In vielen Normen und Anforderungen wird die Protokollierung und Überwachung von Aktivitäten privilegierter Benutzer gefordert. Zur Steigerung der Effizienz sollten nur die Tätigkeiten mit Auswirkung auf die Schutzziele der jeweiligen Anwendung protokolliert und überwacht werden.
Die Protokollierung von Aktivitäten privilegierter Benutzer ist ein wichtiger Schritt zur Systemsicherheit, wenn sie korrekt durchgeführt wird.
Der Aufwand für die Protokollierung von Aktivitäten privilegierter Benutzer kann schnell ins Uferlose ausarten. Der Umfang der auszuwertenden Log- und Protokolleinträge steigt exponentiell mit der Anzahl der Anwendungen und der Menge der Aktivitäten privilegierter Benutzer. Daher sollten sowohl die Log- und Protokolleinträge als auch die Aktivitäten, die privilegierten Benutzern zugeordnet werden, auf ein Minimum reduziert werden.
Auswahl der Anwendungen und Infrastruktur
Beispiel für die Auswahl der Anwendungen anhand der Schutzziele.
(Bild: Jörg Thurau - ARCA-Consult)
Im ersten Schritt werden nur die Anwendungen berücksichtigt, für die in mindestens einem Schutzziel ein erhöhter Schutzbedarf definiert ist. Anwendungen, für die ausschließlich niedrigere Schutzbedarfe definiert sind, können in eine langfristige Planung aufgenommen werden, oder sie werden im Risikobericht mit Risikoakzeptanz ausgewiesen.
Neben der Anwendung muss auch die von der Anwendung genutzte Infrastruktur berücksichtigt werden.
(Bild: Jörg Thurau - ARCA-Consult)
Neben der Anwendung ist auch die von der Anwendung genutzte Infrastruktur wie zum Beispiel Middleware, Datenbank, Server-Betriebssystem, Storage, Netzwerk et cetera zu bewerten. Es müssen Systeme und Komponenten berücksichtigt werden, deren Infrastrukturbenutzer Einfluss auf relevante Schutzziele der Anwendung haben. Beispiel: Backup- und Archivsysteme sind zu berücksichtigen, wenn die Anwendung im Schutzziel Vertraulichkeit einen erhöhten Schutzbedarf aufweist. Netzwerkkomponenten sind zu berücksichtigen, wenn das Schutzziel der Verfügbarkeit für die Anwendung erhöht ist.
Aktivitäten privilegierter Benutzer
Privilegierter Aktivitäten sind mit kritischen Berechtigungen in den Anwendungen verbunden. Kritische Berechtigungen sind Berechtigungen, die dem Benutzer befähigen, negativen Einfluss auf ein relevantes Schutzziel der Anwendung auszuüben. Jedoch ist zudem der Kontext, in dem die Berechtigung ausgeführt werden kann, für die Bewertung relevant. Kann die Berechtigung ausschließlich im Rahmen eines Geschäftsprozesses, in dem angemessene Kontrollen implementiert sind, eingesetzt werden, ist diese Berechtigung nicht als kritisch einzustufen. Kritische Berechtigungen sind im Berechtigungskonzept der Anwendung zu dokumentieren.
Anschließend werden Aktivitäten den Benutzern zugeordnet. Der Scope der privilegierten Benutzer kann über das Identity-&-Access-Management nachvollzogen werden. Privilegierte Benutzer sind Benutzer mit kritischen Berechtigungen.
Um die Protokollierung und Überwachung zu vereinfachen, ist es sinnvoll, spezielle Accounts für privilegierte Benutzer zu erstellen und ausschließlich diesen Benutzerkonten kritische Berechtigungen zuzuweisen. Die Accounts sind personalisiert auszugestalten. Sie sollten eine Syntax aufweisen, die sie eindeutig von den normalen Benutzer-Accounts unterscheidet. Beispiel: normaler Benutzer-Account: x35128, Account für kritische Berechtigungen: a35128 oder x35128_adm.
Protokollierung
Durch die Protokollierung wird die lückenlose Nachvollziehbarkeit aller Aktivitäten privilegierter Benutzer sichergestellt. Die Protokollierung privilegierter Aktivitäten kann mittels folgender Verfahren sichergestellt werden:
Logfiles der Anwendungen,
Session-Monitoring.
