Audit Policy Recommendations
Dieser Abschnitt befasst sich mit den Windows-Standardeinstellungen für Überwachungsrichtlinien, den empfohlenen Baselineeinstellungen für Überwachungsrichtlinien und den aggressiveren Empfehlungen von Microsoft für Arbeitsstations- und Serverprodukte.
Die hier gezeigten SCM-Baselineempfehlungen sowie die Einstellungen, die wir zur Erkennung von Kompromittierungen empfehlen, sollen lediglich als ein erster Basisleitfaden für Administratoren dienen. Jede Organisation muss ihre eigenen Entscheidungen bezüglich der Bedrohungen, denen sie ausgesetzt sind, ihren akzeptablen Risikotoleranzen und der Überwachungsrichtlinienkategorien oder Unterkategorien, die sie aktivieren sollten, treffen. Weitere Informationen zu Bedrohungen finden Sie im Leitfaden zu Bedrohungen und Gegenmaßnahmen. Administratoren, die noch keine durchdachte Überwachungsrichtlinie eingerichtet haben, sollten mit den hier empfohlenen Einstellungen beginnen und diese dann vor der Implementierung in ihrer Produktionsumgebung ändern und testen.
Die Empfehlungen gelten für Computer der Unternehmensklasse, laut Definition von Microsoft also Computer mit durchschnittlichen Sicherheitsanforderungen und einem hohen Maß an erforderlicher Betriebsfunktionalität. Entitäten mit höheren Sicherheitsanforderungen sollten aggressivere Überwachungsrichtlinien in Betracht ziehen.
Hinweis
Microsoft Windows-Standard- und Baselineempfehlungen wurden aus dem Microsoft Security Compliance Manager-Tool übernommen.
Die folgenden Baselineeinstellungen für Überwachungsrichtlinien werden für Computer mit normalen Sicherheitsanforderungen empfohlen, die nicht bereits bekanntermaßen unter aktiven, erfolgreichen Angriffen durch bestimmte Angreifer oder Schadsoftware leiden.
Empfohlene Überwachungsrichtlinien nach Betriebssystem
Dieser Abschnitt enthält Tabellen, in denen die Empfehlungen für Überwachungseinstellungen aufgeführt sind, die für die folgenden Betriebssysteme gelten:
- Windows Server 2022
- Windows Server 2019
- Windows Server 2016
- Windows Server 2012
- Windows Server 2012 R2
- WindowsServer 2008
- Windows 10
- Windows 8.1
- Windows 7
Diese Tabellen enthalten die Windows-Standardeinstellung, die Baselineempfehlungen und die stärkeren Empfehlungen für diese Betriebssysteme.
Legende zur Tabelle „Überwachungsrichtlinie“
| Notation | Empfehlung |
|---|---|
| Ja | In allgemeinen Szenarien aktivieren |
| Nein | In allgemeinen Szenarien nicht aktivieren |
| Wenn | Bei Bedarf für ein bestimmtes Szenario aktivieren, oder wenn auf dem Computer Rollen oder ein Features installiert sind, für die die Überwachung gewünscht wird |
| DC | Auf Domänencontrollern aktivieren |
| [leer] | Keine Empfehlung |
Empfehlungen zu Überwachungseinstellungen für Windows 10, Windows 8 und Windows 7
Überwachungsrichtlinie
| Kategorie oder Unterkategorie der Überwachungsrichtlinie | Standard (Windows)
|
Baselineempfehlung
|
Stärkere Empfehlung
|
|---|---|---|---|
| Kontoanmeldung | |||
| Überprüfen der Anmeldeinformationen überwachen | No | No |
Yes | No |
Yes | Yes |
| Kerberos-Authentifizierungsdienst überwachen | Yes | Yes |
||
| Ticketvorgänge des Kerberos-Diensts überwachen | Yes | Yes |
||
| Andere Kontoanmeldungsereignisse überwachen | Yes | Yes |
| Kategorie oder Unterkategorie der Überwachungsrichtlinie | Standard (Windows)
