Zum Inhalt springen

Services, Wiki-Artikel, Blog-Beiträge und Glossar-Einträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen
Log-Management für Unternehmen: Was protokollieren, wie lange aufbewahren, - Cybersicherheit und digitaler Schutz
Security Operations

Log-Management für Unternehmen: Was protokollieren, wie lange aufbewahren, wie auswerten

Ohne Logs kein Incident Response. Dieser Guide erklärt welche Ereignisse unbedingt protokolliert werden müssen, wie lange Logs aufzubewahren sind (DSGVO, NIS2, ISO 27001), wie zentrales Log-Management mit ELK/Graylog/Splunk funktioniert und welche Alerts man auf jeden Fall braucht.

Oskar Braun Oskar Braun Abteilungsleiter Information Security Consulting
9 Min. Lesezeit
ISO 27001 Lead Auditor (IRCA) ISB (TÜV)

TL;DR

Ein effektives Log-Management ist für die Incident Response und Compliance im Mittelstand unverzichtbar, um nach Sicherheitsvorfällen nicht im Dunkeln zu tappen. Dieser Artikel beleuchtet, welche Ereignisse prioritär protokolliert werden müssen, wie etwa erfolgreiche und fehlgeschlagene Logins (Event ID 4624/4625) im Active Directory oder das Starten neuer Prozesse (Event ID 4688) auf Endpunkten. Zudem erfahren Sie, dass Logs gemäß NIS2 mindestens 12 Monate und nach PCI DSS v4 sogar 12 Monate, davon 3 Monate sofort verfügbar, aufbewahrt werden sollten. Für die zentrale Verwaltung bieten sich kostenfreie Open-Source-Lösungen wie Graylog Open oder der ELK Stack an, die leistungsstarke Analyse- und Alerting-Funktionen bereitstellen.

Diese Zusammenfassung wurde KI-gestützt erstellt (EU AI Act Art. 52).

Inhaltsverzeichnis (4 Abschnitte)

„Wir wissen nicht was passiert ist” - dieser Satz nach einem Sicherheitsvorfall ist vermeidbar. Zentrales Log-Management ist die Voraussetzung für Incident Response, Forensik und Compliance-Nachweise. Und es ist günstiger als die meisten denken: Open-Source-Lösungen wie ELK Stack oder Graylog sind leistungsfähig und kostenfrei.

Was muss protokolliert werden?

Pflicht-Log-Quellen nach Priorität:

KRITISCH (ohne diese ist Incident Response unmöglich):

Active Directory / Entra ID:
  Event ID 4624: Erfolgreicher Login
  Event ID 4625: Fehlgeschlagener Login (Brute Force!)
  Event ID 4648: Login mit explizitem Credential (Pass-the-Hash?)
  Event ID 4720: User-Account erstellt
  Event ID 4726: User-Account gelöscht
  Event ID 4728/4732/4756: User zu privilegierter Gruppe hinzugefügt
  Event ID 4740: Account gesperrt (Brute Force?)
  Event ID 4768/4769: Kerberos TGT/Ticket requested
  Event ID 4771: Kerberos pre-authentication failed

Firewall / Perimeter:
  Alle verworfenen eingehenden Verbindungen
  Erlaubte eingehende Verbindungen auf Port 22, 3389, 443
  Alle ausgehenden Verbindungen auf ungewöhnliche Ports
  VPN-Logins und -Logouts

Endpunkte (Windows Event Log):
  Event ID 4688: Neuer Prozess gestartet (Process Creation)
  Event ID 7045: Neuer Dienst installiert (Persistence!)
  Event ID 4657/4663: Registry- / Datei-Zugriff auf kritische Pfade
  Event ID 4698: Geplante Aufgabe erstellt (Persistence!)
  Event ID 1102/104: Event Log gelöscht (Angreifer verwischt Spuren!)

