist zusätzlich das Recht, die Texte in andere Publikationsorgane, Medien oder Bücher zu übernehmen und zur Archivierung abzuspeichern.