Die Vor- und Nachteile werden im Folgenden dargestellt.
Logfiles der Anwendungen
Voraussetzung: Bei diesem Verfahren werden die privilegierten Aktivitäten in den Logfiles der Anwendung dokumentiert. Die Anwendung bietet die Option, alle privilegierten Aktivitäten mit mindestens folgenden Informationen in Logfiles zu protokollieren:
ausführender Benutzer,
Aktivität,
Zeitpunkt der Ausführung.
Die Logfiles können ausreichend gegen Manipulation geschützt werden. Ist kein ausreichender Schutz möglich, sollte geprüft werden, ob das Logfile vor einer möglichen Manipulation archiviert werden kann. Im Monitoring-Umfeld sind oft bereits Syslog-Server im Einsatz. Diese können genutzt werden, um die Logmeldungen in Echtzeit in ein zentrales Repository zu archivieren und damit gegen Manipulationen zu schützen.
Gegen Manipulation der Logeinträge schützt die Archivierung in einem zentralen Repository.
(Bild: Jörg Thurau - ARCA-Consult)
Vorteile:
Kann mit überschaubarem Aufwand in eine bestehende Anwendungslandschaft integriert werden.
Syslog-Server als zentraler Sammelpunkt für alle Logfiles.
Nachteile:
Die Auswertung der protokollierten Informationen setzt teilweise spezifisches Fachwissen voraus.
Gerade auf Infrastrukturebene sind Loginformationen nicht durchgängig ausreichend präzise.
Session-Monitoring
Session-Monitoring als zentrale Protokollierung privilegierter Aktivitäten auf Protokollebene.
(Bild: Jörg Thurau - ARCA-Consult)
Bei diesem Verfahren werden der ganze Bildschirm oder einzelne Anwendungsfenster aufgezeichnet. Es gibt Lösungen, die den Bildschirminhalt als Video aufzeichnen und diese zentral abspeichern. Andere Lösungen zeichnen auf Protokollebene auf. Hierbei wird eine begrenzte Auswahl von Protokollen als Stream aufgezeichnet und in einem eigenen Format abgespeichert. Über spezielle Player können die Streams wie eine Videoaufzeichnung wiedergegeben werden. Die Aufzeichnungen können bei einigen Lösungen um weitere Informationen wie Tastatureingaben oder Mausbewegungen angereichert werden.
Voraussetzung: Session-Monitoring-Lösungen müssen meist im Netzwerk zwischen dem Arbeitsplatz des privilegierten Benutzers und dem System, auf dem die privilegierten Aktivitäten stattfinden, platziert werden. Daher ist eine entsprechende Netzwerksegmentierung notwendig.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Vorteile:
Das Bewusstsein, dass jede Aktivität aufgezeichnet wird, wirkt abschreckend auf Innentäter.
Zentrale und manipulationssichere Ablage der protokollierten Informationen.
Nachteile:
Session-Monitoring-Lösungen sind kostenintensiv (initiale und laufende Kosten).
Hohes Datenvolumen für die Protokollierung.
Gegebenenfalls ist ein aufwendiger Umbau der Netzwerk-Strukturen notwendig.
Die Protokollierung kann umgangen werden, zum Beispiel durch das verdeckte Ausführen von Skripten oder Verschieben von Fenstern mit brisanten Inhalten aus dem aufgezeichneten Bildschirm heraus.
Protokollaufzeichnungen müssen vor Missbrauch (zum Beispiel Mitarbeiterüberwachung, Passwortspionage) geschützt werden.
Einzelne Aktivitäten können nur eingeschränkt automatisiert aus den Protokollaufzeichnungen selektiert werden.
Effizienzsteigerung
Folgende Maßnahmen steigern die Effizienz der Protokollierung von Aktivitäten privilegierter Benutzer:
Protokollierung nur für Anwendungen mit erhöhten Schutzbedarf umsetzen.
Privilegierte Aktivitäten von dem Einfluss auf die Schutzziele der Anwendung herleiten.
Die privilegierten Aktivitäten in Logfiles protokollieren.
Monitoring-Tools für die Protokollierung nutzen.
