Die Einführung der neuen ISO 27001:2022 stellt Unternehmen – insbesondere kleine und mittelständische Betriebe – vor große Herausforderungen. Während die Anforderungen an Informationssicherheit steigen, müssen Organisationen gleichzeitig wirtschaftlich bleiben und ihre Sicherheitsprozesse effizient gestalten. Genau hier setzt Wazuh an: eine leistungsstarke Open-Source-Plattform, die XDR- und SIEM-Funktionen in einem zentralen System vereint.
Obwohl Wazuh kein eigenes ISO-27001-Dashboard mitliefert, deckt die Lösung eine Vielzahl der technischen Kontrollen aus Anhang A ab – darunter Logging, Monitoring, Schwachstellenmanagement, Konfigurationsüberwachung und Incident Response. Dieser Beitrag zeigt, wie Wazuh in der Praxis hilft, ISO-27001-konforme Sicherheitsprozesse aufzubauen.
Warum Wazuh ideal für ISO-27001-Compliance ist
Die Revision ISO 27001:2022 hat die ursprünglichen 14 Domänen auf vier Themenbereiche reduziert und 11 neue Kontrollen ergänzt, die moderne Risiken wie Cloud Security und Threat Intelligence berücksichtigen. Ein zentraler Schwerpunkt dabei: kontinuierliche Überwachung und evidenzbasierte Sicherheit.
Genau diese Stärken bringt Wazuh mit:
- Zentrales Log-Management
- Echtzeit-Analyse von Sicherheitsereignissen
- Schwachstellen- und Konfigurationsanalyse
- File Integrity Monitoring
- Automatisierte Reaktionen auf Angriffe
- Dashboards und Reporting-Funktionen
Seine modulare Architektur ermöglicht es Unternehmen, hunderte oder tausende Endpunkte einzubinden – inklusive Windows, Linux, macOS sowie älteren Systemen wie AIX oder Solaris.
1. Logging & Monitoring – Kernanforderungen der ISO 27001 (A.8.15 & A.8.16)
Die Norm verlangt, dass sicherheitsrelevante Aktivitäten lückenlos protokolliert, geschützt und regelmäßig ausgewertet werden.
Wazuh erfüllt diese Punkte umfassend:
- Sammeln von Windows-Eventlogs, Systemjournals & Textlogs
- Protokollierung von Zugriffen, Konfigurationsänderungen, fehlgeschlagenen Logins, privilegierten Aktionen
- Automatisierte Erkennung von Anomalien und Angriffen
- Echtzeit-Alarmierung bei verdächtigem Verhalten
Jeder Eintrag enthält die für Auditoren essenziellen Details wie Benutzer-ID, Zeitstempel, IP-Adresse und genaue Ereignisbeschreibung.
2. Schwachstellenmanagement gemäß A.8.8
ISO 27001 fordert ein strukturiertes Verfahren zur Identifizierung und Bewertung technischer Schwachstellen.
Wazuh unterstützt dies durch:
- Automatische Erfassung installierter Software über den „Syscollector“
- Abgleich mit Quellen wie NVD, CISA, Microsoft, Canonical oder Red Hat
- Alerts inklusive CVE-ID, CVSS-Score & Handlungsempfehlung
- Wiederkehrende Basis-, Voll- und Teil-Scans
Diese Funktionen ermöglichen eine risikobasierte Priorisierung – ein wesentlicher Punkt für Audits.
3. File Integrity Monitoring & Konfigurationsmanagement (A.8.9 & A.8.32)
Unbefugte Änderugen an Systemdateien und Konfigurationen sind ein häufiges Einfallstor für Angriffe.
Wazuh erkennt solche Änderungen sofort:
- Speicherung kryptografischer Checksummen
- Überwachung von Systemkonfigurationen, kritischen Dateipfaden und Registry-Einträgen
- „Who-data“-Funktion: Wer hat was geändert – und womit?
- Echtzeitüberwachung oder geplante Scans
Diese Funktionen belegen gegenüber Auditoren, dass Konfigurationen nicht nur dokumentiert, sondern auch kontinuierlich überwacht werden.
4. Security Configuration Assessment (SCA)
ISO 27001 verlangt, dass Systeme sicher konfiguriert sind – nicht nur theoretisch, sondern nachweislich.
Wazuh bringt dafür:
- CIS-Benchmark-basierte Richtlinien für Windows & Linux
- Automatische Auswertung sicherheitsrelevanter Einstellungen
- Trendanalysen über Zeit
- Custom-Policies für organisationsspezifische Anforderungen
Die daraus entstehenden Berichte dienen als direkter Nachweis für die Einhaltung der Konfigurationsanforderungen.
5. Incident Response gemäß A.5.24–A.5.28
Wazuh liefert eine vollständige Suite für das Management von Sicherheitsvorfällen:
- Automatisierte Gegenmaßnahmen (z. B. IP-Blockierung, Benutzerkontensperre)
- Fallakten („Cases“): Bündelung von Ereignissen, Notizen und Zeitverlauf
- Integration in Jira, ServiceNow & Co.
- Remote-Befehle zur forensischen Analyse
Damit unterstützt Wazuh alle Schritte des Incident-Management-Prozesses – von der Planung über Reaktion bis zur Dokumentation.
6. Individuelle ISO-27001-Dashboards erstellen
Da Wazuh regelbasiert arbeitet, können Regeln mit Tags wieiso_27001_A.8.15 oder iso_27001_A.8.9 versehen werden.
So lassen sich:
- benutzerdefinierte Dashboards für bestimmte Kontrollen aufbauen
- Reports exportieren
- Alerts nach ISO-Kontrollen filtern
- Nachweise für Auditoren automatisiert generieren
Praxisleitfaden: ISO-27001-Compliance mit Wazuh einführen
- Agenten auf allen kritischen Systemen installieren
- Logqualität und -umfang definieren
- FIM und SCA aktivieren
- Vulnerability-Scanning einrichten & Workflows definieren
- Monitoring & Alerting verknüpfen (E-Mail, Slack, PagerDuty)
- Active Responses für häufige Angriffsmuster konfigurieren
- Dashboards & Dokumentation zur Statement of Applicability (SoA) aufbauen
Dieser iterative Ansatz zeigt Auditoren, dass Ihr Unternehmen „kontinuierliche Verbesserung“ lebt – ein zentrales Prinzip der ISO 27001.
Fazit
Wazuh ist weit mehr als ein kostenloses SIEM: Es ist eine leistungsstarke, skalierbare Sicherheitsplattform, die zahlreiche Anforderungen der ISO 27001:2022 nahezu out-of-the-box unterstützt.
Unternehmen profitieren von:
- Vollständiger Transparenz über ihre Systeme
- Nachweisbarer Compliance
- Automatisierten Sicherheitsprozessen
- Keine Lizenzkosten – ideal für KMU
- Starker Community-Support und aktive Weiterentwicklung
Wer heute in Wazuh investiert, baut nicht nur ein belastbares Sicherheitsfundament auf, sondern schafft auch die technische Grundlage für eine erfolgreiche ISO-27001-Zertifizierung.
https://wazuh.slack.com/archives/C089QD7ADFX/p1765212189704659