|
Baselineempfehlung
|
Stärkere Empfehlung
|
|---|---|---|---|
| Kontoverwaltung | |||
| Anwendungsgruppenverwaltung überwachen | |||
| Computerkontoverwaltung überwachen | Yes | No |
Yes | Yes |
|
| Verteilergruppenverwaltung überwachen | |||
| Andere Kontoverwaltungsereignisse überwachen | Yes | No |
Yes | Yes |
|
| Sicherheitsgruppenverwaltung überwachen | Yes | No |
Yes | Yes |
|
| Benutzerkontenverwaltung überwachen | Yes | No |
Yes | No |
Yes | Yes |
| Kategorie oder Unterkategorie der Überwachungsrichtlinie | Standard (Windows)
|
Baselineempfehlung
|
Stärkere Empfehlung
|
|---|---|---|---|
| Detaillierte Überwachung | |||
| DPAPI-Aktivität überwachen | Yes | Yes |
||
| Prozesserstellung überwachen | Yes | No |
Yes | Yes |
|
| Prozessbeendung überwachen | |||
| RPC-Ereignisse überwachen |
| Kategorie oder Unterkategorie der Überwachungsrichtlinie | Standard (Windows)
|
Baselineempfehlung
|
Stärkere Empfehlung
|
|---|---|---|---|
| DS-Zugriff | |||
| Detaillierte Verzeichnisdienstreplikation überwachen | |||
| Verzeichnisdienstzugriff überwachen | |||
| Verzeichnisdienständerungen überwachen | |||
| Verzeichnisdienstreplikation überwachen |
| Kategorie oder Unterkategorie der Überwachungsrichtlinie | Standard (Windows)
|
Baselineempfehlung
|
Stärkere Empfehlung
|
|---|---|---|---|
| Anmelden und Abmelden | |||
| Kontosperrung überwachen | Yes | No |
Yes | No |
|
| Benutzer-/Geräteansprüche überwachen | |||
| IPsec-Erweiterungsmodus überwachen | |||
| IPsec-Hauptmodus überwachen | IF | IF |
||
| IPsec-Schnellmodus überwachen | |||
| Abmelden überwachen | Yes | No |
Yes | No |
Yes | No |
| Anmelden überwachen 1 | Yes | Yes |
Yes | Yes |
Yes | Yes |
| Netzwerkrichtlinienserver überwachen | Yes | Yes |
||
| Andere Anmelde-/Abmeldeereignisse überwachen | |||
| Spezielle Anmeldung überwachen | Yes | No |
Yes | No |
Yes | Yes |
| Kategorie oder Unterkategorie der Überwachungsrichtlinie | Standard (Windows)
|
Baselineempfehlung
|
Stärkere Empfehlung
|
|---|---|---|---|
| Objektzugriff | |||
| Anwendung generiert überwachen | |||
| Zertifizierungsdienste überwachen | |||
| Detaillierte Dateifreigabe überwachen | |||
| Dateifreigabe überwachen | |||
| Dateisystem überwachen | |||
| Filterplattformverbindung überwachen | |||
| Verworfene Filterplattformpakete überwachen | |||
| Handleänderung überwachen | |||
| Kernelobjekt überwachen | |||
| Andere Objektzugriffsereignisse überwachen | |||
| Registrierung überwachen | |||
| Wechselmedien überwachen | |||
| SAM überwachen | |||
| Staging zentraler Zugriffsrichtlinien überwachen |
| Kategorie oder Unterkategorie der Überwachungsrichtlinie | Standard (Windows)
|
Baselineempfehlung
|
Stärkere Empfehlung
|
|---|---|---|---|
| Richtlinienänderung | |||
| Überwachungsrichtlinienänderung überwachen | Yes | No |
Yes | Yes |
Yes | Yes |
| Authentifizierungsrichtlinienänderung überwachen | Yes | No |
Yes | No |
Yes | Yes |
| Autorisierungsrichtlinienänderung überwachen | |||
| Richtlinienänderung für Filterplattform überwachen | |||
| MPSSVC-Richtlinienänderung auf Regelebene überwachen | Yes |
||
| Andere Richtlinienänderungsereignisse überwachen |
| Kategorie oder Unterkategorie der Überwachungsrichtlinie | Standard (Windows)
|
Baselineempfehlung
|
Stärkere Empfehlung
|
|---|---|---|---|
| Berechtigungen | |||