*Über den Autor: Jörg Thurau ist Managing Consultant Information Security bei ARCA-Consult. Über 20 Jahre Erfahrung auf den Gebieten Information-Security, IT-Security und IT-Betrieb zeichnen ihn als Spezialisten aus. Einer seiner fachlichen Schwerpunkte befasst sich mit dem Identity-&-Access-Management in stark regulierten Umgebungen.
:quality(80)/p7i.vogel.de/wcms/b5/ad/b5ade2e50671d986cabb091cc33de39f/0127234511v1.jpeg "Das sind die Gewinner der IT-Awards 2025! (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/2d/69/2d69b27f3f8f5f290f7ae2b3d9123b1b/0127206601v1.jpeg "Storage-Insider verleiht heute die IT-Awards 2025 in sechs Kategorien. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/94/d2/94d28e3faac411c22b54d80ea354d2e3/0124559320v1.jpeg "Die digitale Souveränität Europas ist spätestens seit der Wiederwahl von Donald aktueller denn je. (Bild: erstellt durch iTernity GmbH mit Canva)")
:quality(80)/p7i.vogel.de/wcms/ca/b3/cab330ef06324344f47f1715af71ffb8/0121296602v1.jpeg "Das sind die Gewinner der Storage-Insider Readers' Choice Awards 2024. (Bild: Manuel Emme Fotografie)")
:quality(80)/p7i.vogel.de/wcms/2e/8e/2e8ea6945b08f3ccf0514e135b95a4b5/0128772245v1.jpeg "„In Summe muss eine zeitgemäße Backup-Strategie im Jahr 2026 die zunehmenden Risiken minimieren, eine hochgradig sichere Datenspeicherung beinhalten und langfristig die Geschäftskontinuität gewährleisten.“ – Greg Hansbuer von Pink Elephant (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e5/52/e55201fc37a6467aa3bae3dedbe0a15f/0128628947v1.jpeg "Durch die Kombination von KI, Cyber-Resilienz und Cloud-Innovation arbeitet Cohesity daran, die Grundlage für eine intelligentere und sicherere digitale Zukunft zu erschaffen. (Bild: © Dinara - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/eb/e1/ebe1f3391649fca686252258258d8536/0128108116v1.jpeg "Im Ernstfall müssen Expertenteams Vorfälle erkennen, betroffene Systeme isolieren und Geschäftsprozesse so schnell wie möglich stabilisieren. (Bild: © Zamrznuti tonovi - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1a/d0/1ad01f5d7d966c68b9f793b03263e88a/0128871045v1.jpeg "Das „U“ bei der Steckverbindung U.2 steht für „Universal“, da neben Anschlüssen für die Anbindung klassischer SAS- und SATA-Laufwerke ebenso zusätzliche Pins für die Nutzung von vier PCI-Express-Lanes bereitstehen. (Bild: SNIA / Intel)")
:quality(80)/p7i.vogel.de/wcms/15/d8/15d826df460af3af10318ef730dc1d2c/0128894300v1.jpeg "Unternehmen sollen mit PowerStore 4.3 smartere, dichtere und sicherere Speicherinfrastrukturen einrichten können. (Bild: © itchaznong – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9a/1f/9a1fd185950e0f1ec3eaee22559601e8/0127682042v2.jpeg "Ein Synology-NAS lässt sich als zentraler Authentifizierungsdienst nutzen. Wahlweise mit dem integrierten OAuth-Paket oder per Keycloak im Docker-Container. (Bild: © everythingpossible - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ba/99/ba99087599d3e32c07263be232e0d4e2/0128786186v1.jpeg "Neben neuen technischen und geschäftlichen Anforderungen sind vor allem die rasant wachsenden Datenmengen ein Problem für veraltete IT-Architekturen. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/dd/99/dd993095c4b893cd27db4287311218db/0128729221v1.jpeg "Benachrichtigungssystem für Dateisystemereignisse: fsnotify. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/dc/b7/dcb7ce583a9ce0b42e8e35f0d557fb8f/0128409577v1.jpeg "Sechs technologische Kerntrends – von KI-Skalierung über saubere Datenbasis bis hin zu integrierten End-to-End-Prozessen – helfen Unternehmen, messbaren Geschäftserfolg aus ihren IT-Investitionen zu erzielen. (Bild: frei lizenziert Joshua Woroniecki)")
