Zum Inhalt
ISMS.online

A.8.15 Protokollierung – MSP-Protokollarchitektur und Aufbewahrungsanforderungen

Die Protokolldateien von Managed Service Providern (MSPs) mögen ausreichend erscheinen – bis ein ISO-27001-Audit sie auf den Prüfstand stellt. Auditoren suchen nach mehr als nur Daten; sie benötigen klare und verlässliche Nachweise, die Aktionen mit ihren Ergebnissen verknüpfen. Abschnitt A.8.15 fordert MSPs auf, Protokollierungsmechanismen zu entwickeln, die die Absicht belegen, Kunden schützen und einer kritischen Prüfung standhalten. Dies schafft die Grundlage für Vertrauen und Stabilität.

Autorin
Mark Sharron
Aktualisiert Dezember 1, 2025
4 / 5 Sterne

Warum die MSP-Protokollierung ausreichend erscheint – bis zu einem ISO 27001-Audit

Die Protokollierung von MSP-Systemen erscheint oft ausreichend, bis man einen Vorfall rekonstruieren muss und feststellt, dass die Protokolle keine eindeutige Geschichte erzählen. Dieser Leitfaden bietet allgemeine Informationen und keine Rechtsberatung. Er zeigt jedoch, wie Auditoren, Ermittler und Versicherer Protokolle nutzen, um Ihre Services und Ihre ISO 27001 A.8.15-Implementierung zu prüfen. Eine aussagekräftige Protokollierung verwandelt einen unübersichtlichen Tag in eine Beweiskette, die Sie auch unter Druck verteidigen können.

Nur etwa jede fünfte Organisation gab in der ISMS.online-Umfrage 2025 an, im Vorjahr jeglichen Datenverlust vermieden zu haben.

Gutes Protokollieren verwandelt chaotische Ereignisse in Geschichten, die man tatsächlich nacherleben kann.

Die Kluft zwischen „wir haben Protokolle“ und „wir haben Beweise“

Die Diskrepanz zwischen Protokollen und Beweismitteln entsteht, wenn Sie Rohdaten nicht in eine klare, nachvollziehbare Chronologie von Vorfällen für Prüfer umwandeln können. Ihnen ist weniger wichtig, dass Tools Protokolle generieren können, sondern vielmehr, ob Sie nachweisen können, wer wann, von wo und mit welchem ​​Ergebnis in Ihren MSP-Tooling- und Kundenumgebungen gehandelt hat.

Bei vielen Managed Service Providern (MSPs) führen diese Fragen zu einem hektischen Durcheinander zwischen RMM-Dashboards, Firewall-Konsolen, E-Mail-Sicherheitsportalen, Cloud-Administrationszentren und Ticketsystemen. Zeitstempel stimmen nicht überein, da sich die Geräte in unterschiedlichen Zeitzonen befinden oder die Uhren abweichen. Administratoraktionen gehen in unübersichtlichen Audit-Protokollen unter. Manche kritische Änderungen sind nur in E-Mails oder Chatverläufen nachweisbar. Einzeln betrachtet scheinen die einzelnen Tools einwandfrei zu funktionieren; zusammen ergeben sie jedoch nicht die kohärente Darstellung, die ISO 27001 unter Abschnitt A.8.15 fordert.

Ein weiteres häufiges Muster ist, dass Protokolle nur einer kleinen Anzahl leitender Ingenieure zugänglich sind. Diese können zwar oft Fragen aus dem Gedächtnis beantworten, doch das ersetzt keine objektiven, manipulationssicheren Beweise. Würde einer von ihnen morgen ausscheiden, wäre es schwierig, den gleichen Sachverhalt allein anhand der Daten zu rekonstruieren. Aus Sicht eines Wirtschaftsprüfers deutet dies darauf hin, dass sich Ihr Unternehmen auf Einzelpersonen anstatt auf ein systematisches Kontrollsystem verlässt.

Wie Prüfer Ihre Protokollierungskontrolle tatsächlich betrachten

Die Prüfer gehen von der Kontrollanweisung aus, nicht von der Funktionsliste Ihres SIEM-Anbieters. Sie interessieren sich dafür, wie die Protokollierung die Erkennung, Untersuchung und Qualitätssicherung unterstützt. Sie möchten sehen, dass Protokolle von Aktivitäten, Ausnahmen, Fehlern und anderen relevanten Ereignissen planmäßig erstellt, gespeichert, geschützt und analysiert werden und Ihren Vorgaben entsprechen.

In der Praxis prüfen sie zunächst die schriftliche Dokumentation: Richtlinien, Protokollierungsstandards und Verantwortlichkeitsmatrizen, die festlegen, was, wo, von wem und wie lange protokolliert werden soll. Anschließend vergleichen sie diese Dokumentation mit dem aktuellen Verhalten Ihrer Umgebung. Wenn Ihre Dokumentation beispielsweise besagt, dass alle privilegierten Aktionen auf Kundensystemen zentral für mindestens ein Jahr protokolliert werden, überprüfen sie diese Aussage anhand von ein oder zwei Kunden und ein oder zwei Systemen.

Wo Ihre Dokumente und die Realität voneinander abweichen, entstehen Abweichungen. Wenn die Standardeinstellungen eines Tools die Aufbewahrung von Daten vorschreiben, Ihre Verträge aber jahrelange Rückverfolgbarkeit versprechen, werden Auditoren diese Diskrepanz feststellen. Wenn Sie auf Screenshots oder Tabellenkalkulationen angewiesen sind, weil Protokolle schwer abzufragen oder gelöscht wurden, werden sie die Effektivität von A.8.15 infrage stellen. Oftmals erkennen Managed Service Provider (MSPs) genau an diesem Punkt, dass sie keine Protokollierungsarchitektur besitzen, sondern lediglich eine Vielzahl von Tools. Der Rest dieses Leitfadens konzentriert sich darauf, diese Lücke mit einem nachvollziehbaren Design und stichhaltigen Nachweisen zu schließen.

Kontakt


Was ISO 27001:2022 A.8.15 Protokollierung tatsächlich erfordert

ISO 27001 A.8.15 fordert von Ihnen, die Protokollierung so zu gestalten, dass Vorfälle erkannt, untersucht und deren Hergang entsprechend Ihren Risiken und Dienstleistungen nachgewiesen werden kann. Unabhängige Erläuterungen der Revision von 2022, wie beispielsweise praktische Kommentare zu A.8.15 von ISO-27001-Experten, beschreiben die Kontrollmaßnahme in sehr ähnlichen Worten und betonen die Bedeutung einer Protokollierung, die eine zeitnahe Erkennung, Untersuchung und Beweissicherung ermöglicht und auf das Risikoprofil und den Leistungsumfang der Organisation zugeschnitten ist. Dies ist besonders wichtig, wenn Sie als Managed Service Provider (MSP) mit gemeinsam genutzten Tools und Mandantenverantwortung tätig sind.

Für einen Managed Service Provider (MSP) muss dieses Design sowohl die internen Systeme als auch die gemeinsam genutzten oder verwalteten Komponenten der Kundenumgebungen umfassen, nicht nur das eigene Büronetzwerk. Es geht darum, eine beschreibbare und wiederholbare Funktionalität zu schaffen, nicht nur Standardeinstellungen zu aktivieren.

Die Steuerung in einfacher Sprache

Vereinfacht ausgedrückt verlangt A.8.15, dass Sie festlegen, was protokolliert werden soll, die Protokollierung zuverlässig durchführen, die Daten schützen und die Protokolle anschließend überprüfen. Alle weiteren Kontrollprozesse basieren auf diesen vier Aspekten. Wenn Sie sich auf diese Entscheidungen konzentrieren, lassen sich die technischen Details leichter handhaben. Für Managed Service Provider (MSPs) bedeutet dies, dieselbe Vorgehensweise für gemeinsam genutzte Tools, interne Systeme und Kundenumgebungen anzuwenden.

Zunächst müssen Sie festlegen, welche Aktivitäten, Ausnahmen, Fehler und Ereignisse für Sicherheit und Betrieb relevant sind. Zweitens müssen diese Ereignisse in den entsprechenden Systemen und Diensten protokolliert werden. Drittens müssen die Protokolle so gespeichert und geschützt werden, dass sie nicht unbemerkt verändert oder verloren gehen können. Viertens müssen diese Protokolle analysiert und geprüft werden, um die Überwachung und die Durchführung von Untersuchungen zu unterstützen.

Für Managed Service Provider (MSPs) umfassen „relevante Ereignisse“ deutlich mehr als herkömmliche Serverprotokolle. Remote-Skripte, die über Ihr Remote-Messaging-System (RMM) ausgeführt werden, Richtlinienänderungen auf gemeinsam genutzten Firewalls, Anmeldungen an Cloud-Admin-Portalen, Änderungen an privilegierten Gruppen in Ihrer Identitätsplattform und Aktionen in Ihrem Ticketsystem können die Kundensicherheit erheblich beeinträchtigen. Eine Risikoanalyse sollte festlegen, welche dieser Ereignisse in den Geltungsbereich fallen. Sobald sie erfasst sind, müssen sie konsistent, nachvollziehbar und nutzbar protokolliert werden.

Die Kontrolle setzt außerdem voraus, dass die Protokollierung zielgerichtet und nicht opportunistisch erfolgt. Es genügt nicht zu sagen: „Das Tool kann das protokollieren, wenn wir es aktivieren.“ Sie müssen nachweisen, dass Sie ausgewählt haben, was protokolliert werden soll, wie die Protokollierung konfiguriert wird und wie sie an Änderungen Ihrer Services, Kunden und Ihres Technologie-Stacks angepasst wird. Deshalb ist A.8.15 in das übergeordnete Managementsystem integriert: Es muss mit Risikomanagement, Zielen, Richtlinien und kontinuierlicher Verbesserung verknüpft sein.

