Ein Audit-Protokoll ist eine detaillierte chronologische Aufzeichnung aller Änderungen an einem Betriebssystem (Operating System, OS), einer Anwendung oder einem Gerät – mit dem Zweck, Systembetrieb und -nutzung nachzuverfolgen.
Moderne IT‑Systeme sind äußerst komplex, weshalb ihre Überwachung oft erheblichen Aufwand mit sich bringt. Wenn die Leistung nachlässt, Fehler auftreten oder Sicherheits- und Compliance-Probleme auftreten, ist es entscheidend, dass Verantwortliche wissen, wer auf das System zugegriffen hat und welche Aktionen diese Person ausgeführt hat.
Audit-Protokolle werden auch als Audit-Pfade (oder Audit-Trails) bezeichnet und stellen genau diese relevanten Informationen bereit. Sie dienen als Aufzeichnung aller Ereignisse in einem Computersystem und ermöglichen es Prüfern und IT‑Mitarbeitern, Benutzeraktionen nachzuverfolgen. So können sie wichtige Einblicke dahin gehend gewinnen, wie das System verwendet wird, wo möglicherweise Probleme auftreten und welche Schwachstellen vorhanden sind und ausgenutzt werden können. Darüber hinaus kann die regulatorische Compliance erfordern, dass Audit-Protokolle über einen bestimmten Zeitraum gepflegt werden.
Wie bei den meisten anderen Aspekten des Unternehmens bringen detaillierte Datensätze, auf die autorisierte Personen einfach zugreifen können, zahlreiche Vorteile mit sich. Und für Unternehmen aus Branchen, die von Compliance-Frameworks reguliert werden, sind Audit-Protokolle nicht nur nützlich, sondern eine Standardanforderung.
Im Folgenden sehen wir uns einige der häufigsten Vorteile von Audit-Protokollen an:
Die üblichen regulatorischen Frameworks, wie z. B. PCI DSS und HIPAA, erfordern den Einsatz von Audit-Protokollen, um die Compliance nachzuweisen. Sie fungieren als offizielle Geschäftsaufzeichnungen, mit denen Prüfer grundlegende Ressourcen zur Untersuchung und Genehmigung von IT‑Systemen erhalten. Und sie schützen Unternehmen vor potenziellen Geld- oder anderen Strafen.
Der Schlüssel für effektive IT‑Sicherheit ist zuverlässiges Wissen. Audit-Pfade bieten detaillierte Aufzeichnungen aller Aktivitäten im IT‑System. Das umfasst nicht nur Standardaktivitäten, sondern auch solche, die eventuell Datensicherheitspraktiken verletzen, nicht autorisierten Zugriff aufweisen oder sogar auf Sicherheitsverletzungen durch einen externen Cyberkriminellen hindeuten. Wenn sie sie richtig einsetzen, können IT‑Mitarbeiter mit Audit-Protokollen mögliche Schwachstellen identifizieren, den Fehlgebrauch von Daten erkennen und verhindern und schnell auf neue Sicherheitsereignisse reagieren. Und da Audit-Protokolle ein offizielles „Dokument“ sind, sind sie in Gerichtsverfahren als Beweismittel zulässig.
Zu verstehen, wie Benutzer mit einem System interagieren, ist der erste Schritt zur Verbesserung dieser Interaktionen. Durch die Nachverfolgung der Benutzeraktivitäten erhalten Administratoren und andere autorisierte Überwacher wertvolle Einblicke in Leistungs-, Produktivitäts-, Effizienz- und andere Probleme. Gleichzeitig können sie potenziell problematische Fälle schneller erkennen und lösen, bevor sie außer Kontrolle geraten.
Aufsichtsbehörden, Partner, Lieferanten und sogar Kunden wollen sich gewiss sein, dass ein Unternehmen sicher ist, bevor sie dort ihre Zeit oder Ressourcen investieren. Ein klarer Audit-Pfad gibt Aufschluss darüber, welche Sicherheitsmaßnahmen das Unternehmen ergreift, um den Datenschutz zu gewährleisten. Durch den Einsatz von Audit-Protokollen im Rahmen eines Risikomanagement-Frameworks können Unternehmen zeigen, dass die Arbeit mit ihnen nur ein geringes Risiko darstellt.
Angesichts der vielen Vorteile, die mit der Pflege zuverlässiger Audit-Protokolle einhergehen, ist es kaum überraschend, dass diese digitalen Aufzeichnungen oftmals für verschiedenste Anwendungsfälle genutzt werden. Hier einige Beispiele:
Unternehmen, die eine Compliance-Zertifizierung erfordern, benötigen digitale Aufzeichnungen darüber, wie ihre Systeme funktionieren, wie darauf zugegriffen wird und wie Benutzer sie verwenden. Ein Audit-Pfad bietet Prüfern die nötigen Informationen, um sicherzustellen, dass sich das Unternehmen im Rahmen der akzeptablen Parameter bewegt und keine problematischen Anomalien auftreten.