:quality(80)/p7i.vogel.de/wcms/83/26/83267fdfa919ef83ff7ef02a7ae1c921/0128088351v1.jpeg "Mit der Synology Surveillance Station können Sie IP-Kameras zentral anbinden und steuern, Live-Streams anzeigen, Aufnahmen lokal oder in der Cloud speichern, Ereignisse per KI analysieren, Alarme und automatisierte Aktionen auslösen sowie das System standortübergreifend und mobil verwalten. ( © Ettore - Fotolia)")
:quality(80)/p7i.vogel.de/wcms/bc/25/bc2574b897f686062666949faedc2007/0128915727v1.jpeg "Wie in den vergangenen Jahren findet das CloudFest 2026 im Europapark in Rust statt. Storage-Insider fungiert als Medienpartner – inklusive Gratis-Tickets für unsere Leserinnen und Leser. (Bild: RENÉ LAMB FOTODESIGN GMBH/CloudFest)")
:quality(80)/p7i.vogel.de/wcms/11/50/11500eaa66f5fb9e7a12fcfaf551ee34/0128746743v1.jpeg "Paul Speciale von Scality erläutert im Gastbeitrag sieben Infrastruktur-Trends, die er fürs Jahr 2026 erwartet. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c5/35/c5358a2cf971e90b1d98ce0e98310fac/0127947160v1.jpeg "Mit der Einführung des TL-R6020Sep-RP will QNAP sein Engagement unterstreichen, Unternehmen in Europa mit skalierbaren und energieeffizienten Speicherlösungen auszustatten. (Bild: © Nicholas - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4d/89/4d89345312c9c759c4da8996ed0e3f8e/0128189127v1.jpeg "E-Mail-Archivierung in nahezu jedem Land der Welt eine Pflicht für Unternehmen. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/79/3d/793d22cf841d3dc6a9bf04d2ac5cc31c/0127698974v1.jpeg "Das BKM-Sonderprogramm stärkt den Erhalt historischer Originale. Authentische Quellen sollen so bewahrt werden. Schließlich geht es um das „Gedächtnis der Demokratie“. (Bild: © blende11.photo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/32/a6/32a6e74f81cc974aad14a68d317f2531/0128847427v1.jpeg "Der Industriestandard CIFS ermöglicht das Öffnen lokal gespeicherter Dateien von entfernten Computern. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/13/9f/139fa9aae60aec090716d283d85dea50/0127626200v1.jpeg "Der Autor: Oliver Riehl ist Regional Vice President Sales bei Navex. (Bild: Navex)")
:quality(80)/p7i.vogel.de/wcms/0c/ed/0ced3344608f59ff8d8be6b73b67455b/0128862191v1.jpeg "Die Koppelung von Festplatten als RAID-Verbund soll Datenverlust beim Ausfall einzelner Platten verhindern. Zu unterscheiden ist dabei zwischen Hardware-RAID und Software-RAID. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d9/a5/d9a5a68e9584b0366aa1f06bd9b7885d/0128857043v1.jpeg "Bytes sind die kleinste adressierbare Speichereinheit bei Storage-Hardware wie Festplattenlaufwerken, SSDs, USB-Sticks oder anderen Speichermedien. (Bild: Midjourney / KI-generiert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1552300/1552323/original.jpg "Cloud-Speicher für Einsteiger – Microsoft OneDrive zusammen mit macOS und iOS nutzen. (©georgejmclittle - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1644500/1644561/original.jpg "Online-Speicher bei Web.de und GMX: So funktioniert die Verwaltung. (© stokkete - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1641800/1641842/original.jpg "All-Flash-Arrays versprechen unschlagbar niedrige Latenzen. (© pozdeevvs - stock.adobe.com)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:quality(80)/p7i.vogel.de/wcms/03/80/038020d49aa7d48223b5ccc9284fe5a8/0125424397v2.jpeg "So einfach lässt sich ein Synology-NAS mit FreeRADIUS als RADIUS-Server für sichere WLAN-Authentifizierung nutzen. (Bild: © Sikov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/10/bd/10bd8f060d2d673923b774ff133a4d7b/0125717678v1.jpeg "iSCSI ermöglicht blockbasierte Datenübertragung in IP-basierten Netzen und verbindet SCSI mit TCP/IP für zentrale Speicherlösungen ohne Fibre Channel. (Bild: Midjourney / KI-generiert)")