Wie A.8.15 mit dem Rest Ihres ISMS verbunden ist

Die Protokollierung steht nicht für sich allein. Abschnitt A.8.16, der sich mit Überwachungsaktivitäten befasst, beschreibt, wie Protokolle geprüft und darauf reagiert wird. In den allgemeinen Beschreibungen von ISO/IEC 27001 wird A.8.16 durchgängig als die Kontrollmaßnahme dargestellt, die sich auf die Überwachung und Prüfung von Sicherheitsereignissen und -protokollen konzentriert. Daher wird sie in den meisten Implementierungen üblicherweise mit A.8.15 kombiniert.

Im Bericht „State of Information Security 2025“ wird festgestellt, dass Kunden zunehmend erwarten, dass Lieferanten sich an formalen Rahmenwerken wie ISO 27001, ISO 27701, DSGVO oder SOC 2 orientieren, anstatt sich auf allgemeine Aussagen zu bewährten Verfahren zu verlassen.

Die Kontrollen für Zugriffsmanagement, Vorfallbearbeitung, Geschäftskontinuität und Datenschutz stellen jeweils spezifische Anforderungen an Ihr Protokollierungsdesign. Prüfer achten auf diese Zusammenhänge, um die Effektivität Ihrer A.8.15-Implementierung zu beurteilen.

Es kann hilfreich sein, in Kategorien von miteinander verbundenen Kontrollgruppen zu denken:

  • Die Zugriffsverwaltungssteuerung erwartet Protokolle, die aufzeigen, wer auf welche Daten mit welchen Berechtigungen zugegriffen hat.
  • Die Kontrollmechanismen des Vorfallmanagements stützen sich auf Protokolle, um Ereignisse zu rekonstruieren und daraus gewonnene Erkenntnisse zu sichern.
  • Die Maßnahmen zur Geschäftskontinuität benötigen Protokolle, um Fehlermodi und Wiederherstellungsprozesse zu verstehen.
  • Datenschutzbestimmungen erfordern, dass Protokolle mit personenbezogenen Daten minimiert, geschützt und nur so lange wie nötig aufbewahrt werden. Dies entspricht den zentralen Datenschutzprinzipien wie Datenminimierung und Speicherbegrenzung, die beispielsweise in der DSGVO verankert sind. Diese Verordnungen verpflichten Organisationen, die Erfassung unnötiger personenbezogener Daten in Protokollen zu vermeiden und diese zu löschen, sobald sie für die angegebenen Zwecke nicht mehr benötigt werden.

Diese Erwartungen bedeuten, dass Ihre Protokollierungsarchitektur mehrere Zwecke gleichzeitig erfüllen muss, nicht nur den Sicherheitsbetrieb. Hier wird ein strukturiertes Informationssicherheitsmanagementsystem (ISMS) unerlässlich. Eine Plattform wie ISMS.online unterstützt Sie dabei, zentral darzustellen, wie A.8.15 mit Ihrer Risikobehandlung, Ihrer Anwendbarkeitserklärung und Ihren anderen Kontrollen übereinstimmt. Sie können definieren, welche Ereignistypen sicherheitsrelevant sind, sie Systemen und Diensten zuordnen und festhalten, wer für die Überprüfung verantwortlich ist und in welchen Abständen. Viele Managed Service Provider (MSPs) dokumentieren A.8.15-Entscheidungen mittlerweile zusammen mit dem Risiko und der Anwendbarkeitserklärung in einem solchen strukturierten ISMS, da dies den Prüfern eine klare und konsistente Übersicht bietet.

Indem Sie Protokollierungsentscheidungen mit Risikobeschreibungen und Zielen verknüpfen, können Sie Prüfern erläutern, warum bestimmte Protokollquellen oder Aufbewahrungsfristen gewählt wurden, anstatt lediglich die Standardeinstellungen des Anbieters zu übernehmen. Bei der Weiterentwicklung Ihrer Dienste können Sie das Design zentral aktualisieren und die Änderungen in Verfahren und Dienstbeschreibungen einfließen lassen. Dies ist der Unterschied zwischen der Behandlung von A.8.15 als bloße Klausel auf dem Papier und der Anwendung als Designprinzip, das Ihre Umgebung besser absichert.



ISMS.online verschafft Ihnen einen Vorsprung von 81 % ab dem Moment Ihrer Anmeldung

ISO 27001 leicht gemacht

Ein Vorsprung von 81 % vom ersten Tag an

Wir haben die harte Arbeit für Sie erledigt und Ihnen vom Moment Ihrer Anmeldung an einen Vorsprung von 81 % verschafft. Sie müssen nur noch die Lücken ausfüllen.

Los geht´s


Die MSP-Protokollierungslücke: Theorie für Einzelmandanten vs. Realität für Mehrmandanten

Die meisten allgemeinen Empfehlungen zur Protokollierung gehen davon aus, dass eine einzige Organisation alle ihre Systeme kontrolliert, mit einem einzigen Sicherheitsteam und einem einzigen Stakeholder-Netzwerk. Managed Service Provider (MSPs) arbeiten anders: Sie betreiben gemeinsam genutzte Plattformen wie RMM, SOC-Tools und Cloud-Management-Konsolen für viele Kunden und bieten Dienstleistungen an, bei denen die Protokollverantwortung zwischen ihnen und den Kunden aufgeteilt ist. Dieser Unterschied hat erhebliche Auswirkungen auf die Implementierung und Erläuterung von A.8.15.

Gemeinsam genutzte Tools und mandantenübergreifendes Risiko

Gemeinsam genutzte MSP-Tools bilden das Herzstück Ihres Service und bergen gleichzeitig Ihr Risiko. Zentrale Firewalls, VPN-Konzentratoren, Identitätsanbieter und Verwaltungsplattformen, über die Techniker auf mehrere Kundenumgebungen zugreifen, erzeugen oft umfangreiche Protokolle, bergen aber auch ein Risiko: Sind Daten eines Kunden sichtbar, während gleichzeitig der Fall eines anderen Kunden bearbeitet wird, besteht ein mandantenübergreifendes Risiko.

Eine mandantenfähige SIEM- oder Log-Management-Plattform mit gemeinsam genutzten Indizes oder Warteschlangen kann dieses Problem verschärfen. Werden Ereignisse lediglich mit einer ungenau definierten Kundenkennung versehen, kann eine Fehlkonfiguration oder ein Fehler bei der Datenerfassung dazu führen, dass Ereignisse in der falschen Ansicht angezeigt werden. Diskussionen über mandantenfähige Logging-Architekturen und gemeinsam genutzte SIEM-Bereitstellungen heben dieses Risiko häufig hervor: Schwache oder inkonsistent angewendete Mandantenkennungen können dazu führen, dass falsch gekennzeichnete Ereignisse Telemetriedaten zwischen Mandanten auf schwer erkennbare Weise weitergeben.

Die meisten Organisationen, die an der ISMS.online-Umfrage 2025 teilnahmen, berichteten, im vergangenen Jahr von mindestens einem Sicherheitsvorfall im Zusammenhang mit Drittanbietern oder Lieferanten betroffen gewesen zu sein.

Aus Sicht der ISO 27001 untergräbt dies die Vertraulichkeit. Aus vertraglicher Sicht kann es zu Vertragsverletzungen führen. Im Hinblick auf die Protokollierung bedeutet es, dass Ihre Architektur die Mandantenfähigkeit nicht ausreichend als Designaspekt berücksichtigt hat. Leitlinien zur Protokollierung und Überwachung in gemeinsam genutzten Cloud-Umgebungen, einschließlich der Arbeit von Organisationen wie der Cloud Security Alliance, betrachten die Offenlegung von Protokollen zwischen Mandanten sowohl als Verletzung der Vertraulichkeit als auch als potenziellen Verstoß gegen vertragliche oder regulatorische Verpflichtungen.

Gleichzeitig könnten Kunden annehmen, dass Sie aufgrund Ihres Managed-Service-Angebots über eine vollständige Kopie all ihrer Protokolle verfügen. Tatsächlich speichern Sie möglicherweise nur Zusammenfassungen oder Warnmeldungen ihrer Systeme, während die Rohdaten in ihren Cloud-Abonnements oder Rechenzentren verbleiben. Ist diese Aufteilung der Zuständigkeiten unklar, werden Erwartungen und Verantwortlichkeiten im Zusammenhang mit A.8.15 unklar, und Ihre Position in Streitfällen oder Untersuchungen wird schwerer zu verteidigen.

Um die Anforderungen von A.8.15 im Kontext eines Managed Service Providers (MSP) zu erfüllen, muss klar definiert sein, wem welche Protokolle gehören, wer darauf zugreifen kann und zu welchem ​​Zweck. Für jedes Serviceangebot sollten Sie folgende Fragen beantworten können: Welche Systeme generieren Protokolle? Wo werden diese Protokolle gespeichert? Wer hat Administrator- und Lesezugriff? Wie werden sie gesichert und aufbewahrt? Und wie werden sie für Überwachung und Störungsbehebung verwendet?

Rund 41 % der Befragten gaben an, dass das Management von Drittparteirisiken und die Überwachung der Einhaltung von Vorschriften durch Lieferanten eine ihrer größten Herausforderungen im Bereich der Informationssicherheit darstellt.

Diese Klarheit sollte sich in Ihren Verträgen und Leistungsbeschreibungen widerspiegeln. Wenn Sie beispielsweise einen Managed-Firewall-Service anbieten: Führen Sie detaillierte Protokolle des Datenverkehrs, nur Sicherheitsereignisse oder lediglich monatliche Zusammenfassungen? Ist der Zugriff auf Rohdaten für ein eigenes SIEM-System explizit im Leistungsumfang enthalten? Auf welche Protokollquellen greifen Sie zurück, wenn ein Kunde sechs Monate nach einem Vorfall einen Bericht anfordert?