WICHTIG:

Web Server / Reverse Proxy:
  Alle HTTP-Requests mit Status-Code 4xx, 5xx
  User-Agent, Source-IP, URL
  Authentifizierungsversuche

Datenbank:
  Fehlerhafte Login-Versuche
  DDL-Operationen (CREATE TABLE, DROP TABLE)
  Große Data-Exports (SELECT * mit vielen Zeilen)

E-Mail-Gateway:
  Blockierte E-Mails (Phishing-Versuche!)
  E-Mails mit verdächtigen Anhängen
  Spam-Score-Überschreitungen

VPN:
  Alle Logins mit IP-Adresse
  Verbindungsdauer
  Transfervolumen pro Session

DNS:
  Alle DNS-Abfragen (wertvoll für C2-Erkennung)
  NXDOMAIN-Antworten (Typosquatting-Versuche?)
  Abfragen für bekannte Malware-Domains

Log-Aufbewahrungsfristen

Aufbewahrungspflichten und Empfehlungen:

Regulatorische Mindestfristen:

DSGVO:
  → Keine direkte Vorschrift für Log-Retention
  → Aber: Art. 5(1)(e) Speicherbegrenzung - nicht länger als nötig
  → Art. 30: Verarbeitungsverzeichnis muss Log-Kategorien enthalten
  → Praxis: 6-12 Monate für Security-Logs, Einzelfälle dokumentieren

NIS2 (Art. 21):
  → "Sicherheitsmaßnahmen" implizieren Logs für Incident Response
  → Branchenempfehlung: 12 Monate für sicherheitsrelevante Logs

ISO 27001:2022 A.8.15:
  → "Ereignisprotokollierung: Aufzeichnungen erzeugen, schützen, analysieren"
  → Keine spezifische Retention-Dauer
  → Orientierung an Risikobewertung

BSI IT-Grundschutz OPS.1.1.5:
  → Min. 6 Monate für sicherheitsrelevante Ereignisse

PCI DSS v4 Req. 10.7:
  → Min. 12 Monate, davon 3 Monate sofort verfügbar

SOX (Sarbanes-Oxley, US-börsennoriert):
  → 7 Jahre für Finanz-relevante Logs

Empfohlene Retention-Zeiten:

Log-Typ                    Empfehlung    Begründung
Firewall-Logs              12 Monate     Incident Investigation
Authentication-Logs (AD)   12 Monate     Forensik, Compliance
Security-Events (Endpoints) 12 Monate   DFIR
Web-Server-Logs            6 Monate      Security + Debugging
Datenbank-Logs             12 Monate     Datenschutz-Audit
E-Mail-Logs                6 Monate      Compliance
DNS-Logs                   3 Monate      Threat Hunting
NetFlow                    3 Monate      Network Forensik
Application-Logs           3 Monate      Debugging
Debug-Logs                 30 Tage       Nur Troubleshooting

Log-Aufbewahrung sicher:
  → Schreibschutz: Logs dürfen nicht gelöscht oder modifiziert werden
  → Unveränderlichkeit: WORM-Storage oder kryptographische Integrität
  → Zugriff: nur Sicherheitsteam, nicht die Admins deren Aktionen geloggt werden!
  → Trennung: Log-Server separat vom übrigen Netz

Zentrales Log-Management

Stack-Empfehlungen für verschiedene Unternehmensgrößen:

Klein (< 50 Mitarbeiter):

  Syslog + Logwatch:
    Minimallösung: rsyslog sammelt Logs, Logwatch sendet Daily-Report
    Kosten: 0 EUR
    Aufwand: 2h Einrichtung
    Nachteil: kein SIEM, manuelle Analyse

  Graylog Open (kostenlos):
    graylog.org/products/open
    → Zentrales Log-Management mit Dashboards
    → Alerting, Suche, Visualisierung
    → Benötigt: ~8 GB RAM für Basisinstallation
    → Kosten: 0 EUR + Server-Betriebskosten

Mittelstand (50-500 Mitarbeiter):

  ELK Stack (Elasticsearch + Logstash + Kibana):
    Komponenten:
    → Elasticsearch: Speicher und Suche
    → Logstash: Parsing und Normalisierung
    → Kibana: Visualisierung und Dashboards
    → Filebeat/Winlogbeat: Log-Shipper auf Clients/Servern

    Docker-Compose Beispiel:
    version: '3'
    services:
      elasticsearch:
        image: elasticsearch:8.11.0
        environment:
          - discovery.type=single-node
          - xpack.security.enabled=true
        volumes:
          - es-data:/usr/share/elasticsearch/data

      kibana:
        image: kibana:8.11.0
        ports:
          - "5601:5601"
        depends_on:
          - elasticsearch

      logstash:
        image: logstash:8.11.0
        volumes:
          - ./logstash/pipeline:/usr/share/logstash/pipeline

