Monitoring und Incident-Management mit Open Source

Die NIS-2-Richtlinie verpflichtet Unternehmen zu einer dauerhaft wirksamen technischen Überwachung ihrer IT-Systeme. Die rechtlichen Anforderungen aus NIS-2, dem deutschen Umsetzungsgesetz NIS2UmsuCG und dem überarbeiteten BSI-Gesetz (BSIG) erfordern, dass sicherheitsrelevante Ereignisse kontinuierlich erfasst, analysiert und bewertet werden müssen.

Dabei geht es um Angriffserkennung, Incident-Management, Nachvollziehbarkeit und belastbare Dokumentation. Wer nur klassisches Infrastrukturmonitoring betreibt oder Logs isoliert sammelt, erfüllt diese Vorgaben nicht mehr.

Eine technisch saubere Lösung bietet die Kombination aus Icinga und Elastic Stack: Diese Open-Source-Architektur führt Monitoring, Observability und Funktionen aus dem Bereich des Security Information and Event Managements (SIEM) in einer integrierten Struktur zusammen, ohne Abhängigkeit von proprietären Komplettsystemen.

NIS-2 als Zwang zur permanenten Sichtbarkeit

§ 30 BSIG fordert Maßnahmen zur Risikobehandlung, zur Erkennung sicherheitsrelevanter Ereignisse und zur Bewertung ihrer Auswirkungen. Der Annex der NIS-2-Umsetzungsverordnung wird dabei konkret: Er schreibt Protokollierung, Überwachung, die Minimierung von Fehlalarmen und die Verfügbarkeit der Überwachungssysteme selbst vor.

Betreiber kritischer Anlagen trifft es noch härter: § 31 BSIG verlangt explizit Systeme zur Angriffserkennung, die automatisiert Daten erfassen und auswerten. Technisch lässt sich das nur umsetzen, wenn Zustandsüberwachung, Log-Analyse und Ereigniskorrelation eng zusammenspielen. Genau an dieser Schnittstelle entfaltet die Kombination aus Icinga und Elastic Stack ihre Wirkung.

Icinga als operative Monitoring-Schicht

Icinga übernimmt die kontinuierliche Überwachung von Infrastruktur, Plattformen und Diensten. Das System kann Server, Netzwerkgeräte, Kubernetes-Cluster, Windows-Systeme, Datenbanken, Hyper-V- und VMware-Umgebungen sowie Cloud-Ressourcen einheitlich überwachen. Prüfungen liefern strukturierte Statusinformationen zu Verfügbarkeit, Antwortzeiten, Ressourcennutzung, Zertifikaten, Replikationszuständen und Service-Abhängigkeiten.

Diese Daten erfüllen mehrere NIS-2-relevante Funktionen: Erstens liefern sie eine permanente Zustandskontrolle der Verfügbarkeit, die für die Aufrechterhaltung kritischer Dienste notwendig ist. Zweitens erzeugen Statuswechsel und Schwellwertüberschreitungen sofortige Alarme, die Incident-Response-Prozesse auslösen. Drittens dokumentiert Icinga sämtliche Ereignisse zeitlich konsistent, inklusive Eskalationen, Quittierungen und Wartungsfenstern.

Die Architektur erlaubt verteilte Topologien mit Clustering, Mandantenfähigkeit und Hochverfügbarkeit. Agentenbasierte und agentenlose Prüfungen lassen sich parallel betreiben. Automatisierte Konfiguration über APIs, Git-basierte Workflows und Konfigurationsmanagement-Werkzeuge reduzieren manuelle Fehlerquellen und unterstützen reproduzierbare Betriebsprozesse. Diese Eigenschaften zahlen direkt auf die NIS-2-Forderung nach organisatorisch und permanent technisch kontrollierbaren Sicherheitsmaßnahmen ein.

Elastic Stack als Analyse- und Detektionsplattform

Der Elastic Stack ergänzt das operative Monitoring um eine analytische Ebene. Logs aus Betriebssystemen, Anwendungen, Netzwerkkomponenten, Cloud-Diensten, Identitätsplattformen und Sicherheitswerkzeugen fließen zentral in Elasticsearch. Dort stehen sie für zeitbasierte Suche, Korrelation und Mustererkennung zur Verfügung. Kibana, die Analyse und Visualisierungsoberfläche des Elastic Stack, stellt die Daten übersichtlich dar und ermöglicht das Erkennen von Abweichungen vom Normalverhalten.

Im Kontext von NIS-2 übernimmt der Elastic Stack SIEM-nahe Aufgaben. Ereignisse aus unterschiedlichen Quellen lassen sich zusammenführen, bewerten und in Beziehung setzen. Mehrfache fehlgeschlagene Anmeldungen, ungewöhnliche Prozessketten, atypische Netzwerkverbindungen oder plötzliche Änderungen an sicherheitsrelevanten Konfigurationen treten in aggregierter Form sichtbar hervor. Regelbasierte Detektion und statistische Anomalieerkennung unterstützen die Früherkennung von Angriffen und Missbrauch.