Aufsichtsbehörden und Unternehmenskunden erwarten zunehmend Architekturskizzen oder schriftliche Beschreibungen Ihrer Protokollierungs- und Überwachungskonzepte, insbesondere wenn Sie kritische Sektoren bedienen oder grenzüberschreitende Datenflüsse abwickeln. Strategiepapiere zur Cybersicherheit kritischer Infrastrukturen und Cloud-Dienste, insbesondere im europäischen Kontext, betonen die Notwendigkeit dokumentierter Architekturen und klar definierter Verantwortlichkeiten für Protokollierung und Überwachung, um operative Resilienz und Transparenz nachzuweisen. Können Sie diese nicht zeitnah bereitstellen, deutet dies darauf hin, dass die Protokollierung eher auf Tool-Konfigurationen als auf einer bewusst gewählten Mandantenarchitektur basiert. Im nächsten Abschnitt wird ein einfaches Stack-Modell vorgestellt, das Ihnen hilft, von einer unstrukturierten Vorgehensweise zu einem strukturierten Design überzugehen, das auch Audits und Untersuchungen standhält.



Der A.8.15 MSP Logging Stack: eine 4-Schichten-Architektur

Ein praktischer Ansatz für die Konzeption von Protokollierungsprozessen in Managed Service Providern (MSPs) besteht darin, in vier Schichten zu denken: Erfassung, Verarbeitung und Normalisierung, Speicherung und Schutz sowie Zugriff und Nutzung. Jede Schicht birgt eigene Risiken, Kontrollen und Nachweise und muss in einer Multi-Tenant-Umgebung funktionieren. Wenn Sie diese Schichten klar erläutern können, gewinnen Auditoren und Kunden in der Regel das Vertrauen in Ihre Konzeption.

  • Erfassung: – wie Ereignisse Systeme verlassen und Ihre Protokollierungsplattform erreichen.
  • Verarbeitung und Normalisierung: – wie Sie Protokolldaten analysieren, anreichern und weiterleiten.
  • Lagerung und Schutz: – wie Sie Protokolle sicher und mit Integrität und Backups aufbewahren.
  • Zugang und Nutzung: – wie Menschen Protokolle abfragen, überprüfen und darauf reagieren.

Die vier Schichten in der Praxis

Die Erfassungsschicht beschreibt, wie Ereignisse Systeme verlassen und Ihre Protokollierungsplattform erreichen. Für Managed Service Provider (MSPs) können dies Agenten auf Servern und Endpunkten, Konnektoren zu Cloud-Diensten, Syslog-Streams von Netzwerkgeräten und API-Integrationen für RMM- und PSA-Tools sein. Die entscheidenden Fragen sind, ob alle relevanten Systeme so konfiguriert sind, dass sie die richtigen Ereignisse senden, und ob diese Verbindungen sicher und zuverlässig sind.

Die Verarbeitung und Normalisierung umfassen das Parsen, Anreichern und Weiterleiten von Protokolldateien nach deren Eingang. Sie können Mandantenkennungen hinzufügen, Benutzernamen systemübergreifend normalisieren, herstellerspezifische Felder in ein gemeinsames Schema abbilden und irrelevante Daten herausfiltern. Die hier getroffenen Entscheidungen beeinflussen, wie einfach es ist, nach Informationen wie „Was hat dieser Techniker gestern bei allen Kunden gemacht?“ oder „Zeig mir alle fehlgeschlagenen Administratoranmeldungen auf Hochrisikosystemen der letzten Woche“ zu suchen.

Speicherung und Schutz regeln, wo Protokolle gespeichert werden, wie sie vor Manipulation und Verlust geschützt werden und wie die Aufbewahrungsfristen eingehalten werden. Sie müssen Datenspeicher, Backup-Strategien, Integritätskontrollen wie z. B. Nur-Anhängen-Speicherung oder Hashing sowie Tiering-Schemata für häufig und selten genutzte Daten auswählen. Zugriff und Nutzung umfassen Rollen, Berechtigungen, Dashboards, Benachrichtigungen, Untersuchungen und Berichte. Hier trifft A.8.15 auf A.8.16: Die reine Protokollierung reicht nicht aus, wenn niemand die Protokolle effizient auswerten und darauf reagieren kann.

Umwandlung des Stacks in MSP-Service-Blueprints

Sobald die vier Ebenen für Ihre Umgebung definiert sind, können Sie sie dienstweise anwenden, um wiederverwendbare Protokollierungsvorlagen zu erstellen. Bei einem Managed Service legen Sie fest, wie Ereignisse erfasst, angereichert, gespeichert und abgerufen werden, bevor Sie sich mit den individuellen Einstellungen des Anbieters befassen. Diese Vorgehensweise erleichtert es, Ihren Ansatz allen Kunden einheitlich zu erläutern.

Nehmen wir eine verwaltete Firewall als Beispiel. Bei der Datenerfassung aktivieren Sie detaillierte Sicherheits- und Administratorprotokolle und leiten diese sicher an Ihre zentrale Plattform weiter. Bei der Verarbeitung versehen Sie Ereignisse mit Kundenkennungen und normalisieren Regel- und Schnittstellennamen. Bei der Speicherung bewahren Sie Sicherheitsereignisse für einen vereinbarten Zeitraum in einem durchsuchbaren Speicher auf und archivieren Rohprotokolle bei Bedarf länger. Bei Zugriff und Nutzung sieht Ihr SOC mandantenfähige Dashboards, während Kunden ihre eigene Teilmenge über Berichte oder Portale einsehen können.

Das gleiche Muster lässt sich auf verwaltete Microsoft 365-Lösungen, Endpunktsicherheit, Identitätsdienste und andere Angebote anwenden. Für jedes dieser Angebote dokumentieren Sie in Ihrem ISMS, welche Ebenen zum Einsatz kommen, welche Kontrollen angewendet werden und wie Nachweise erfasst werden. Dies vereinfacht die Integration neuer Kunden, die Erläuterung Ihres Konzepts in Ausschreibungen und den Nachweis der Konformität mit A.8.15 bei Audits erheblich.

Schritt 1 – Beschreiben Sie den Leistungsumfang

Definieren Sie, welche Systeme, gemeinsam genutzten Plattformen und Kundenkomponenten der Service abdeckt, einschließlich etwaiger Einschränkungen hinsichtlich Regionen, Mandanten oder Datenstandort.

Schritt 2 – Jede Protokollierungsschicht erfassen

Dokumentieren Sie für diesen Dienst, wie Sie Ereignisse erfassen, verarbeiten und normalisieren, speichern und schützen und wie Sie Personen Zugriff für Überwachung und Untersuchungen gewähren.

Schritt 3 – Verknüpfung der Ebenen mit Kontrollen und Nachweisen

Ordnen Sie jede Ebene spezifischen ISO 27001-Kontrollen, Verantwortlichkeiten, Verfahren und Aufzeichnungen zu, damit Sie den Auditoren genau zeigen können, wie die einzelnen Ebenen in der Praxis funktionieren.

Dieser strukturierte Ansatz macht Fragen zur Ausfallsicherheit konkreter. Wie werden Protokolle zwischengespeichert, wenn die Erfassungsagenten ausfallen? Wie lassen sich unbemerkte Datenlücken vermeiden, wenn der Protokollspeicher einer Region nicht verfügbar ist? Wie können die Mindestprotokollierungs- und Aufbewahrungspflichten eingehalten werden, wenn Ihr SIEM-System ausfällt? Indem Sie Ihre Protokollierung als System betrachten, können Sie diese Szenarien explizit einplanen, anstatt Schwachstellen erst im Fehlerfall zu entdecken.



Klettern

Befreien Sie sich von einem Berg an Tabellenkalkulationen

Integrieren, erweitern und skalieren Sie Ihre Compliance, ohne dass es zu Problemen kommt. IO gibt Ihnen die Widerstandsfähigkeit und das Vertrauen, um sicher zu wachsen.

Buchen Sie Ihre Demo


Entwicklung von mandantenfähigen Systemen für Datenerfassung, -aggregation, -speicherung und -zugriff

Mit diesem Stack im Hinterkopf können Sie nun die spezifischen Mandanten-Aspekte der MSP-Protokollierung adressieren: die Trennung von Kundendaten, die Berücksichtigung regionaler Grenzen und die Abstimmung des Technologie-Designs mit Verträgen und Datenschutzverpflichtungen. Diese Entscheidungen haben direkten Einfluss darauf, wie glaubwürdig Ihre A.8.15-Implementierung von Prüfern, Kunden und Aufsichtsbehörden wahrgenommen wird.

Sammlung und Aggregation in einer Multi-Tenant-Welt

In einer Einzelorganisation können Sie einfach alle Systeme auf einen zentralen Log-Collector ausrichten. In einem Managed Service Provider (MSP) müssen Sie zusätzlich berücksichtigen, welche Kunden sich Collectoren teilen, durch welche Regionen die Daten fließen und wie Sie Mandantenkennungen bei eingehenden Ereignissen kennzeichnen und verifizieren. Ein sinnvoller Ausgangspunkt ist die Definition standardisierter Erfassungsmuster pro Dienst und Region.

Beispielsweise könnten Sie regionsspezifische Erfassungsendpunkte verwenden, um sicherzustellen, dass die Protokolle europäischer Kunden die Region nur nach ausdrücklicher Zustimmung verlassen. Sie könnten vorschreiben, dass jede Protokollnachricht eine Mandantenkennung enthält, die vor der Annahme am Netzwerkrand validiert wird. Besonders sensible Kunden könnten Sie in eigenen Pipelines isolieren. Diese Maßnahmen tragen dazu bei, versehentliche Datenvermischung zu verhindern und die Einhaltung der Datenresidenzverpflichtungen zu gewährleisten.

Aggregation und Normalisierung müssen diese Grenzen ebenfalls berücksichtigen. Werden Logs zur Korrelation zusammengeführt, aggregieren sie dann über alle Kunden oder nur innerhalb definierter Gruppen? Kann eine Abfrage ohne explizite Autorisierung jemals kundenübergreifend sein? Wenn Ihr SOC globale Erkennungsinhalte verwendet, wie stellen Sie sicher, dass die Ergebnisse, die Analysten sehen, ihren Genehmigungen entsprechen?

Ein paar Fragen können Ihrem Entwurf Struktur verleihen:

  • Welche Dienste nutzen dieselben Datensammler, und wo befinden sich diese Datensammler?
  • Wie validieren Sie Mandantenkennungen bei der Datenaufnahme?
  • Unter welchen Bedingungen können Abfragen oder Warnmeldungen mehrere Kunden betreffen?

