Es muss nicht immer alles neu sein. Durch Wiederverwendung bereits verfügbarer Anwendungen, Systeme und Prozesse können effektiv Kosten eingespart werden. Für die Überwachung von Aktivitäten privilegierter Benutzer können die bereits im IT-Service-Management eingesetzten Prozesse und Tools genutzt werden.
Nicht immer braucht es zur Überwachung von Aktivitäten privilegierter Benutzer neue Tools. Oft reicht auch die Erweiterung bestehender Prozesse und die Anpassung bestehender Tools.
In Projekten ist oft der Einsatz neuer Tools und die Erstellung neuer Prozesse vorgesehen. Dabei entstehen einmalige Kosten u. a. für Toolauswahl, evtl. Lizenzkosten und Implementierungsaufwand sowie zusätzliche laufende Betriebs- und Wartungskosten. Die Überwachung von Aktivitäten privilegierter Benutzer kann jedoch auch durch die Kombination, bzw. Erweiterung bestehender Prozesse sowie durch die Anpassung der Einsatzszenarien bestehender Tools erfüllt werden.
Aktivitäten von privilegierten Benutzern
Die Überwachung der Aktivitäten von privilegierten Benutzern ist eine Kontrollhandlung, die sicherstellt, dass kritische Berechtigungen ausschließlich für die vorgesehenen Aktivitäten eingesetzt werden. Zunächst muss definiert werden, wann welche Aktivitäten von welchem Benutzer als „vorgesehen“ angesehen werden. Hier liefern die IT-Service-Management-Prozesse (ITSM) eine gute Grundlage. Alle Zugriffe auf Informationen und Änderungen an Configuration Items (CIs), welche mit kritischen Berechtigungen ausgeführt werden, müssen in einem ITSM-Prozess legitimiert und dokumentiert sein. Die Prozesse Change, Incident und ggf. Service Request (falls nicht alle Änderungen in Changes dokumentiert werden) sollten alle für die Überwachung relevanten Informationen enthalten. Somit können die in den genannten ITSM-Prozessen dokumentierten Aktivitäten von privilegierten Benutzern den vorgesehenen Aktivitäten zugeordnet werden.
Um das Ziel der Überwachung zu erreichen, müssen aus der Menge der protokollierten Aktivitäten diejenigen selektiert werden, welche nicht vorgesehen waren. Hierzu müssen, möglichst automatisiert, die Aktivitäten, die in den ITSM-Prozessen dokumentiert sind, mit den zu diesen Aktivitäten protokollierten Informationen korreliert werden. Die nicht korrelierbaren Aktivitäten sind einem Kontrollprozess zuzuführen. Hier ist zu prüfen, ob die Aktivität manuell einem Change, Incident oder Service Request zugeordnet werden kann. Ist eine Zuordnung möglich, so ist dies zu dokumentieren, die Kontrolle kann beendet werden. Andernfalls muss die Aktivität weiter analysiert werden. Hierzu bietet sich der Security-Incident-Prozess an.
Für die Überwachung privilegierter Aktivitäten sind folgende Lösungswege möglich:
Security-Information and Event-Management (SIEM) Tool mit Security-Incident-Prozess
IT-Service-Management-Tools und -Prozesse
Die Vor- und Nachteile werden im Folgenden dargestellt.
Security Information and Event Management
SIEM-Systeme sind komplexe Anwendungen, welche Informationen aus unterschiedlichen Quellen wie Anwendungen, Systemen und Netzwerkkomponenten sammeln, normalisieren und indizieren. SIEM-Systeme unterstützen bei der Erkennung und Bearbeitung von inneren und äußeren Bedrohungen. Es können Abweichungen von selbst definierten oder vom System erlernten Baselines erkannt werden. Die Systeme sind im Stande Angriffe abzuwenden, indem sie für die Bedrohung definierte Maßnahmen selbstständig umsetzen. Prozesse können innerhalb der SIEM-Systeme abgebildet werden. Um das volle Potenzial von SIEM-Systemen zu nutzen, ist die Etablierung eines Security Operations Center (SOC) notwendig. Im SOC werden die erkannten Bedrohungen im 24/7-Betrieb bearbeitet.
Voraussetzung: Um das volle Leistungsvermögen von SIEM-Systemen auszuschöpfen, müssen alle Systeme aus dem Bereichen Netzwerk-, Server- und Security-Infrastruktur angebunden werden.
Vorteile:
SIEM-Systeme haben umfangreiche Anwendungsfelder.
Trennung der Kontrollierenden von den Kontrollierten kann einfach umgesetzt werden
Nachteile:
SIEM-Lösungen sind kostenintensiv (initiale und laufende Kosten).