Ein zentraler Aspekt im Rahmen von NIS-2 ist die langfristige Verfügbarkeit von Protokolldaten. Elastic erlaubt flexible Retentionsmodelle, Snapshot-Strategien und die revisionssichere Ablage in externen Speichersystemen. Dadurch bleiben Ereignisse auch für spätere forensische Analysen, Audits oder behördliche Anfragen verfügbar.

Technische Verzahnung schafft gemeinsames Lagebild

Der entscheidende Mehrwert entsteht aus der engen Kopplung beider Systeme. Icinga liefert strukturierte Zustands- und Performancedaten, die in Elasticsearch übernommen und dort historisiert werden. Gleichzeitig lassen sich sicherheitsrelevante Log-Ereignisse aus dem Elastic Stack in Icinga zurückführen, um sie in bestehende Alarmierungs- und Eskalationsmodelle einzubetten.

Monitoring-Alarme und Security-Incidents erscheinen dadurch in einem gemeinsamen operativen Kontext. Ein plötzlicher Anstieg der CPU-Last, den Icinga meldet, lässt sich unmittelbar mit Log-Ereignissen korrelieren, die auf unautorisierte Prozesse oder externe Zugriffe hindeuten. Umgekehrt führen rein logbasierte Detektionen aus dem Elastic Stack zu operativen Alarmen, die über Icinga an Bereitschaftsdienste, Ticketsysteme oder Incident-Response-Teams weitergeleitet werden.

Diese Architektur erfüllt eine zentrale NIS-2-Forderung. Angriffserkennung, Betriebsüberwachung und Reaktion laufen nicht getrennt, sondern integriert. Die Systeme liefern ein konsistentes Lagebild, das technische Störungen und sicherheitsrelevante Ereignisse gemeinsam betrachtet.

Diese Nachvollziehbarkeit erleichtert die Erfüllung gesetzlicher Meldepflichten: Für § 32-BSIG-Meldungen stehen belastbare Daten zur Verfügung, die Zeitpunkt, Umfang und technische Einordnung eines Vorfalls dokumentieren. Die zentrale Log-Ablage verhindert zudem Manipulationen auf Einzelsystemen – ein Vorteil auch für forensische Analysen.

Lizenzmodelle ohne volumenbasierte Kosten

Icinga steht im Kern vollständig als Open-Source-Software zur Verfügung. Die freie Nutzung umfasst unbegrenzte Hosts und Services sowie alle wesentlichen Monitoring-Funktionen. Kommerzielle Subskriptionen ergänzen das Angebot um Support, geprüfte Paketquellen für Enterprise-Distributionen und optionale Zusatzmodule. Die Lizenzierung orientiert sich nicht an überwachten Endpunkten, sondern an Support- und Funktionsbedarf. Diese Struktur ermöglicht kalkulierbare Kosten auch in größeren Umgebungen.

Der Elastic Stack folgt einem gestuften Modell. Grundlegende Funktionen für Log-Management, Suche und Visualisierung stehen kostenfrei zur Verfügung. Erweiterte Sicherheitsfunktionen, maschinelle Anomalieerkennung und erweiterte Zugriffskontrollen erfordern kostenpflichtige Subskriptionen. Alternativ lassen sich vollständig offene Derivate einsetzen, die auf dem gleichen technischen Fundament basieren. In allen Varianten verbleibt die Kontrolle über Datenhaltung und Architektur beim Betreiber.

Im Vergleich zu proprietären SIEM- und Monitoring-Plattformen entfällt die volumenbasierte Lizenzierung pro Endpunkt oder Log-Menge. Investitionen konzentrieren sich auf Infrastruktur, Betrieb und Fachwissen. Für viele mittelständische Unternehmen stellt diese Kostenstruktur den entscheidenden Unterschied dar, um NIS-2-konforme Überwachung überhaupt realisieren zu können.

Rolle im NIS-2-Gesamtkonzept

Icinga und Elastic Stack ersetzen keine organisatorischen Maßnahmen, Risikoanalysen oder Schulungen. Sie bilden jedoch den technischen Kern für die nachweisbare Umsetzung zentraler NIS-2-Pflichten. Dauerhafte Überwachung, Angriffserkennung, Incident-Analyse und Dokumentation lassen sich mit dieser Kombination konsistent abbilden.

Die Architektur verknüpft Betriebsüberwachung und Sicherheitsanalyse ohne Medienwechsel oder isolierte Werkzeuge. Genau diese Durchgängigkeit fordert NIS-2 implizit. Monitoring und Incident-Management entwickeln sich von unterstützenden Werkzeugen zu tragenden Säulen der Unternehmenssicherheit. Für Organisationen, die regulatorische Anforderungen erfüllen und zugleich operative Kontrolle behalten wollen, liefert der kombinierte Einsatz von Icinga und Elastic Stack eine technisch belastbare, offene und skalierbare Lösung.