Contents
Protokolle für die Datenaufzeichnung (Logging) (Art. 12 RTS RMF)
Finanzunternehmen müssen gemäß Art. 12 RTS RMF nicht nur Logging-Verfahren definieren, sondern auch klare Protokolle und Tools für die Datenaufzeichnung implementieren. Diese sollen sicherstellen, dass kritische Systemereignisse, Zugriffe und Netzwerkaktivitäten vollständig dokumentiert, geschützt und auswertbar sind – sowohl für Incident Response als auch für Compliance-Nachweise.
Kerninhalte der Logging-Protokolle nach DORA
1. Umfassende Ereignisprotokollierung
- Zu erfassende Ereignisse:
- Logische und physische Zugriffe (Art. 21 DORA)
- Kapazitäts- und Änderungsmanagement
- Betriebsaktivitäten von IKT-Systemen
- Netzwerkverkehr und Performance-Monitoring
- Speicherfrist:
- Definiert auf Basis von Geschäftszweck, Sicherheitszielen und IKT-Risikoanalyse
2. Granularität und Zweckbezug
- Protokolltiefe wird dem Einsatzzweck angepasst (z. B. Detektion gem. Art. 24 DORA)
- Technische Details (z. B. Zugriff mit Rollen-ID, Quelle/Ziel bei Netzwerkzugriffen)
- Unterscheidung zwischen Standard-Logs und sicherheitskritischen Aufzeichnungen
3. Sicherheitsvorkehrungen für Logdaten
- Schutz vor Manipulation, Löschung und unbefugtem Zugriff
- Sicherung von Logs in Übertragung, Speicherung und aktiver Nutzung
- Technische Maßnahmen gegen Ausfälle von Logging-Systemen
4. Zeitbasierte Integrität
- Systemweite Zeitsynchronisierung auf eine dokumentierte Referenzzeitquelle
- Erforderlich für die rechtskonforme Korrelation von Ereignissen in forensischen Analysen
Prüfungskriterien für Logging-Protokolle unter DORA
- Bestehen einer dokumentierten Logging-Richtlinie mit technischem Anhang
- Logs müssen in Echtzeit oder zeitnah verfügbar sein
- Schutzmechanismen (Integrity Checks, Zugriffsbeschränkungen) müssen nachgewiesen werden
- Logging-Maßnahmen sind regelmäßig auf Aktualität und Wirksamkeit zu prüfen