Securam Consulting Logo
Kontakt

Nachweisbarkeit

Was ist Nachweisbarkeit?

Nachweisbarkeit (engl. Accountability bzw. Auditability) beschreibt die Fähigkeit, sicherheitsrelevante Ereignisse oder Aktionen in IT-Systemen eindeutig einem Ursprung (z. B. einem Benutzer oder System) zuzuordnen und diese lückenlos zu protokollieren. Ziel ist es, durch technische und organisatorische Maßnahmen sicherzustellen, dass Handlungen im IT-System nachvollziehbar, beweisbar und revisionssicher dokumentiert werden – etwa bei Sicherheitsvorfällen, Compliance-Audits oder forensischen Analysen.

Nach ISO/IEC 27000 ist Nachweisbarkeit ein zentrales Prinzip der Informationssicherheit und eng mit den Grundwerten Vertraulichkeit, Integrität und Verfügbarkeit verbunden. Sie bildet die Basis für Rechenschaftspflicht und Vertrauen in IT-Systeme.

Technischer Aufbau & Varianten

Wichtige Anforderungen an Nachweisbarkeit:

  • Granulare Protokollierung:
    Logdaten müssen detaillierte Informationen enthalten, z. B.:

    • Zeitstempel (UTC, synchronisiert per NTP)

    • Benutzerkennung / Authentifizierungsquelle

    • ausgeführte Aktionen oder Befehle

    • Ergebnisstatus (z. B. Erfolg / Fehler)

    • Quell- und Ziel-IP-Adresse

    • betroffene Ressourcen (z. B. Datei, Datenbank)

  • Integritätsschutz der Logs:

    • Digitale Signaturen

    • Hash-Werte (SHA‑256, SHA‑3)

    • Write-Once-Media (z. B. WORM‑Storage)

    • Blockchain-basierte Logging-Lösungen (z. B. immutables Audit Trail)

  • Zentralisierte Log-Erfassung:

    • SIEM-Systeme (z. B. Splunk, QRadar, Elastic Stack)

    • Syslog-Server oder Cloud-Logging-Dienste (AWS CloudTrail, Azure Monitor)

  • Zugriffskontrollen & Rollenverteilung:

    • Nur autorisierte Personen dürfen Logs einsehen oder exportieren

    • Zugriff muss selbst wieder nachvollziehbar sein (Meta-Logging)

  • Archivierung & Aufbewahrung:

    • Konform mit DSGVO, GoBD, HGB oder branchenspezifischen Vorschriften

    • Revisionssichere Speicherung über vordefinierte Zeiträume

Relevanz in der Praxis

Nachweisbarkeit ist ein unverzichtbarer Bestandteil von:

  • IT-Forensik: Zur Rückverfolgung von Angriffswegen und Täterermittlung

  • Compliance & Audits: Nachweis gegenüber Aufsichtsbehörden (z. B. Bafin, BSI)

  • Betriebsinternem Kontrollsystem (IKS): Erkennen von Pflichtverstößen, Fraud Detection

  • Incident Response: Dokumentation und Analyse von Sicherheitsvorfällen

Fehlende oder manipulierbare Logs gelten in Sicherheitsbewertungen als kritische Schwachstelle. Viele Normen und Regularien fordern deshalb explizit Maßnahmen zur Sicherstellung von Nachvollziehbarkeit.

Standards & regulatorische Anforderungen

  • ISO/IEC 27001 – A.12.4: Logging & Monitoring

  • ISO/IEC 27035: Incident Response Logging

  • DSGVO – Art. 5 & 32: Rechenschaftspflicht und Protokollierung

  • GoBD (Deutschland): Ordnungsgemäße Buchführung & Nachvollziehbarkeit

  • NIS-2 / KRITIS-Verordnung: Logging-Anforderungen für kritische Infrastrukturen

Verwandte Begriffe

  • Log Management

  • SIEM

  • Forensik

  • Zugriffskontrolle

  • Datenintegrität

  • Compliance

  • Audit Trail

  • IT-Grundschutz

Beispiel aus der Praxis

In einem KRITIS-Unternehmen wurden Administratoraktivitäten nicht ausreichend protokolliert. Bei einem Vorfall blieb unklar, welcher Admin Zugriff auf ein Finanzsystem hatte. Nach Einführung eines SIEM-Systems und signierten Admin-Logs wurden alle privilegierten Aktionen über ein Bastion-Host nachvollziehbar gemacht. Nachträglich konnten auch ältere Systeme durch ein zentrales Log-Retention-Archiv in die Sicherheitsstrategie eingebunden werden.

zum Glossar