  OpenSearch (AWS-Fork von ELK, kostenlos):
    → Gute Alternative zu ELK
    → Kein X-Pack-Lizenzproblem
    → OpenSearch Dashboards (=Kibana-Fork)

Enterprise (500+ Mitarbeiter):

  Microsoft Sentinel (Cloud-SIEM):
    → Nahtlos in M365/Azure integriert
    → KQL-basierte Abfragen und Alerts
    → Kosten: ~2 USD/GB injested data
    → 90-Tage-Retention inklusive

  Splunk Enterprise:
    → Marktführer bei Enterprise SIEM
    → Mächtige SPL (Search Processing Language)
    → Kosten: teuer (ab ~50k EUR/Jahr)
    → Aber: sehr leistungsfähig

  Elastic Security (kostenpflichtig):
    → ELK + Security Analytics
    → SIEM-Funktionen, Detection Rules
    → Günstigere Alternative zu Splunk

Wichtigste Security-Alerts

Mindest-Alert-Set für jedes Unternehmen:

Alert 1: Brute Force Login-Versuche:
  Trigger: > 10 fehlgeschlagene Logins für gleichen Account in 5 Min.
  Oder: > 50 fehlgeschlagene Logins verschiedener Accounts von gleicher IP

  Graylog Alert (GELF):
  Suche: EventID:4625
  Aggregation: count() > 10 per user per 5min
  Aktion: E-Mail an Security + Account sperren (optional)

Alert 2: Erfolgreicher Login nach vielen Fehlversuchen:
  Trigger: EventID 4624 (Erfolg) nach > 5x EventID 4625 (Fehlschlag)
  → Brute-Force erfolgreich!

Alert 3: Privilegierte Gruppe verändert:
  Trigger: EventID 4728 (User zu Admin-Gruppe hinzugefügt)
  Aktion: Sofort benachrichtigen, manuell prüfen

Alert 4: Event Log gelöscht:
  Trigger: EventID 1102 oder 104
  → Angreifer versucht Spuren zu löschen!
  Aktion: Sofortiger Alarm, Incident Response starten

Alert 5: Neuer Dienst / geplante Aufgabe:
  Trigger: EventID 7045 (Dienst) oder 4698 (Scheduled Task)
  Außerhalb Wartungsfenster: Verdächtig!

Alert 6: Ausgehende Verbindungen zu ungewöhnlichen Ports:
  Trigger: TCP ausgehend Port 4444, 1337, 31337, 8080, 9001
  → Typische C2/Backdoor-Ports

Alert 7: Große Datenmenge ausgehend:
  Trigger: > 100 MB an eine externe IP in einer Stunde (von einem Host)
  → Mögliche Datenexfiltration!

Alert 8: DNS-Anomalien:
  Trigger: > 500 DNS-Queries in einer Stunde von einem Host
  Oder: DNS-Anfragen an Domain < 7 Tage alt
  → DNS-Tunneling / C2 via DNS

Alert-Kanal-Empfehlung:
  CRITICAL: SMS + Anruf (sofortige Reaktion nötig)
  HIGH:     E-Mail + Teams/Slack-Message
  MEDIUM:   E-Mail
  LOW:      Täglicher Report

Ohne Logs ist Incident Response blind. AWARE7 hilft beim Aufbau zentraler Log-Management-Infrastruktur - von der einfachen Graylog-Instanz bis zum vollständigen Microsoft Sentinel SIEM.

Log-Management-Beratung anfragen | SIEM und SOC

Nächster Schritt

Unsere zertifizierten Sicherheitsexperten beraten Sie zu den Themen aus diesem Artikel — unverbindlich und kostenlos.

Kostenlose Erstberatung vereinbaren Leistungen ansehen

Kostenlos · 30 Minuten · Unverbindlich

Artikel teilen

LinkedIn X E-Mail
Zertifiziert ISO 27001ISO 9001AZAVBSI

Cookielose Analyse via Matomo (selbst gehostet, kein Tracking-Cookie). Datenschutzerklärung