Deep Dive 7: Logging & Monitoring unter DORA

Was dieser Deep Dive Ihnen zeigt

Was Logging und Monitoring unter DORA leisten müssen, warum Nachvollziehbarkeit eine Governance-Frage ist – und wo die meisten Systeme die regulatorischen Anforderungen verfehlen.

Regulierung	DORA
Thema	Log-Strukturen, Use-Case-basiertes Logging, Monitoring, Governance
Kernfrage	Wann ist Logging unter DORA ausreichend – und wann nicht?
Relevanz	IT-Operations, Security, Compliance
DORA-Artikel	Art. 9–10 DORA (Schutz, ICT-Systeme, Logging) · Art. 17 (Incident-Nachvollziehbarkeit)

DORA verlangt nicht nur technische Sicherheit, sondern Nachvollziehbarkeit. Systeme müssen so gestaltet sein, dass ihr Verhalten rekonstruiert und bewertet werden kann – insbesondere im Ereignis- oder Vorfallskontext.

Viele Unternehmen verfügen zwar über Logging, dieses ist jedoch häufig unstrukturiert, nicht risikoorientiert und organisatorisch nicht eingebettet. Unter DORA wird Logging von einer rein technischen Funktion zu einer zentralen Voraussetzung für Governance, Incident Management und Aufsichtsfähigkeit.

1. Drei Logging-Ansätze – und ihre Grenzen

A) Minimal-Logging

Standard-Server- oder Systemlogs

Keine einheitliche Struktur

Keine Korrelation zwischen Quellen

Kaum verwertbar für Vorfallanalysen

Einordnung

Minimal-Logging reicht weder für Incident-Analyse noch für regulatorische Nachvollziehbarkeit.

B) Aggregiertes Logging (gute Basis, aber nicht ausreichend)

Logs werden zentral gesammelt

Fehlender Kontext und fehlende Bewertungslogik

Keine klaren Verantwortlichkeiten für Auswertung

Einordnung

Aggregation ist notwendig, ersetzt aber keine inhaltliche Steuerung.

C) Use-Case-basiertes Logging (DORA-orientierter Ansatz)

Logging richtet sich an Risiken und kritischen Prozessen aus

Ereignisse werden kontextualisiert

Korrelation mit weiteren Quellen (z. B. SIEM, Monitoring)

Definierte Auswertungs- und Eskalationsketten

Einordnung

Dieser Ansatz stellt sicher, dass Logs operativ nutzbar und prüfbar sind.

2. Welche Anforderungen sich aus DORA ergeben

Relevante und kritische Systeme nachvollziehbar abbilden

Korrelation von Ereignissen ermöglichen

Vor Manipulation geschützt

Über risikobasierte, definierte Zeiträume aufbewahrt

Aktiv ausgewertet, nicht nur gespeichert

In die System- und Prozessarchitektur integriert

Logging ist unter DORA auch ein Governance-Thema, nicht nur ein technisches.

3. Fallstudie

Fallstudie · Der nicht rekonstruierbare Angriff

Ausgangssituation

Ein Unternehmen erkennt ungewöhnliche Aktivitäten in einem Kundenportal. Zur Analyse sollen zentrale Fragen geklärt werden: Wer war eingeloggt? Auf welche Daten wurde zugegriffen? Wie lief der Angriff ab?

Was sich zeigt

API-Logs fehlen

Datenbank-Logs wurden nach kurzer Zeit überschrieben

Applikationslogs sind inkonsistent

Keine Korrelation der Ereignisse vorhanden

Konsequenz

Der Vorfall kann nicht rekonstruiert werden. Das Unternehmen muss gegenüber der Aufsicht erklären, dass Ausmaß und Ursache nicht belastbar festgestellt werden können.

Ursachen

Logging war nicht an Risikofaktoren ausgerichtet

Keine definierte Aufbewahrungsstrategie

Kein zentrales Monitoring

Unklare Verantwortlichkeiten

4. Wie Logging und Monitoring unter DORA wirksam gestaltet werden

Use-Case-basiertes Logging: Definition dessen, was im Ereignisfall nachvollziehbar sein muss.

Standardisierte Log-Strukturen: Einheitliche Felder, Formate und Zeitstempel.

Risikobasierte Aufbewahrung: Abgestimmt auf Kritikalität, Prozesse und regulatorische Anforderungen.

Integration in Monitoring und SIEM: Automatisierte Korrelation und Auswertung.

Regelmäßige Überprüfungen: Technisch und organisatorisch (Wirksamkeit, Vollständigkeit).

Dokumentation des Logging-Konzepts: Nicht nur Logs selbst, sondern Design, Zweck und Verantwortlichkeiten.

Praxis-Impuls

DORA verlangt keine maximale Datensammlung, sondern gezielte Rückverfolgbarkeit. Stellen Sie sicher: Für jeden kritischen Service können wir im Ereignisfall beantworten, was wann passiert ist – und wer beteiligt war. Ohne belastbares Logging gibt es unter DORA keine belastbare Resilienz.

Vier zentrale Learnings

Logging und Monitoring unter DORA sind nicht primär technische, sondern Governance-Anforderungen – sie müssen Nachvollziehbarkeit der Entscheidungsfindung ermöglichen, nicht nur Sicherheit.

Die meisten Systeme erfassen Logs, aber wenige verfügen über einen strukturierten Zugang zu ihnen – "findbar" ist die kritische Anforderung, nicht nur "gespeichert".

Ohne klar definierte Aufbewahrungsfristen, Zugangsrechte und Audit-Trail können Logs im Enforcement wertlos werden – dokumentierte Governance ist essentiell.

Monitoring ist Prävention: Proaktive Alerts zu Anomalien, Performance-Problemen und Security-Ereignissen reduzieren sowohl Incident-Schwere als auch Meldepflicht-Wahrscheinlichkeit.

Weiter vertiefen

Leitfaden Leitfaden DORA Logging, Monitoring und Audit-Trails im DORA-Praxisleitfaden. Lesen → Deep Dive Incident Reporting unter DORA Der Unterschied zwischen Ereignis, Störung und meldepflichtigem Vorfall. Lesen → Leitfaden Leitfaden NIS2 Sichere Systemarchitektur, Logging und Netzwerksicherheit unter NIS2. Lesen →

← Deep Dive 6 Alle Deep Dives Deep Dive 8 →