In Kombination mit Systemen für Echtzeitnachverfolgung können Audit-Protokolle IT‑Experten dabei unterstützen, anormale und/oder illegale Aktionen im System zu erkennen. Audit-Protokolle stellen der Bedrohungserkennung die nötigen Nachweise und Einblicke bereit, damit sie potenzielle Sicherheitsprobleme schnell erkennen kann, sobald sie auftreten.
Falls ein Unternehmen aufgrund seiner Daten oder IT‑Systeme in ein Gerichtsverfahren verwickelt wird, können Audit-Protokolle als forensische Beweise verwendet werden. Damit können Unternehmen beweisen, dass sie innerhalb der festgelegten Compliance-Richtlinien gearbeitet haben. Und die Informationen können als Beweis gegen diejenigen verwendet werden, die möglicherweise illegale Handlungen innerhalb des Systems durchgeführt haben.
SOC‑Berichte (System and Organization Controls) bieten Unternehmen Sicherheit bei der Arbeit mit Service Providern, indem sie zeigen, dass diese auf konforme Art und Weise arbeiten. Audit-Protokolle vereinfachen und vervollständigen das SOC‑Reporting, damit Lieferanten ihre Glaub- und Vertrauenswürdigkeit klar vermitteln können.
Mithilfe von Audit-Protokollen können Unternehmen die Aktivitäten in ihren IT‑Systemen genau unter die Lupe nehmen. So können selbst kleine Fehler schnell entdeckt und behoben werden, und auch die Wiederherstellung nach Sicherheitsverletzungen wird vereinfacht.
Für die oben aufgeführten Vorteile müssen Audit-Protokolle eine Reihe wichtiger Details enthalten. Sie tragen dazu bei, ein klares Bild der IT‑Umgebung sowie der Umstände zu vermitteln, die mit den einzelnen Aktionen im System verbunden sind. Ein zuverlässiges Audit-Protokoll muss daher Folgendes umfassen:
Ein eindeutiger Bezeichner für das Terminal einer Person, mit dem sich die Quelle eines Systemzugriffs identifizieren lässt
Ein eindeutiger Bezeichner für einen spezifischen Benutzer, mit dem sich ermitteln lässt, wer auf das System zugreift
Zuverlässige Zeitstempel, die angeben, wann Systemaktionen versucht oder durchgeführt wurden, sowie die allgemeine Zeitdauer des Systemzugriffs
Informationen darüber, auf welche Netzwerke ein Benutzer zuzugreifen versucht (selbst wenn der Zugriff nicht erfolgreich ist)
Informationen darüber, auf welche Systeme, Daten und Anwendungen ein Benutzer zuzugreifen versucht
Informationen darüber, auf welche Dateien ein Benutzer zuzugreifen versucht
Ausführliche Informationen, die jegliche Änderungen an System, Netzwerk, Anwendungen oder Dateien beschreiben
Details dazu, auf welche Dienstprogramme ein Benutzer im System zugreift und wie er sie verwendet
Informationen über etwaige Sicherheitsalarme oder -benachrichtigungen, die vom Benutzer aktiviert werden
Eine klare Aufzeichnung aller Systembenachrichtigungen, die von einem Benutzer ausgelöst wurden, während er sich im System befand
Zum Glück sind die Zeiten, in denen der Zugriff manuell protokolliert und überprüft werden musste, lange vorbei. Heute können die meisten relevanten Technologielösungen Audit-Protokolle automatisch erstellen und zeichnen hierbei ausnahmslos jede Aktion auf, die im System durchgeführt wurde. Doch bei der Implementierung einer funktionierenden Protokollverwaltungsstrategie müssen Unternehmen weiterhin einige wichtige Herausforderungen meistern, darunter:
Audit-Protokolle bestehen aus großen Datenmengen, und je mehr Prozesse, Systeme, Geräte und Aktionen nachverfolgt werden, desto mehr Speicherplatz wird auch benötigt. Das kann zu Speicherproblemen führen und die Investitionen erhöhen, die Unternehmen hier tätigen müssen. Denn sie müssen entweder sicherstellen, dass der Vertrag mit dem Anbieter ihrer SaaS-Plattform ausreichend Speicherplatz beinhaltet, oder – wenn Sie den Sprung zu einer modernen GRC‑Lösung noch nicht gewagt haben – mehr interne Server einrichten oder mehr externen Speicherplatz mieten.