Klare, dokumentierte Antworten auf diese Fragen sind der Schlüssel zur Erfüllung sowohl von A.8.15 als auch Ihrer Vertraulichkeitsverpflichtungen und bieten Ihnen eine stichhaltige Erklärung, falls eine Aufsichtsbehörde oder ein Kunde die Funktionsweise Ihrer Mandantenprotokollierung hinterfragt.

Speicherung, Zugriffskontrolle und Datenschutz

Im Bereich der Datenspeicherung müssen bei Multi-Tenant-Architekturen unter anderem folgende Entscheidungen getroffen werden: Sollen gemeinsam genutzte Indizes mit strikter logischer Trennung oder separate Datenspeicher pro Kunde verwendet werden? Gemeinsam genutzter Speicher kann effizienter sein, erfordert jedoch strenge Sicherheitsvorkehrungen für Indizierung, Abfrage und Export. Separate Speicher sind unter Umständen einfacher zu handhaben, benötigen aber zusätzliche Infrastruktur. In jedem Fall müssen Sie nachweisen können, wie Sie verhindern, dass die Daten eines Kunden im Kontext der Daten eines anderen Kunden abgerufen werden.

Die Zugriffskontrolle sollte Ihr Servicemodell widerspiegeln. SOC-Analysten benötigen möglicherweise Lesezugriff auf mehrere Mandanten, aber nur eine sehr kleine Gruppe sollte administrative Rechte zum Ändern von Protokollierungskonfigurationen oder Aufbewahrungsfristen haben. Kundenmitarbeiter sollten nur ihre eigenen Protokolle einsehen können, wobei die Rollen durch das Prinzip der minimalen Berechtigungen weiter eingeschränkt werden. Jeder Zugriff auf die Protokollierungsplattform selbst sollte protokolliert und überprüft werden, insbesondere bei sensiblen Aktionen wie dem Ändern von Aufbewahrungseinstellungen oder dem Löschen von Daten.

Datenschutz eröffnet eine weitere Dimension. Protokolle enthalten häufig personenbezogene Daten wie Benutzernamen, IP-Adressen, Geräte-IDs und in manchen Fällen Interaktionsinhalte. Sie müssen entscheiden, welche Felder für Sicherheits- und Betriebszwecke erforderlich sind und wo Anonymisierung, Pseudonymisierung oder Aggregation angebracht sind. Zudem müssen Sie sicherstellen, dass Aufbewahrungsfristen und Datenspeicherorte den Datenschutzgesetzen und -vereinbarungen entsprechen. Diese Entscheidungen sollten dokumentiert werden, damit Ihr A.8.15-Design mit Ihren Datenschutzmaßnahmen kompatibel bleibt und Sie Ihren Ansatz im Falle einer Anfechtung verteidigen können.



Was protokolliert werden sollte: Unverzichtbare vs. wünschenswerte MSP-Protokollquellen

Kein Managed Service Provider (MSP) kann oder sollte alles protokollieren. Die Kunst besteht darin, einen nachvollziehbaren Mindestsatz an Protokollierungsquellen auszuwählen, der es ermöglicht, relevante Vorfälle zu erkennen und zu untersuchen, und dann weitere Quellen hinzuzufügen, wenn Risiko und Budget dies rechtfertigen. ISO 27001 erwartet, dass dies risikobasiert und dokumentiert erfolgt, und Auditoren fragen häufig nach der Priorisierung bestimmter Quellen.

Unverzichtbare Protokollquellen für Managed Service Provider

Bei der Implementierung von A.8.15 ist es äußerst schwierig, auf einige Protokollquellen zu verzichten. Ein einfacher Test: Stellen Sie sich einen schwerwiegenden Vorfall vor und fragen Sie sich, ob Sie den Hergang ohne diese Protokolle glaubwürdig rekonstruieren könnten. Lautet die Antwort „Nein“, gehört diese Quelle wahrscheinlich in Ihr Basisdesign. Praxisnahe Implementierungsleitfäden für A.8.15 von ISO 27001-Beratungsunternehmen betonen häufig, dass Identitätssysteme, Grenzkontrollen, zentrale Sicherheitstools und administrative Jump-Hosts für eine glaubwürdige Zertifizierung zu diesem Basisset gehören.

Zu den wichtigsten Kategorien gehören üblicherweise:

  • Identitäts- und Zugriffssysteme: – Verzeichnisse, Single Sign‐On und Multi-Faktor-Authentifizierungsanbieter.
  • Netzwerk- und Grenzkontrollen: – Firewalls, VPN-Gateways und Intrusion-Detection-Tools.
  • Sicherheitstools: – Endpoint-, E-Mail- und Webschutzplattformen.
  • Administrative Tools und Jump-Hosts: – RMM, Tools für privilegierten Zugriff, Bastions und Cloud-Konsolen.
  • Kernserviceplattformen: – verwaltete Cloud-Suiten, wichtige Anwendungen und Ticketing- oder PSA-Systeme.

Identitäts- und Zugriffssysteme stehen ganz oben auf dieser Liste. Ohne Protokollierung durch Verzeichnisdienste, Single-Sign-On-Anbieter und Multi-Faktor-Authentifizierungsplattformen lässt sich nicht zuverlässig nachvollziehen, wer sich wo und mit welchen Berechtigungen angemeldet hat.

Netzwerk- und Grenzkontrollen sind eine weitere unverzichtbare Kategorie: Firewalls, VPN-Gateways, sichere Web-Gateways und Systeme zur Erkennung und Abwehr von Eindringlingen. Diese Protokolle zeigen, welcher Datenverkehr zugelassen oder blockiert wurde, welche Verbindungen von ungewöhnlichen Standorten stammten und wann Regeln oder Richtlinien geändert wurden. Sicherheitstools wie Endpunktschutz, E-Mail-Sicherheit und Webfilter liefern wertvolle Informationen über Bedrohungen und Gegenmaßnahmen.

Die von Ihren Technikern genutzten administrativen Tools und Jump-Hosts verdienen besondere Aufmerksamkeit. Aktionen, die über RMM-Plattformen, Tools für die Verwaltung privilegierter Zugriffe, Bastion-Hosts und Cloud-Management-Konsolen durchgeführt werden, sollten so detailliert protokolliert werden, dass nachvollziehbar ist, welche Aktionen auf welchen Systemen und unter welcher Identität ausgeführt wurden. Schließlich liefern wichtige Serviceplattformen wie das gehostete Microsoft 365, Ihre Kernanwendungen und Ihr Ticket- oder PSA-System wichtige Kontextinformationen zu Änderungen und Kundeninteraktionen.

Fehlt eine dieser Kategorien, wird es Ihnen schwerfallen, grundlegende Fragen bei Vorfällen und Audits zu beantworten. Branchenkommentare zu Incident Response und Untersuchungen von Sicherheitsvorfällen weisen regelmäßig darauf hin, dass fehlende Identitäts-, Netzwerk- oder Sicherheitstool-Protokolle die Rekonstruktion von Ereignissen und die Beantwortung detaillierter Fragen von Ermittlern oder Auditoren erheblich erschweren. Die obligatorische Berücksichtigung dieser Kategorien in Ihrem A.8.15-Design schafft eine solide Grundlage und erleichtert die Begründung weiterer Erweiterungen.

Nützliche Quellen und wann man sie hinzufügen sollte

Neben den grundlegenden Protokollen gibt es viele weitere Protokollquellen, die zwar einen Mehrwert bieten, aber nicht in allen Fällen gerechtfertigt sind. Generische Anwendungsprotokolle von Desktop-Software, detaillierte Debug-Protokolle aus Entwicklungsumgebungen und ausführliche Metriken von Systemen mit geringem Risiko können schnell Speicherplatz und Analystenzeit beanspruchen, ohne die Fähigkeit zur Erkennung oder Untersuchung von Vorfällen wesentlich zu verbessern.

Das bedeutet nicht, dass sie grundsätzlich nicht relevant sind. Bei Hochrisikokunden, kundenspezifischen Anwendungen oder regulierten Arbeitslasten kann eine zusätzliche Protokollierung erforderlich sein. Wichtig ist, diese Begründung in der Risikobewertung und der Anwendbarkeitserklärung festzuhalten und die Erfassung und Aufbewahrung gezielt und nicht nur sporadisch zu konfigurieren.

Eine hilfreiche Methode ist die Definition von Protokollquellenebenen in Ihrem Servicekatalog. Eine Basisebene könnte alle erforderlichen Quellen umfassen und für Standardkunden geeignet sein. Höhere Ebenen könnten anwendungsspezifische Protokolle, detailliertere Audit-Trails oder längere Aufbewahrungsfristen bieten. Jede Ebene sollte nicht nur das Datenvolumen, sondern auch die Erkennungsabdeckung und Untersuchungstiefe beschreiben. So können Vertrieb, Betrieb und Kunden die Vorteile höherer Ebenen besser verstehen.

Eine kleine Vergleichstabelle kann Ihrem Team helfen, Quellen pragmatisch zu bewerten:

Tier Typische Quellen Hauptzweck
Kernbestandteil (unbedingt erforderlich) Identitätsmanagement, Firewalls, VPN, EDR, RMM, Verwaltungstools Detektion und grundlegende forensische Fähigkeiten
Verbesserte Wichtige Anwendungsprotokolle, Cloud-Workload-Protokolle Vertiefte Ursachenanalyse
Spezialist Debug-Protokolle, spezielle Systemprotokolle Seltene, komplexe oder regulierte Fälle

Dies dient lediglich der Veranschaulichung; Ihre tatsächlichen Stufen und Quellen sollten Ihrem individuellen Risikoprofil und Ihren Diensten entsprechen. Wichtig ist, dass A.8.15 zu einer strukturierten Auswahlmöglichkeit wird und nicht einfach eine Folge der zufällig aktivierten Protokollierung in den jeweiligen Systemen ist. Wenn Sie diese Auswahlmöglichkeiten erläutern können, lassen sie sich gegenüber Prüfern, Kunden und Aufsichtsbehörden deutlich leichter verteidigen.



ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.

Verwalten Sie Ihre gesamte Compliance an einem Ort

ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.

Buchen Sie Ihre Demo


Wie lange sollte man es behalten: Ein risikobasiertes Kundenbindungsmodell für Managed Service Provider (MSPs)

Die Wahl der Aufbewahrungsfristen ist für Managed Service Provider (MSPs) einer der heikelsten Aspekte von A.8.15. Hierbei müssen regulatorische Vorgaben, die Anforderungen der Vorfallsuntersuchung, Datenschutzbestimmungen und Speicherkosten in Einklang gebracht werden. Die getroffenen Entscheidungen werden danach beurteilt, wie risikobasiert und nachvollziehbar sie sind. Kunden und Wirtschaftsprüfer werden diese Entscheidungen im Rahmen von Prüfungen genauestens unter die Lupe nehmen.

Entwicklung eines gestaffelten Kundenbindungsmodells

Ein praktischer Ansatz für die Aufbewahrung von Protokollen besteht darin, diese in Klassen zu gruppieren und Prioritätsstufen zuzuweisen. Beispielsweise könnten Sicherheits- und Verwaltungsprotokolle einer Klasse zugeordnet werden, Kundenservice- und Ticketprotokolle einer anderen und technische Protokolle mit geringem Wert einer dritten. Für jede Klasse wird festgelegt, wie lange die Daten schnell durchsuchbar sein sollen, wie lange sie in langsamerer oder archivierter Form verfügbar bleiben und wann sie gelöscht oder anonymisiert werden sollen.

Um diese Entscheidungen zu treffen, gehen Sie von Ihren Risiken und Verpflichtungen aus. Berücksichtigen Sie, wie lange Angriffe bei Ihren Kunden typischerweise unentdeckt bleiben, wie lange Untersuchungen und Gerichtsverfahren in der Regel dauern und welche Anforderungen von Aufsichtsbehörden oder Verträgen gestellt werden. Wenn Ihre Kunden in Branchen tätig sind, in denen Vorfälle mitunter erst Monate nach dem ursprünglichen Angriff aufgedeckt werden, sind sehr kurze Aufbewahrungsfristen schwer zu rechtfertigen. Die Richtlinien von Cloud-Anbietern zur Protokollaufbewahrung empfehlen üblicherweise ein ähnliches Vorgehen: Hochwertige Protokolle werden für einen bestimmten Zeitraum aktiv und durchsuchbar gehalten und anschließend in einen kostengünstigeren Archivspeicher verschoben, der weiterhin den Zugriff für Untersuchungen oder Compliance-Anfragen ermöglicht.

Ein gängiges Vorgehen ist, wichtige Protokolle (Identität, Sicherheit, Administratoraktionen) mehrere Monate lang aktuell und durchsuchbar zu halten und sie anschließend in einen kostengünstigeren Speicher zu verschieben, wobei der Zugriff darauf für ein bis mehrere Jahre erhalten bleibt. Weniger wichtige Protokolle können deutlich kürzer aufbewahrt werden. Unabhängig von den gewählten Aufbewahrungsfristen sollten Sie dokumentieren, wie diese ermittelt wurden, welche Risiken sie abdecken und wer sie genehmigt hat. Dies vereinfacht die Kommunikation mit Auditoren, Kunden und Datenschutzbeauftragten erheblich.

Schritt 1 – Protokolltypen klassifizieren

Protokolle werden in übersichtliche Kategorien wie Sicherheit und Administration, Kundenservice und Ticketing sowie technische oder diagnostische Daten mit geringem Wert gruppiert.

Schritt 2 – Entscheidung über die Aufbewahrungsdauer: Aktuelle Meldungen vs. Archivierung

Entscheiden Sie für jede Klasse, wie lange die Daten schnell durchsuchbar bleiben sollen und wie lange sie in langsameren oder archivierten Speichern verbleiben sollen.

Schritt 3 – Begründung und Genehmigungen dokumentieren

Halten Sie fest, warum Sie die einzelnen Aufbewahrungsfristen gewählt haben, welche Risiken oder Verpflichtungen damit verbunden sind und wer diese genehmigt hat, damit Sie dies bei Audits erklären können.

Ausgewogenheit zwischen Regulierung, Untersuchung und Kosten

Die Aufbewahrungsdauer ist nicht nur eine technische oder Compliance-Entscheidung, sondern auch eine wirtschaftliche. Längere Aufbewahrungsfristen bedeuten mehr Speicherplatz, Backups und Indizierung, was Ihre Gewinnmargen beeinträchtigen kann, wenn dies nicht angemessen kalkuliert wird. Kürzere Aufbewahrungsfristen sparen zwar kurzfristig Kosten, erhöhen aber das Risiko, dass Sie später im Falle einer Untersuchung die gebotene Sorgfaltspflicht nicht nachweisen können.

Eine deutliche Mehrheit der Organisationen im Bericht „State of Information Security 2025“ gab an, dass die Geschwindigkeit und das Ausmaß der regulatorischen Änderungen die Einhaltung der Vorschriften zunehmend erschweren.

Ihr Servicekatalog sollte daher die Aufbewahrungsdauer transparent darstellen. Geben Sie für jede Protokollierungsstufe oder jedes Servicepaket an, welche Protokollklassen wie lange und in welcher Form aufbewahrt werden. So können Kunden je nach Risikobereitschaft und regulatorischem Profil die passende Option auswählen. Gleichzeitig erhalten Ihre Finanz- und Betriebsteams einen besseren Überblick über die Kostenfolgen der einzelnen Optionen.

Datenschutzbestimmungen bringen eine weitere Ebene ins Spiel. Viele Rechtsordnungen schreiben vor, dass personenbezogene Daten nicht länger als für die Zwecke, für die sie erhoben wurden, erforderlich aufbewahrt werden dürfen. Dies spiegelt Grundsätze wie die Speicherbegrenzung in Datenschutzgesetzen wie der DSGVO wider, die ausdrücklich festlegen, dass personenbezogene Daten nicht unbegrenzt aufbewahrt werden dürfen und gelöscht oder anonymisiert werden müssen, sobald sie für die ursprünglich definierten Zwecke nicht mehr benötigt werden.

Dies kann im Widerspruch zum Wunsch stehen, Sicherheitsprotokolle über viele Jahre aufzubewahren. Techniken wie die Pseudonymisierung bestimmter Felder nach einer gewissen Zeit, die Aggregation von Ereignissen zu Zählungen oder das Löschen von Feldern mit geringem Wert können helfen, diese Anforderungen in Einklang zu bringen.

Der entscheidende Test ist, ob Ihr Aufbewahrungsmodell angemessen und vertretbar wäre, wenn eine Aufsichtsbehörde, ein Kunde oder ein Gericht Sie zur Begründung auffordern würde. Können Sie die Abwägung zwischen regulatorischen Vorgaben, Untersuchungserfordernissen, Datenschutz und Kosten erläutern und nachweisen, dass Sie diese konsequent anwenden, sind Sie deutlich besser aufgestellt, als wenn die Aufbewahrung einfach „auf dem Stand des Systems bei der Installation“ erfolgt.



Buchen Sie noch heute eine Demo mit ISMS.online

ISMS.online unterstützt Sie dabei, A.8.15 von einer unstrukturierten Tool-Konfiguration in ein kontrolliertes, revisionssicheres System für all Ihre MSP-Services zu verwandeln. So sind Sie bestens gerüstet für Incidents und Audits und verfügen über eine klare und nachvollziehbare Protokollierung. Eine gut durchdachte Protokollierungsarchitektur und ein entsprechendes Aufbewahrungsmodell entfalten ihr volles Potenzial nur, wenn sie in Ihr übergeordnetes Managementsystem integriert sind und sich an die Weiterentwicklung Ihrer Services anpassen.

Warum Struktur wichtiger ist als ein weiteres Werkzeug

ISMS.online bietet Ihnen eine strukturierte Plattform zur Erfassung Ihres Protokollierungskonzepts für alle Ihre MSP-Dienste, anstatt sich auf Tabellenkalkulationen, Präsentationen und individuelles Wissen zu verlassen. Sie können Ihre Kontrollabsicht gemäß A.8.15 definieren, relevante Protokollquellen auflisten, Ihre vierschichtige Architektur beschreiben und dokumentieren, wie die mandantenfähige Erfassung, Speicherung und der Zugriff für jedes Angebot gehandhabt werden.

Sie können Ihre Aufbewahrungsstrategie auch explizit modellieren. Für jede Protokollklasse und Serviceebene dokumentieren Sie die vereinbarten Aufbewahrungsfristen, die verwendeten Speicherebenen und die jeweiligen Gründe. Wenn Prüfer fragen, warum bestimmte Protokolle für einen bestimmten Zeitraum aufbewahrt werden, können Sie auf eine einzige, nachvollziehbare Dokumentation verweisen, die die Entscheidungen mit Risiken, Verträgen und Datenschutzbestimmungen verknüpft. Das reduziert den Zeitaufwand und die Belastung bei der Prüfungsvorbereitung und hilft, Überraschungen zu vermeiden.

Entscheidend ist, dass ISMS.online so konzipiert ist, dass es sich in Ihre bestehenden Betriebssysteme integriert und diese nicht ersetzt. Ihre SIEM-, RMM-, Ticketing-Plattform und Cloud-Dienste bleiben die Basis für Protokollierung und Überwachung. Das ISMS bildet den Rahmen dafür: Wer ist verantwortlich? Welche Verfahren gelten? Wie werden Überprüfungen dokumentiert und wie werden Verbesserungen nachverfolgt? Diese Trennung erleichtert die Weiterentwicklung Ihrer Tools, ohne dass Sie die Kontrolle über Ihre Protokollierung verlieren.

Welchen Vorteil bietet die Zentralisierung Ihres Protokollierungsdesigns?