| Nicht sensible Verwendung von Rechten überwachen | |||
| Andere Rechteverwendungsereignisse überwachen | |||
| Sensible Verwendung von Rechten überwachen |
| Kategorie oder Unterkategorie der Überwachungsrichtlinie | Standard (Windows)
|
Baselineempfehlung
|
Stärkere Empfehlung
|
|---|---|---|---|
| System | |||
| IPsec-Treiber überwachen | Yes | Yes |
Yes | Yes |
|
| Andere Systemereignisse überwachen | Yes | Yes |
||
| Sicherheitsstatusänderung überwachen | Yes | No |
Yes | Yes |
Yes | Yes |
| Sicherheitssystemerweiterung überwachen | Yes | Yes |
Yes | Yes |
|
| Systemintegrität überwachen | Yes | Yes |
Yes | Yes |
Yes | Yes |
| Kategorie oder Unterkategorie der Überwachungsrichtlinie | Standard (Windows)
|
Baselineempfehlung
|
Stärkere Empfehlung
|
|---|---|---|---|
| Globale Objektzugriffsüberwachung | |||
| IPsec-Treiber überwachen | |||
| Andere Systemereignisse überwachen | |||
| Sicherheitsstatusänderung überwachen | |||
| Sicherheitssystemerweiterung überwachen | |||
| Systemintegrität überwachen |
1 Ab Windows 10, Version 1809, ist „Anmeldung überwachen“ für „Erfolg“ und „Fehler“ standardmäßig aktiviert. In früheren Versionen von Windows ist standardmäßig nur „Erfolg“ aktiviert.
Empfehlungen zu Überwachungseinstellungen für Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2 und Windows Server 2008
| Kategorie oder Unterkategorie der Überwachungsrichtlinie | Standard (Windows)
|
Baselineempfehlung
|
Stärkere Empfehlung
|
|---|---|---|---|
| Kontoanmeldung | |||
| Überprüfen der Anmeldeinformationen überwachen | No | No |
Yes | Yes |
Yes | Yes |
| Kerberos-Authentifizierungsdienst überwachen | Yes | Yes |
||
| Ticketvorgänge des Kerberos-Diensts überwachen | Yes | Yes |
||
| Andere Kontoanmeldungsereignisse überwachen | Yes | Yes |
| Kategorie oder Unterkategorie der Überwachungsrichtlinie | Standard (Windows)
|
Baselineempfehlung
|
Stärkere Empfehlung
|
|---|---|---|---|
| Kontoverwaltung | |||
| Anwendungsgruppenverwaltung überwachen | |||
| Computerkontoverwaltung überwachen | Yes | DC |
Yes | Yes |
|
| Verteilergruppenverwaltung überwachen | |||
| Andere Kontoverwaltungsereignisse überwachen | Yes | Yes |
Yes | Yes |
|
| Sicherheitsgruppenverwaltung überwachen | Yes | Yes |
Yes | Yes |
|
| Benutzerkontenverwaltung überwachen | Yes | No |
Yes | Yes |
Yes | Yes |
| Kategorie oder Unterkategorie der Überwachungsrichtlinie | Standard (Windows)
|
Baselineempfehlung
|
Stärkere Empfehlung
|
|---|---|---|---|
| Detaillierte Überwachung | |||
| DPAPI-Aktivität überwachen | Yes | Yes |
||
| Prozesserstellung überwachen | Yes | No |
Yes | Yes |
|
| Prozessbeendung überwachen | |||
| RPC-Ereignisse überwachen |
| Kategorie oder Unterkategorie der Überwachungsrichtlinie | Standard (Windows)
|
Baselineempfehlung
|
Stärkere Empfehlung
|
|---|---|---|---|
| DS-Zugriff | |||
| Detaillierte Verzeichnisdienstreplikation überwachen | |||
| Verzeichnisdienstzugriff überwachen | DC | DC |
DC | DC |
|
| Verzeichnisdienständerungen überwachen | DC | DC |
DC | DC |
|
| Verzeichnisdienstreplikation überwachen |
| Kategorie oder Unterkategorie der Überwachungsrichtlinie | Standard (Windows)
|
Baselineempfehlung
|
Stärkere Empfehlung
|
|---|---|---|---|
| Anmelden und Abmelden | |||
| Kontosperrung überwachen | Yes | No |
Yes | No |
|
| Benutzer-/Geräteansprüche überwachen | |||