Zwar ist einer der Hauptvorteile des Audit-Protokolls, dass es mehr Sicherheit bietet, doch es kann auch selbst zur Schwachstelle werden. Wenn zu viele Personen Zugriff auf die Audit-Protokollinformationen erhalten, können vertrauliche Daten, die während des Audits erfasst wurden, in falsche Hände geraten. Um das zu verhindern, können Unternehmen beispielsweise Persona-basierte Zielseiten und Berichte einrichten, um Ihre Audit-Aktivitäten und Interaktionsaufgaben in Echtzeit anzuzeigen. Ebenso gilt: Audit-Protokolle können unsicherer sein als die Systeme, die sie überwachen, und Cyberkriminellen einen einfacheren Weg zu sensiblen Daten bieten. Indem der Zugriff auf diese Protokolle über ein Portal erfolgt, das auf einer sicheren SaaS-Plattform gehostet wird, können Unternehmen dieses Risiko mindern.
Selbst innerhalb eines einzigen Unternehmens entstehen oft Diskussionen darüber, wie lange digitale Aufzeichnungen aufbewahrt werden sollen. Einige Gesetze und Vorschriften sehen eine Mindestdauer vor (zum Beispiel 6 Monate bis 7 Jahre). Darüber hinaus liegt es im Ermessen der Unternehmen, wie lange sie die Audit-Protokolldaten speichern, bevor sie sie löschen. Je weiter der Audit-Pfad zurückreicht, desto besser ist das Unternehmen geschützt. Doch wenn diese Daten zu lange aufbewahrt werden, kann das unnötige Speicherkosten verursachen.
Zu viele Details im Audit-Protokoll können die Reaktionsfähigkeit des Systems beeinträchtigen. Ähnlich wie beim vorherigen Punkt müssen IT‑Entscheider oft das richtige Gleichgewicht zwischen Sicherheit und Systemeffizienz finden.
Unternehmen, die eine Reihe verschiedener Systeme, Geräte, Anwendungen und anderer Komponenten einsetzen, stoßen möglicherweise auf Probleme, da jede Protokollquelle ihr eigenes Audit-Protokoll erstellt (oder in einigen Fällen sogar mehrere Protokolle). Das führt nicht nur zu den oben erwähnten Speicherproblemen, sondern auch zu uneinheitlichem Reporting, wodurch sich Audit-Protokolle aus verschiedenen Quellen möglicherweise nur schwer in Verbindung setzen oder abgleichen lassen.
Es kommt vor, dass Unternehmen in der Protokollanalyse eine Aufgabe mit niedriger Priorität sehen. So kann es passieren, dass die Personen, die mit ihr betraut sind, nicht die richtige Schulung erhalten oder ihnen der Zugang zu effektiven Tools fehlt. Und das kann wiederum dazu führen, dass Analysen übereilt durchgeführt werden, unvollständig oder ungenau sind oder einfach gar nicht erst erfolgen – es sei denn, es handelt sich um eine Datenschutzverletzung oder eine andere wirklich dringende Situation.
ServiceNow Governance, Risk, and Compliance (GRC) vereint Audit-Managementfunktionen an einem einzigen zentralen Ort. Relevante Daten werden automatisch erfasst und analysiert, Audit-Pfade werden eingerichtet, und Compliance- und Sicherheitsprobleme werden schnell identifiziert. Erfahren Sie mehr über Audit-Management in ServiceNow GRC, und holen Sie sich die nötigen Einblicke, um zu gewährleisten, dass Ihre Systeme und Benutzer optimal zusammenarbeiten.
ServiceNow erleichtert allen Beteiligten die Arbeit, indem Unternehmen aller Größen Risikomanagement, Compliance-Aktivitäten und intelligente Automatisierung nahtlos in Ihre digitalen Geschäftsprozesse integrieren können, um Risiken kontinuierlich zu überwachen und zu priorisieren. ServiceNow-Risikolösungen unterstützen Sie dabei, ineffiziente Prozesse und Datensilos im gesamten erweiterten Unternehmen in ein integriertes Risikoprogramm zu transformieren. Sie können die risikobasierte Entscheidungsfindung optimieren und die Leistung nicht nur unternehmensweit, sondern auch bei der Arbeit mit Lieferanten steigern. Und darüber hinaus können Sie im täglichen Betrieb risikobasierte Entscheidungen treffen, ohne dafür Budgets zu sprengen.
Verwalten Sie Risiken und Resilienz in Echtzeit mit ServiceNow.