Durch die zentrale Verwaltung Ihres A.8.15-Ansatzes in ISMS.online erhalten alle Beteiligten eine einheitliche Sicht auf die Funktionsweise von Protokollierung und Aufbewahrung innerhalb Ihres Managed Service Providers (MSP). Diese Transparenz erleichtert das Erkennen von Verantwortlichkeiten, potenziellen Schwachstellen und Prioritäten im Designprozess und vereinfacht die praktische Darstellung Ihres Ansatzes gegenüber Auditoren und Kunden.

Sicherheitsverantwortliche erkennen auf einen Blick, welche Dienste durch das vierstufige Sicherheitskonzept vollständig abgedeckt sind und wo noch Lücken bestehen. Geschäftsführer sehen, wie die Protokollierungs- und Aufbewahrungsoptionen mit der Risikobereitschaft und den Geschäftsprioritäten übereinstimmen. Betriebsleiter können tägliche Prüfungen und Überprüfungen den Kontrollen zuordnen und Nachweise übersichtlich organisieren, sodass der Aufwand für die Auditvorbereitung über das ganze Jahr verteilt wird, anstatt sich auf wenige stressige Wochen zu konzentrieren.

Sie können klein anfangen. Wählen Sie einen zentralen Dienst, beispielsweise Managed Microsoft 365 oder Managed Firewalls, und erfassen Sie dessen Protokollierungsarchitektur, Protokollquellen und Aufbewahrungseinstellungen in der Plattform. Nutzen Sie dies als Pilotprojekt, um Inkonsistenzen, fehlende Zuständigkeiten oder undokumentierte Annahmen aufzudecken. Sobald Sie damit vertraut sind, wenden Sie dasselbe Vorgehen auf andere Dienste an. Mit der Zeit erhalten Sie so ein vollständiges und nachvollziehbares Bild der Protokollierung in Ihrem Managed Service Provider (MSP).

Entscheiden Sie sich für ISMS.online, wenn Sie Protokollierung und Aufbewahrung in ein kohärentes, auditbereites Informationssicherheitsmanagementsystem integrieren möchten, anstatt sie als unstrukturierte Sammlung von Tool-Einstellungen zu verwalten. Wenn Sie Wert auf schnellere und reibungslosere Audits, klarere Servicedefinitionen und die Möglichkeit legen, Kunden und Aufsichtsbehörden Ihre Umsetzung von A.8.15 transparent darzulegen, ist die Buchung einer kurzen Demo der nächste sinnvolle Schritt. So erfahren Sie, wie sich die Konzepte dieses Leitfadens in praktische Workflows, Aufzeichnungen und Dashboards umsetzen lassen, die speziell auf Managed Service Provider (MSPs) wie Ihren zugeschnitten sind.

Kontakt


Häufig gestellte Fragen (FAQ)

Was ändert ISO 27001 A.8.15 konkret für die Vorgehensweise Ihres MSP beim Logging?

ISO 27001 A.8.15 erwartet von Ihrem Managed Service Provider (MSP), dass er die Protokollierung als bewusst eingesetzte Kontrollmaßnahme zur Unterstützung von Sicherheit und Nachvollziehbarkeit behandelt und nicht als Nebenprodukt der verwendeten Tools. Konkret bedeutet dies, festzulegen, was, wo, wie lange und wie protokolliert werden muss, wie die Daten geschützt werden und wie Ihr Team diese Aufzeichnungen nutzt, um Probleme bei allen betroffenen Kunden zu erkennen und zu untersuchen.

Wie lässt sich A.8.15 in einen einfachen, praktikablen Protokollierungsstandard umsetzen?

Ein praktikabler Ansatz besteht darin, A.8.15 in einen kurzen, meinungsstarken Standard umzuwandeln, den Ingenieure, Analysten und Serviceverantwortliche tatsächlich befolgen können:

  • Definiere das kann – welche Kunden, Umgebungen und Dienstleistungen zu Ihrem ISO 27001-Bereich gehören.
  • Verlegen Sie Veranstaltungskategorien die immer protokolliert werden müssen, wie z. B. administrative Änderungen, Authentifizierungs- und Zugriffsversuche, Richtlinien- und Konfigurationsänderungen sowie Sicherheitswarnungen.
  • Liste die . auf minimale Protokollquellen nach Diensttyp (z. B. Identität, Firewalls/VPNs, EDR, M365, RMM, PSA).
  • Klar stellen Erwartungen an die Protokollintegrität – Zeitsynchronisation, eingeschränkter Zugriff, Unveränderlichkeit oder einmalig beschreibbare Speicherung, wo dies möglich ist, und Erwartungen an die Datensicherung.
  • Beschreiben betriebliche Nutzung – wer welche Protokolle in welcher Häufigkeit überprüft, wie Ausnahmen eskaliert werden und wo die Ergebnisse protokolliert werden.

Dieser Standard wird somit zum Referenzpunkt für jeden Managed Service. Wenn ein Auditor fragt, wie Ihre Angebote für „Managed Microsoft 365“ oder „Managed Firewall“ die Anforderungen von A.8.15 erfüllen, können Sie Folgendes nachweisen:

  • Der Protokollierungsstandard in Ihrem ISMS.
  • Der Serviceplan, der jedes Angebot dem Standard zuordnet.
  • Nachweise über echte Rezensionen und Untersuchungen im Zusammenhang mit diesen Dienstleistungen.

Durch die Erfassung von Standards, Service-Mappings und Betriebsaufzeichnungen in ISMS.online bleibt alles nachvollziehbar und es wird deutlich, dass die Protokollierung in Ihr Informationssicherheitsmanagementsystem eingebettet ist und nicht über Tool-Einstellungen und einzelne Notizbücher verstreut ist.

Wie können Sie schnell testen, ob Ihre Protokollierung den Anforderungen von A.8.15 entspricht?

Ein nützlicher interner Test besteht darin, eine kürzlich erfolgte Änderung oder ein sicherheitsrelevantes Ereignis auszuwählen und Ihr Team zu bitten, es allein anhand der Protokolle zu rekonstruieren:

  • Wer hat die Handlung ausgeführt?
  • Wann und wo ist es passiert?
  • Welche Konten, Systeme oder Mandanten waren betroffen?
  • Wie war das Ergebnis und wie hat Ihr Team darauf reagiert?

Wenn Sie diese Fragen mithilfe definierter Protokollquellen und Prüfprozesse sicher beantworten können, sind Sie auf dem richtigen Weg. Sind die Antworten hingegen langsam, unvollständig oder zwischen den Kunden inkonsistent, ist dies ein deutliches Signal, Ihre Standards, Ihren Umfang oder Ihre Prüfdisziplin zu verbessern und diese Verbesserungen als Risiken und Maßnahmen in ISMS.online zu erfassen, um den Fortschritt im Zeitverlauf nachzuweisen.

Wie sollte ein Managed Service Provider (MSP) die Mandantenfähigkeit der Protokollierung gewährleisten, sodass sie sicher, skalierbar und revisionssicher ist?

Ein praktisches MSP-Logging-Design lässt sich normalerweise in vier Schichten unterteilen: der Abholung, Verarbeitung und Normalisierung, Lagerung und Schutz und Zugang und NutzungDas Denken in diesen Ebenen hilft Ihnen, Kunden klar zu trennen, regionale Datenanforderungen zu berücksichtigen und den Prüfern eine klare Darstellung zu bieten.

Welche Designentscheidungen sind auf den einzelnen Ebenen für die mandantenfähige ISO 27001-Protokollierung am wichtigsten?

Bei der SammlungsschichtKonzentrieren Sie sich darauf, wie die Ereignisse jedes Mandanten Ihre Protokollierungsplattform erreichen:

  • Wählen Sie pro Tool aus, ob Agenten, APIs oder Syslog verwendet werden sollen.
  • Stellen Sie regionsspezifische Erfassungsendpunkte bereit, damit EU-, UK- und US-Protokolle bei Bedarf in der jeweiligen Region verbleiben können.
  • Sorgen Sie für eine Synchronisierung der Zeitabläufe, damit diese während einer Untersuchung übereinstimmen.

Bei der Verarbeitungs- und NormalisierungsschichtProtokolle auf einer gemeinsam genutzten Plattform nutzbar und sicher machen:

  • Stellen Sie sicher, dass jeder Datensatz eine zuverlässige Mandantenkennung und gegebenenfalls Umwelt- oder Service-Tags.
  • Normalisieren Sie die Kernfelder (Benutzer, Quelle, Ziel, Aktion, Ergebnis), damit Analysten quellenübergreifend konsistent suchen können.
  • Behandeln Sie mandantenübergreifende Abfragen und globale Suchvorgänge als privilegierte Operationen, mit eigenen Zugriffsregeln und Protokollierung.

Bei der Speicher- und Schutzschicht, Konstruktion für Trennung und Integrität:

  • Partitionieren Sie den Speicher nach Mandant, Region oder beidem mithilfe von Indizes, Buckets oder Datenbanken, die auf Ihre Architektur abgestimmt sind.
  • Wenden Sie Integritätsmaßnahmen wie die Speicherung nur zum Anhängen, Unveränderlichkeitsflags oder Hash-Verkettung an, sofern die Tools diese unterstützen.
  • Verknüpfen Sie die Aufbewahrungsfristen für Hot- und Archivdaten mit Protokollklassen, Verträgen und Branchennormen, damit Sie Ihre Entscheidungen verteidigen können.

Bei der Zugriffs- und Nutzungsschicht, um sicherzustellen, dass die tägliche Arbeit niemals die Grenzen zum Kunden verwischt:

  • Definieren Sie, welche Rollen welche Mandanten sehen können; halten Sie mandantenübergreifende oder globale Rollen selten, begründet und überwacht.
  • Strukturieren Sie Alarmwarteschlangen, Überprüfungen und Untersuchungen so, dass Techniker tief in einem Mandanten arbeiten können, ohne die Daten anderer Kunden preiszugeben.
  • Entscheiden Sie, wie oft Sie Zusammenfassungen, Trends oder Zeitabläufe von Vorfällen mit Ihren Kunden teilen und wie dies mit Ihren Service-Levels übereinstimmt.

