File Integrity Monitoring

Was ist File Integrity Monitoring?

File Integrity Monitoring (FIM) bezeichnet eine sicherheitsrelevante Kontrollmaßnahme, mit der Änderungen an wichtigen Systemdateien, Konfigurationsdaten und Log-Dateien erkannt und bewertet werden. Ziel ist es, unautorisierte, fehlerhafte oder verdächtige Modifikationen zu identifizieren – z. B. durch Malware, Insider oder Fehlkonfigurationen – und damit die Integrität kritischer Daten sicherzustellen.

FIM ist ein zentrales Element in der Sicherheitsüberwachung, da es Manipulationen direkt auf Betriebssystemebene sichtbar machen kann – oft bevor größere Schäden entstehen. Es spielt eine Schlüsselrolle in regulatorisch sensiblen IT-Umgebungen.

Technischer Aufbau & Varianten

Typische Überwachungsobjekte:

• Systemdateien (z. B. /etc/passwd, Windows Registry)

• Konfigurationsdateien von Firewalls, Webservern, Datenbanken

• Logdateien (z. B. auth.log, syslog)

• Applikationsdateien & Skripte

• Benutzerdefinierte Datei-Sets

Funktionale Komponenten:

• Initiale Baseline-Erstellung: Hashing (z. B. SHA-256) aller zu überwachenden Dateien

• Periodische Prüfungen: Vergleich gegen Baseline (Polling oder Event-basiert)

• Ereigniserkennung: Alarmierung bei Veränderungen (z. B. bei Attributänderungen, Berechtigungen, Inhalten)

• Audit-Trail & Reporting: Integration mit SIEM oder Ticket-Systemen

Modi:

• Agentenbasiert (lokal installiert) oder agentenlos (Remote-Scans)

• Echtzeit-FIM mit Kernel-Hooks vs. periodische Checks via Cronjobs

Relevanz in der Praxis

FIM ist für Unternehmen von Bedeutung, um:

• Dateimanipulationen frühzeitig zu erkennen

• Zero-Day-Aktivitäten sichtbar zu machen, die nicht signaturbasiert erkannt werden

• Regulatorische Anforderungen wie PCI DSS, ISO 27001 oder HIPAA zu erfüllen

• Malware-Infektionen oder Rootkits anhand persistenter Änderungen aufzudecken

• Audit-Readiness durch lückenlose Nachverfolgbarkeit zu verbessern

FIM wird typischerweise im Zusammenspiel mit anderen Tools (EDR, SIEM, SOAR) eingesetzt und bildet damit einen Pfeiler des Defense-in-Depth-Ansatzes.

Standards & regulatorische Anforderungen

• PCI DSS – Requirement 11.5: Verpflichtet Organisationen zu FIM

• ISO/IEC 27001: Dateiintegrität als Teil von A.12 (Operations Security)

• HIPAA: Spezifische Anforderungen an Zugriffskontrolle und Änderungsüberwachung

• NIS-2: Absicherung kritischer Systeme inklusive Änderungsmonitoring

Verwandte Begriffe

• SIEM

• Endpoint Detection and Response

• Patch Management

• Audit Logging

• Integrity Checking

Beispiel aus der Praxis

Eine Bank stellte nach einem Penetrationstest fest, dass ein externer Angreifer über einen veralteten VPN-Dienst Zugriff erlangt hatte. Da File Integrity Monitoring aktiviert war, wurde eine Änderung an einer selten genutzten Konfigurationsdatei erkannt. Die Abweichung löste einen Alarm aus, woraufhin der Vorfall frühzeitig eingedämmt werden konnte.