Ist die Infrastruktur oder Teile davon an einen Dienstleister ausgelagert, kann es ein problematisch sein, die benötigten Informationen (Logfiles) von dem Dienstleister zur Verfügung gestellt zu bekommen.
Kopplung an ITSM System für Korrelation notwendig.
IT-Service-Management
Zusammenspiel von Daten und Prozessen im IT-Service-Management.
(Bild: Jörg Thurau - ARCA-Consult)
Die ITSM-Prozesse decken den Lifecycle für alle Elemente der IT (CIs), inklusive deren Änderungen, ab (Service Support). Weiter wird die Funktion der CIs überwacht und die IT-Landschaft durch die Prozesse laufend optimiert (Service Delivery). Für die ITSM-Prozesse Service-Level-, Availability- sowie IT-Continuity-Management sind Monitoring-Tools im Einsatz, welche auch für die Protokollierung genutzt werden können. Über das Monitoring können die Informationen über die Aktivitäten von privilegierten Benutzern, aus den Logfiles der Anwendungen, an zentraler Stelle gespeichert werden. Informationen zu den „vorgesehenen“ Aktivitäten privilegierter Benutzer sind in den Prozessen des Service Supports vorhanden. Im Event-Management werden die Informationen zu den Aktivitäten aus dem Monitoring mit den Informationen aus den Service-Support-Prozessen korreliert. Aktivitäten, für die keine Informationen in den Prozessen vorhanden sind, werden dem Incident-Management zur weiteren Bearbeitung zugeführt. Kann die Aktivität manuell einem Change, Incident oder Service Request zugeordnet werden, so ist dies im Incident zu dokumentieren und der Incident zu schließen. Ein Problem-Ticket ist zu erstellen, in dem die Optimierung der Korrelationsregeln im Event-Management geprüft wird. Für die weitere Bearbeitung von nicht vorgesehenen Aktivitäten kann der Incident-Prozess genutzt werden. Der Prozess ist um Felder und Bearbeitungsschritte, die für die Bearbeitung von Security-Incidents notwendig sind, zu erweitern. Security-Incidents sollten ein Security-Incident-Flag bekommen, um sie von normalen Incidents zu unterscheiden. Abhängig von diesem Flag besteht die Möglichkeit, zusätzliche (Pflicht-)Felder und weitere Bearbeitungsschritte zu definieren.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Voraussetzung: Das IT-Service-Management mit den Prozessen und Tools ist bereits implementiert und etabliert.
Vorteile:
Es können vorhandene Tools (Monitoring-, ITSM-Tool) verwendet werden, daher keine oder nur geringe Investitionen (ggf. Lizenzerweiterung) notwendig.
Vorhandenes Wissen kann wiederverwendet werden
Nachteile:
Höherer Abstimmungsaufwand durch Mehrfachnutzung von Tools und Prozessen.
Trennung der Kontrollierenden von den Kontrollierten muss im Incident-Prozess sichergestellt werden.
Zusammenfassung der wiederverwendeten bzw. erweiterten Prozesse und Tools:
Event-Management für die Überwachung nutzen
Kontrollen über Schnittstelle zwischen den ITSM-Prozessen automatisieren
Incident-Prozess auch für Security Incidents nutzen
Kontrollen im Incident-Prozess abbilden
Über den Autor: Jörg Thurau ist Managing Consultant Information Security bei ARCA-Consult. Über 20 Jahre Erfahrung auf den Gebieten Information-Security, IT-Security und IT-Betrieb zeichnen ihn als Spezialisten aus. Einer seiner fachlichen Schwerpunkte befasst sich mit dem Identity & Access Management in stark regulierten Umgebungen.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d9/5d/d95db308f21105edf9003cfc42f866e2/0128657338v2.jpeg "Die Hackergruppe Ashen Lepus ist durch ihre Spionageaktivitäten motiviert, die auf das Sammeln sensibler Informationen aus Regierungsstellen und diplomatischen Einrichtungen im Nahen Osten abzielen, wobei sie zunehmend auch ihre Ziele auf andere Regionen, einschließlich Europa, ausdehnt. (Bild: Midjourney / Paula Breukel / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/18/47/18475a0050ccbb07a3717ca5968b7e50/0129075506v1.jpeg "Viele Solaranlagen hängen mit schwachen Passwörtern am Internet; NIS 2 bringt Haftung, aber verbindliche Standards für Zugriffskontrolle und Updates fehlen noch. (Bild: SolarEdge)")