Indem Sie diese Entscheidungen als Teil Ihrer A.8.15-Kontrolle dokumentieren und sie dann mit konkreten Konfigurationen, Playbooks und Prüfprotokollen in ISMS.online verknüpfen, verwandeln Sie die mandantenfähige Protokollierung von etwas, von dem Sie hoffen, dass es sicher ist, in etwas, das Sie beschreiben und verteidigen können.

Wie weist man gegenüber Wirtschaftsprüfern und größeren Kunden die Trennung der Mieter nach?

Die Trennung von Mietern wirkt viel überzeugender, wenn man eine klare Trennlinie aufzeigen kann. Datenschutzrichtlinien zu Architektur zu Zutrittskontrolle zu echte Ermittlungen:

  • Richtlinien und Standards legen fest, dass Kundendaten logisch oder physisch getrennt werden und dass der mandantenübergreifende Zugriff streng kontrolliert und überwacht wird.
  • Architekturskizzen veranschaulichen, wie das auf der von Ihnen gewählten Plattform funktioniert, einschließlich regionaler Speicherung für regulierte Kunden.
  • Die Zugriffsprotokolle zeigen, welche Analysten über welche Mandantenberechtigungen verfügen, wer mandantenübergreifende Rollen genehmigt und wie diese Rollen überprüft werden.
  • Die Vorfall- und Untersuchungsprotokolle zeigen, dass Ihr Team detaillierte Analysen innerhalb der Daten eines Mandanten durchführen kann, ohne andere Daten zu berühren.

Die Verwaltung dieser Dokumente, Aufzeichnungen und Links in ISMS.online unter A.8.15 bietet Ihnen eine zentrale Anlaufstelle, um Prüfer und Kunden durch Ihr Unternehmen zu führen, ohne Rohdaten oder jedes Detail Ihrer Tools offenlegen zu müssen.

Welche Protokollquellen sollte ein MSP gemäß ISO 27001 A.8.15 als nicht verhandelbar behandeln?

A.8.15 ist bewusst flexibel gestaltet und fordert Sie auf, „Aktivitäten, Ausnahmen und Informationssicherheitsereignisse“ risikobezogen zu protokollieren. Für Managed Service Provider gibt es einen Kernbestand an Datenquellen, die fast immer berücksichtigt werden müssen, um zuverlässige Untersuchungen und ein problemloses ISO-27001-Audit zu gewährleisten.

Was umfasst üblicherweise eine sinnvolle MSP-Protokollierungsrichtlinie?

Die meisten MSP-Umgebungen profitieren von einer Basislinie, die mindestens fünf Kategorien abdeckt:

  • Identität und Zugriff: Verzeichnisplattformen, SSO, MFA, Privileged Access Management und alle Just-in-Time-Administrationstools.
  • Netzwerk- und Grenzkontrollen: Firewalls, VPNs, sichere Web-Gateways, Schlüsselrouter und Reverse-Proxys schützen den externen und internen Zugriff.
  • Endpunkt- und Workload-Sicherheit: Tools für Endpunktschutz (EDR), E-Mail- und Websicherheit sowie Cloud-Workload-Schutz.
  • Verwaltungs- und Orchestrierungswerkzeuge: RMM-Plattformen, Hypervisoren, Cloud-Management-Konsolen, Jump-Hosts, Bastions und Automatisierungspipelines, die Kundenumgebungen verändern können.
  • Kernkundenplattformen und Ihre eigenen Service-Tools: große SaaS-Lösungen wie Microsoft 365 oder Google Workspace sowie PSA- und Service-Desk-Systeme, die protokollieren, was geändert wurde und warum.

Sind diese Mechanismen vorhanden, kann Ihr Team normalerweise die Fragen beantworten: „Wie ist der Angreifer eingedrungen, was hat er getan und welche Kunden oder Systeme waren betroffen?“ Ohne sie verkommen sowohl die Bearbeitung von Sicherheitsvorfällen als auch die Audits schnell zu Spekulationen, was das Vertrauen in Ihre Managed Services sowie in Ihre Compliance untergräbt.

Wie können Sie Protokollquellen mit geringem Wert kontrollieren, ohne Ihre Sicherheitsarchitektur zu gefährden?

Nicht jede potenzielle Protokollquelle rechtfertigt die Erfassung für jeden Kunden. Eine praktische Möglichkeit, Verschwendung zu vermeiden und gleichzeitig die Rechtssicherheit zu wahren, besteht darin, optionale Quellen zu gruppieren in wertbasierte Stufen:

  • Hochwertige Protokolle: die die Früherkennung oder die Kontextualisierung bei den meisten Vorfällen wesentlich verbessern.
  • Spezielle forensische Protokolle: die vor allem für komplexe Fälle mit hoher Tragweite nützlich sind.
  • Niedrigwertige oder verrauschte Protokolle: die den Umfang und die Kosten erhöhen, ohne einen nennenswerten Ermittlungsnutzen zu bieten.

Anschließend können Sie diese Ebenen Ihrem Servicekatalog zuordnen:

  • Zu den Basisleistungen gehören die nicht verhandelbaren Quellen.
  • Premium- oder „erweiterte Sicherheitsdienste“ beinhalten zusätzliche, hochwertige und forensische Sicherheitsstufen.

Die Dokumentation dieser Stufen und der risikobasierten Begründung für jede Stufe in ISMS.online unter Ihrem Protokollierungsstandard bietet Ihnen eine klare Möglichkeit, Prüfern und Kunden zu erklären, warum ein Dienst eine umfangreichere Protokollierung beinhaltet als ein anderer, und hilft Ihrem Vertriebsteam, die Protokollierung als expliziten Bestandteil jedes verwalteten Dienstes und nicht als versteckte Kosten zu behandeln.

Wie sollte ein Managed Service Provider (MSP) die Aufbewahrung von Protokolldateien definieren und verwalten, um den Anforderungen von Artikel A.8.15 und den Datenschutzgesetzen gerecht zu werden?

Da ISO 27001 keine Aufbewahrungsfristen vorschreibt, liegt es gemäß A.8.15 in Ihrer Verantwortung, die Aufbewahrungsdauer verschiedener Arten von Protokolldaten festzulegen und zu begründen. Als Managed Service Provider (MSP) müssen Sie die Anforderungen von Untersuchungen, Kunden- und Branchenerwartungen, Verträgen und Datenschutzbestimmungen über mehrere Mandanten und Regionen hinweg in Einklang bringen.

Wie kann man ein Kundenbindungsmodell entwickeln, das sich vernünftig und nachvollziehbar anfühlt?

Anstatt die Aufbewahrungsdauer für jede einzelne Datenquelle festzulegen, finden die meisten Managed Service Provider (MSPs) es einfacher, mit einer Handvoll Datenquellen zu arbeiten. Log-Klassen, Wie:

  • Identitäts- und Zugriffsaktivitäten.
  • Sicherheitsereignisse und Warnmeldungen.
  • Verwaltungs- und Veränderungsaktivitäten.
  • Service- und Ticketaufzeichnungen.
  • Technische Protokolle von geringem Wert.

Für jede Klasse können Sie dann Folgendes entscheiden:

  • Wie lange bleiben Protokolle in Ihren primären Tools zur Erkennung und für alltägliche Untersuchungen durchsuchbar?
  • Wie lange sie aus seltenen, komplexen Gründen, aufgrund rechtlicher Aufbewahrungspflichten oder vertraglicher Verpflichtungen im Archiv aufbewahrt werden.

Diese Zeiträume sollten mit Folgendem verknüpft werden:

  • Typische Zeitabläufe bei der Erkennung und Untersuchung schwerwiegender Angriffe.
  • Branchenerwartungen und regulatorische Vorgaben in den von Ihnen bedienten Branchen.
  • Verpflichtungen aus Kundenverträgen und, soweit relevant, Cyberversicherungspolicen.

Technische Protokolle mit geringerem Wert können in der Regel kürzer aufbewahrt werden, um den Speicherplatz zu verwalten und eine unnötige Offenlegung personenbezogener Daten zu vermeiden, während hochwertige Sicherheits- und Zugriffsprotokolle im Allgemeinen eine längere Aufbewahrung rechtfertigen.

Wie lassen sich Aufbewahrungsfristen mit Datenschutzbestimmungen in Einklang bringen und gleichzeitig tiefgreifende Untersuchungen ermöglichen?

Die Aufbewahrung von Daten wird dann zum Datenschutzproblem, wenn sie nur aus Kostengründen verlängert wird. Um sowohl die Anforderungen der ISO 27001 als auch Datenschutzbestimmungen wie die DSGVO oder den CCPA zu erfüllen, können Sie Folgendes tun:

  • Ermitteln Sie, welche Protokollklassen personenbezogene Daten enthalten, und stellen Sie sicher, dass Sie in Bezug auf Risiken und rechtliche Aspekte erläutern können, warum diese Aufbewahrungsfristen „nicht länger als nötig“ sind.
  • Wenden Sie Techniken wie Pseudonymisierung oder Tokenisierung für Langzeitarchive an, damit Ermittler bei Bedarf weiterhin an Veranstaltungen teilnehmen können, ohne jedem Benutzer oder Tool eindeutige Kennungen preiszugeben.
  • Detaillierte ältere Aufzeichnungen sollten durch aggregierte Statistiken oder Zusammenfassungen ersetzt werden, sobald sie für die Reaktion auf Vorfälle oder als Beweismittel vor Gericht nicht mehr benötigt werden.
  • Testen Sie regelmäßig den Abruf und die Analyse archivierter Protokolle anhand repräsentativer Vorfallszenarien, damit Sie wissen, dass Ihr Aufbewahrungskonzept in der Praxis funktioniert und nicht nur auf dem Papier.

Die Dokumentation Ihrer Protokollklassen, Aufbewahrungsfristen, Risikobegründungen und Genehmigungen in ISMS.online gemäß A.8.15 und den entsprechenden Datenschutzbestimmungen bietet Ihnen einen Prüfpfad, den Sie Prüfern, Aufsichtsbehörden und Kunden vorlegen können, die verstehen möchten, warum ein bestimmter Protokolltyp für einen bestimmten Zeitraum aufbewahrt wird.