| IPsec-Erweiterungsmodus überwachen | |||
| IPsec-Hauptmodus überwachen | IF | IF |
||
| IPsec-Schnellmodus überwachen | |||
| Abmelden überwachen | Yes | No |
Yes | No |
Yes | No |
| Anmelden überwachen | Yes | Yes |
Yes | Yes |
Yes | Yes |
| Netzwerkrichtlinienserver überwachen | Yes | Yes |
||
| Andere Anmelde-/Abmeldeereignisse überwachen | Yes | Yes |
||
| Spezielle Anmeldung überwachen | Yes | No |
Yes | No |
Yes | Yes |
| Kategorie oder Unterkategorie der Überwachungsrichtlinie | Standard (Windows)
|
Baselineempfehlung
|
Stärkere Empfehlung
|
|---|---|---|---|
| Objektzugriff | |||
| Anwendung generiert überwachen | |||
| Zertifizierungsdienste überwachen | |||
| Detaillierte Dateifreigabe überwachen | |||
| Dateifreigabe überwachen | |||
| Dateisystem überwachen | |||
| Filterplattformverbindung überwachen | |||
| Verworfene Filterplattformpakete überwachen | |||
| Handleänderung überwachen | |||
| Kernelobjekt überwachen | |||
| Andere Objektzugriffsereignisse überwachen | |||
| Registrierung überwachen | |||
| Wechselmedien überwachen | |||
| SAM überwachen | |||
| Staging zentraler Zugriffsrichtlinien überwachen |
| Kategorie oder Unterkategorie der Überwachungsrichtlinie | Standard (Windows)
|
Baselineempfehlung
|
Stärkere Empfehlung
|
|---|---|---|---|
| Richtlinienänderung | |||
| Überwachungsrichtlinienänderung überwachen | Yes | No |
Yes | Yes |
Yes | Yes |
| Authentifizierungsrichtlinienänderung überwachen | Yes | No |
Yes | No |
Yes | Yes |
| Autorisierungsrichtlinienänderung überwachen | |||
| Richtlinienänderung für Filterplattform überwachen | |||
| MPSSVC-Richtlinienänderung auf Regelebene überwachen | Yes |
||
| Andere Richtlinienänderungsereignisse überwachen |
| Kategorie oder Unterkategorie der Überwachungsrichtlinie | Standard (Windows)
|
Baselineempfehlung
|
Stärkere Empfehlung
|
|---|---|---|---|
| Berechtigungen | |||
| Nicht sensible Verwendung von Rechten überwachen | |||
| Andere Rechteverwendungsereignisse überwachen | |||
| Sensible Verwendung von Rechten überwachen |
| Kategorie oder Unterkategorie der Überwachungsrichtlinie | Standard (Windows)
|
Baselineempfehlung
|
Stärkere Empfehlung
|
|---|---|---|---|
| System | |||
| IPsec-Treiber überwachen | Yes | Yes |
Yes | Yes |
|
| Andere Systemereignisse überwachen | Yes | Yes |
||
| Sicherheitsstatusänderung überwachen | Yes | No |
Yes | Yes |
Yes | Yes |
| Sicherheitssystemerweiterung überwachen | Yes | Yes |
Yes | Yes |
|
| Systemintegrität überwachen | Yes | Yes |
Yes | Yes |
Yes | Yes |
| Kategorie oder Unterkategorie der Überwachungsrichtlinie | Standard (Windows)
|
Baselineempfehlung
|
Stärkere Empfehlung
|
|---|---|---|---|
| Globale Objektzugriffsüberwachung | |||
| IPsec-Treiber überwachen | |||
| Andere Systemereignisse überwachen | |||
| Sicherheitsstatusänderung überwachen | |||
| Sicherheitssystemerweiterung überwachen | |||
| Systemintegrität überwachen |
Festlegen der Überwachungsrichtlinie auf Arbeitsstationen und Servern
In allen Plänen zur Verwaltung von Ereignisprotokollen sollten Arbeitsstationen und Server überwacht werden. Ein häufiger Fehler besteht darin, nur Server oder Domänencontroller zu überwachen. Da böswilliges Hacken häufig zunächst auf Arbeitsstationen auftritt, wird die beste und früheste Informationsquelle außer Acht gelassen, wenn Arbeitsstationen nicht überwacht werden.
