Contents
Verfahren für die Datenaufzeichnung (Logging) (Art. 12 RTS RMF)
DORA verlangt ein Logging-Verfahren mit klaren Vorgaben zur Protokollierung, Analyse und Sicherung sensibler IKT-Ereignisse und Zugriffsvorgänge.
Ziel: Lückenlose Nachvollziehbarkeit und Schutz vor Manipulation
Gemäß Art. 12 RTS RMF müssen Finanzunternehmen strukturierte Logging-Verfahren einführen, um sicherzustellen, dass sicherheitsrelevante IKT-Ereignisse erfasst, gespeichert, analysiert und vor unbefugtem Zugriff geschützt werden. Dies bildet die Grundlage für forensische Analysen, Incident Detection und regulatorische Nachweise.
Zentrale Inhalte des Verfahrens gemäß DORA
1. Definition aufzuzeichnender Ereignisse
- Ereignisse rund um Zugänge, IKT-Betrieb, Netzwerke, Änderungen und Systemaktivitäten
- Logischer und physischer Zugriff, inkl. Identitätsmanagement
- Netzwerkverkehr, inkl. Leistungsdaten der IKT-Netze
2. Logging-Parameter und -Qualität
- Zweckgebundene Festlegung des Detaillierungsgrads je Ereigniskategorie
- Protokollierung muss geeignet sein zur Erkennung anomaler Aktivitäten gemäß Art. 24 DORA
- Festlegung einer Speicherfrist gemäß Geschäftszweck, IKT-Risiko und Informationssicherheitszielen
3. Sicherheit der Aufzeichnungen
- Schutzmechanismen gegen Manipulation, Löschung und unbefugten Zugriff
- Absicherung gespeicherter, übertragener und aktiv genutzter Logging-Daten
- Detektion von Ausfällen der Logging-Systeme
4. Zeitquellen und Synchronisierung
- Dokumentierte Referenzzeitquelle zur Synchronisation aller IKT-Systeme
- Einheitliche Zeitstempel sind essenziell für Korrelation, Analyse und Beweissicherung
Prüfungserwartung
Aufsichtsbehörden erwarten:
- Ein formell dokumentiertes Logging-Verfahren inkl. Rollen, Tools, Speicherfristen
- Technische Nachweise zur Protokollsicherung, Zugriffskontrolle und Ausfallüberwachung
- Synchronisierte Zeitführung und regelmäßige Plausibilitätskontrollen
- Nachweis, dass Logging-Daten zur Anomalie-Erkennung geeignet sind (Art. 24)