Wie kann ein Managed Service Provider (MSP) die Einhaltung von Abschnitt A.8.15 im Rahmen eines ISO 27001-Audits überzeugend nachweisen?

Prüfer betrachten A.8.15 üblicherweise aus drei verschiedenen Perspektiven: Design, Betrieb und VerbesserungSie werden nicht danach beurteilt, ob Sie ein bestimmtes SIEM-System besitzen, sondern danach, ob Sie nachweisen können, dass die Protokollierung bewusst so konzipiert ist, wie beschrieben funktioniert und überprüft wird.

Was sollten Sie vor einem Audit mit Schwerpunkt auf A.8.15 vorbereiten?

Ein prägnantes, auf A.8.15 abgestimmtes Nachweispaket erleichtert das Auditgespräch erheblich. Es enthält typischerweise Folgendes:

  • Eine Protokollierungsrichtlinie oder ein Standard, der explizit auf A.8.15 und die damit verbundenen Überwachungs- und Vorfallbearbeitungsmechanismen verweist.
  • Service-Level-Logging-Blueprints, die für jeden wichtigen Managed Service erläutern, welche Logquellen verwendet werden, wie die Mandantentrennung funktioniert und wie die Aufbewahrung angewendet wird.
  • Eine Logklassifizierungs- und Aufbewahrungsmatrix, die angibt, wie lange jede Logklasse aufbewahrt wird und warum.
  • Ihre Anwendbarkeitserklärung mit einem klaren Überblick über alle protokollierungsbezogenen Kontrollen und Ihre Entscheidungen zur Implementierung oder zum Ausschluss.

Für den Betrieb können Sie Folgendes vorbereiten:

  • Konfigurations-Screenshots oder -Exporte, die belegen, dass Schlüsselquellen, Mandantenkennungen, Integritätsoptionen und Aufbewahrungseinstellungen aktiviert sind.
  • Beispiele für geplante Protokollprüfungen, Warnwarteschlangen und Sicherheits-Dashboards, einschließlich der Angaben, wer sie geprüft hat und was mit den Ergebnissen geschehen ist.
  • Eine kleine Anzahl von Untersuchungsberichten, in denen Protokolle eine zentrale Rolle beim Verständnis oder der Lösung eines Problems spielten.
  • Protokolle von Management-Reviews oder Aufzeichnungen zu Verbesserungsmaßnahmen, in denen die Leistung bei der Protokollierung, die Abdeckung oder Vorfälle besprochen wurden.

Wenn diese Artefakte in ISMS.online gespeichert sind und mit A.8.15 und den entsprechenden Diensten verknüpft sind, können Sie die Prüfer logisch von den Richtlinien zu praktischen Beispielen führen, anstatt sie in E-Mails oder lokalen Ordnern suchen zu lassen.

Wie lässt sich die Protokollierung als sich weiterentwickelnde Kontrollmaßnahme und nicht als statische Anforderung darstellen?

Prüfer sind in der Regel entspannter, wenn sie sehen, dass die Protokollierung Teil eines kontinuierlichen Verbesserungsprozesses ist. Das können Sie beispielsweise so demonstrieren:

  • Protokollbezogene Risiken, Probleme und Änderungen werden als Teil Ihrer Risiko- und Verbesserungsprozesse erfasst, inklusive Verantwortlichkeiten und Fälligkeitsterminen.
  • Darstellung eines Überprüfungsplans für Ihren Protokollierungsstandards, Ihr Aufbewahrungsmodell und Ihre Servicezuordnungen sowie Nachweise darüber, dass Überprüfungen zu Aktualisierungen führen.
  • Die aus Untersuchungen gewonnenen Erkenntnisse, bei denen die Protokollierung entweder gut funktionierte oder eine Lücke aufdeckte, werden erfasst und anschließend mit Änderungen in Konfiguration, Abdeckung oder Prozess verknüpft.

Die Möglichkeit, diese Elemente in ISMS.online unter A.8.15 durchzugehen, trägt dazu bei, den Ton des Audits von „Haben Sie dieses Kästchen angekreuzt?“ zu „Wie nutzen Sie die Protokollierung, um Ihre Managed Services im Laufe der Zeit zu verbessern?“ zu verändern, was den Ruf unterstützt, den Sie als seriöser MSP anstreben.

Wie kann ISMS.online Ihrem Managed Service Provider (MSP) dabei helfen, Protokollierung und Aufbewahrung in einen wiederholbaren, vertrauenswürdigen Service zu verwandeln?

Für viele Managed Service Provider (MSPs) besteht die Herausforderung bei A.8.15 nicht darin, ob ein Tool Protokolle erfassen kann, sondern darin, ob Protokollierung und Aufbewahrung funktionieren. konsistent, erklärbar und wirtschaftlich nachhaltig ISMS.online unterstützt Sie kundenübergreifend, indem es Ihre Protokollierungsmethode als einen geregelten Bestandteil Ihres Managementsystems behandelt und nicht als eine Reihe verstreuter Praktiken.

Wie kann ISMS.online Sie bei der Konzeption, den Verantwortlichkeiten und der Nachweisführung Ihrer Protokolle unterstützen?

Innerhalb von ISMS.online können Sie A.8.15 der gleichen Kontrolle unterstellen wie Ihre übrigen Arbeiten gemäß ISO 27001:

  • Dokumentieren Sie Ihre Protokollierungsrichtlinie und Ihren Protokollierungsstandards einmalig, verknüpfen Sie diese direkt mit A.8.15 und den zugehörigen Steuerelementen und machen Sie sie für Ingenieure, Analysten und Serviceverantwortliche sichtbar.
  • Ordnen Sie jeden Managed Service diesem Standard zu, damit Sie immer wissen, welche Logquellen, Architekturen und Aufbewahrungsregeln für „Managed M365“, „Managed Firewall“, „Managed Endpoint“ und ähnliche Angebote gelten.
  • Pflegen Sie eine einheitliche Protokollklassifizierungs- und Aufbewahrungsmatrix, die mit Risiken, Verträgen und Vorschriften verknüpft ist und in der Genehmigungen und Überprüfungsdaten klar erfasst werden.
  • Weisen Sie Verantwortlichkeiten für Protokollprüfungen, Ausnahmebehandlung und Verbesserungsaufgaben zu und verfolgen Sie deren Abschluss mithilfe integrierter Workflows und Erinnerungen.
  • Fügen Sie Architekturskizzen, Prüfberichte, Untersuchungszusammenfassungen und Besprechungsnotizen des Managements direkt zu A.8.15 und zu den einzelnen Diensten hinzu, damit die Nachweise für Wirtschaftsprüfer, Versicherer oder wichtige Kunden leicht zusammengetragen werden können.

Da sich alles in einer einzigen, kontrollierten Umgebung befindet, werden Aktualisierungen, die Sie am Protokollierungsdesign und der Aufbewahrung vornehmen, automatisch mit Ihrem umfassenderen ISMS synchronisiert, anstatt in Tabellenkalkulationen oder persönlichen Ordnern verloren zu gehen.

Welche praktischen Vorteile werden Ihr Team und Ihre Kunden im Alltag bemerken?

Wenn Protokollierung und Aufbewahrung über ISMS.online verwaltet werden, arbeiten Sicherheitsverantwortliche von einem einzelner, wiederverwendbarer Bauplan Für A.8.15 gilt über Mandanten und Regionen hinweg, dass die Techniker klare Standards und Zeitpläne anstelle von Ad-hoc-Gewohnheiten befolgen und die Vertriebsteams erklären können, wie die Protokollierung jedes Servicelevel unterstützt, anstatt sich auf vage Versprechen zu verlassen.

Mit der Zeit verändert diese Kombination oft die Wahrnehmung Ihres Managed Service Providers (MSP) durch Kunden und Auditoren. Anstatt darauf zu hoffen, dass „die Tools standardmäßig ausreichend protokollieren“, positionieren Sie sich als Anbieter, der genau erklären kann, wie die Protokollierung konzipiert, betrieben und verbessert wird und der dies transparent in Ihrem Informationssicherheitsmanagementsystem (ISMS) darstellt. Wenn Sie möchten, dass A.8.15 Ihre Reputation stärkt und nicht als zusätzliche Compliance-Hürde wahrgenommen wird, ist es ratsam, Ihren aktuellen Protokollierungsansatz und die geplanten Verbesserungen in ISMS.online zu erfassen.

Mark Sharron

Mark Sharron leitet die Strategie für Suche und generative KI bei ISMS.online. Sein Schwerpunkt liegt auf der Vermittlung der praktischen Umsetzung von ISO 27001, ISO 42001 und SOC 2 – der Verknüpfung von Risiken mit Kontrollen, Richtlinien und Nachweisen mit auditfähiger Rückverfolgbarkeit. Mark arbeitet mit Produkt- und Kundenteams zusammen, um diese Logik in Arbeitsabläufe und Webinhalte zu integrieren und Unternehmen dabei zu helfen, Sicherheit, Datenschutz und KI-Governance sicher zu verstehen und nachzuweisen.

Twitter

Machen Sie eine virtuelle Tour

Starten Sie jetzt Ihre kostenlose 2-minütige interaktive Demo und sehen Sie
ISMS.online im Einsatz!

Probieren Sie es jetzt
Plattform-Dashboard voll auf Mint

Wir sind führend auf unserem Gebiet

4 / 5 Sterne
Benutzer lieben uns
Leiter – Winter 2026
Regionalleiter – Winter 2026 (Großbritannien)
Regionalleiter – Winter 2026 EU
Regionalleiter – Winter 2026, Mittelstand EU
Regionalleiter – Winter 2026 EMEA
Regionalleiter – Winter 2026, Mittelstand EMEA

„ISMS.Online, herausragendes Tool zur Einhaltung gesetzlicher Vorschriften“

— Jim M.

„Macht externe Audits zum Kinderspiel und verknüpft alle Aspekte Ihres ISMS nahtlos miteinander“

— Karen C.

„Innovative Lösung zur Verwaltung von ISO- und anderen Akkreditierungen“

— Ben H.