:quality(80)/p7i.vogel.de/wcms/1f/2b/1f2bceb72469cea0323e7dd906576d1b/0129080111v2.jpeg "Der 28. Januar wurde als Europäischer Datenschutztag gewählt, da an diesem Datum im Jahr 1981 der Europarat das Übereinkommen Nr. 108 annahm, das erste rechtsverbindliche zwischenstaatliche Abkommen zum Schutz personenbezogener Daten bei automatischer Verarbeitung. (Bild: © lucadp - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/41/31/4131a45084a47e14cf5abac95b596231/0128075274v1.jpeg "Echtzeiteinblicke in aktive Netzwerkverbindungen: WhoIsConnectedSniffer und, oder wie in dem Fall hier, Sniffnet liefern Administoren eine präzise Übersicht über Geräte und Datenverkehr. (Bild: Joos)")
:quality(80)/p7i.vogel.de/wcms/02/81/02817f46ea84a6cb411406cc3d0ddc17/0128648824v2.jpeg "KI-gestützte Angriffe ermöglichen es Cyberkriminellen, ihre Angriffsmethoden durch automatisierte Malware-Entwicklung und raffinierte Social-Engineering-Taktiken zu optimieren und jede Phase ihrer Angriffe zu beschleunigen, was das Reaktionsfenster für Verteidiger drastisch verkürzt. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/74/a3/74a32ab50064418130cd1cd627ab666e/0128576134v1.jpeg "Extreme Herausforderungen, sicher gespeichert: Flexxon enthüllt X-Mask Pro, eine laut Hersteller zuverlässige Speicherlösung für kritische Industrien. (Bild: © Cedric - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ca/54/ca546583f644634e8620e31635a34b88/0129056071v2.jpeg "Blick in die Zukunft: Der Nachfolger von Windows Server 2025 heißt wahrscheinlich Windows Server 2028/2029. Bereits jetzt gibt es eine Testversion und neue Funktionen sickern durch. (Bild: © PNG City - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/57/cc/57cc4ad7badd6e36300bf10fcda97eac/0129117117v2.jpeg "Microsoft reagiert mit außerplanmäßigen Updates auf eine Sicherheitsanfälligkeit in Office 2016 bis 2024 und Office 365-Apps und stellt derzeit im Eiltempo Notfall-Patches bereit, um schwerwiegende Angriffe durch das Umgehen von Sicherheitsfunktionen zu verhindern. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/cc/df/ccdf983e4b47b1a7895509210d721d8c/0129059286v1.jpeg "Waren 2025 Speaker bei der ISX (v.l.n.r.): Georgia Voudoulaki beim Think Tank, Lukas Wagner und Leonard Bunjaku bei ihren Vorträgen (Bild: Vogel IT-Akademie)")
:quality(80)/p7i.vogel.de/wcms/8b/bc/8bbc7f8f7dd3167fcc3ab5e1e8188770/0129039996v2.jpeg "Manipulierte Trainings- und Eingabedaten gehören zu den zentralen Angriffsflächen agentischer Künstlicher Intelligenz: Data Poisoning und Prompt Injection setzen dort an, wo KI Entscheidungen ableitet und Aktionen auslöst. (Bild: © Xchip - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e5/20/e520a4ead3ccf0de1445916fd8a89cdc/0129077672v2.jpeg "Sicherheitsforscher Jeremiah Fowler hat auf einem ungeschützten Server 149 Millionen gestohlene Passwörter entdeckt, die durch Infostealer-Malware gesammelt wurden. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8d/a6/8da69ebdef1090970a7ef7d44f304864/0129086965v2.jpeg "Die Niedersächsische Landesregierung reagiert auf die zunehmenden Cyberangriffe, indem sie einen neuen digitalen Schutzschirm einführt. Der Anbieter des neuen Schutzschilds kommt aus den USA. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/13/01/1301d39b914ab1dc9ffa517f98f26840/0126593157v1.jpeg "Prompt Injection ist eine auf Sprachmodelle abzielende Form von Cyberangriff durch einschleusen manipulativer KI-Anweisungen. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/d5/38/d538c3e0f42fef61c34b1cadf2e6883c/0121532646v2.jpeg "Privileged Access Management (PAM) ist ein Sicherheitskonzept zur Absicherung privilegierter Konten mit erweiterten Berechtigungen.
(Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/a8/f8/a8f839b6d6fc54f14228abb8e4984e8c/0123871625v2.jpeg "Ein SIEM ermöglicht einen umfassenden Einblick auf die Cybersicherheitslage eines Unternehmens und ermöglicht eine schnelle Reaktion auf Bedrohungen. (Bild: kjekol - stock.adobe.com)")