Administratoren sollten jede Überwachungsrichtlinie vor der Implementierung in ihrer Produktionsumgebung mit Bedacht überprüfen und testen.
Zu überwachende Ereignisse
Eine perfekte Ereignis-ID zum Generieren einer Sicherheitswarnung sollte die folgenden Attribute enthalten:
Hohe Wahrscheinlichkeit, dass das Auftreten auf unbefugte Aktivitäten hinweist
Eine geringe Anzahl falsch positiver Ergebnisse generieren
Das Auftreten sollte zu einer (forensischen) Untersuchung führen
Zwei Arten von Ereignissen sollten überwacht werden und zu Warnungen führen:
Ereignisse, bei denen auch ein einmaliges Auftreten auf nicht autorisierte Aktivitäten hinweist
Eine Häufung von Ereignissen, die eine erwartete und akzeptierte Baseline überschreitet
Beispiel für diesen ersten Ereignistyp:
Wenn es Domänenadministratoren (DAs) untersagt ist, sich bei Computern anzumelden, die keine Domänencontroller sind, sollte bereits beim einmaligen Vorfall, dass sich ein Mitglied der Gruppe „Domänenadministratoren“ bei einer Endbenutzerarbeitsstation anmeldet, eine Warnung generiert und der Vorfall untersucht werden. Diese Art von Warnung lässt sich einfach mithilfe des Ereignisses 4964 „Spezielle Anmeldung überwachen“ generieren (Spezielle Gruppen wurden einer neuen Anmeldung zugewiesen). Weitere Beispiele für Warnungen bei einer einzelnen Instanz sind:
Wenn Server A niemals eine Verbindung mit Server B herstellen soll, Warnung ausgeben, sobald sie eine Verbindung miteinander herstellen.
Warnung, wenn einer sensiblen Sicherheitsgruppe unerwartet ein normales Endbenutzerkonto hinzugefügt wird.
Wenn Mitarbeiter am Werksstandort A niemals nachts arbeiten, Warnung ausgeben, wenn sich ein Benutzer um Mitternacht anmeldet.
Warnung, wenn ein nicht autorisierter Dienst auf einem Domänencontroller installiert wird.
Führen Sie eine Untersuchung durch, wenn ein normaler Endbenutzer versucht, sich direkt bei einer SQL Server-Instanz anzumelden, wenn kein eindeutiger Grund dafür vorliegt.
Wenn Ihre Gruppe „Domänenadministratoren“ keine Mitglieder enthält und sich dort jemand selbst hinzufügt, überprüfen Sie diesen Vorfall sofort.
Beispiel für diesen zweiten Ereignistyp:
Eine anomale Anzahl von Anmeldefehlern kann auf einen Angriff hinweisen, bei dem versucht wird, das Kennwort zu raten. Bevor ein Unternehmen bei einer ungewöhnlich hohen Anzahl von Anmeldefehlern eine Warnung ausgibt, muss es zunächst die normalen Ebenen von Anmeldefehlern in seiner Umgebung kennen und von einem böswilligen Sicherheitsereignis unterscheiden können.
Eine umfassende Liste der Ereignisse, die Sie bei der Überwachung auf Anzeichen einer Kompromittierung einschließen sollten, finden Sie in Anhang L: Zu überwachende Ereignisse.
Zu überwachende Active Directory-Objekte und -Attribute
Im Folgenden finden Sie die Konten, Gruppen und Attribute, die Sie überwachen sollten, um Versuche zu erkennen, ihre Active Directory Domain Services-Installation zu kompromittieren.
Systeme zum Deaktivieren oder Entfernen von Antiviren- und Antischadsoftware (automatisches Neustarten des Schutzes, wenn er manuell deaktiviert wird)
Administratorkonten für nicht autorisierte Änderungen
Aktivitäten, die mit Konten mit Berechtigungen ausgeführt werden (Konto automatisch entfernen, wenn verdächtige Aktivitäten durchgeführt werden oder die zugewiesene Zeit abgelaufen ist)
Konten mit Berechtigungen und VIP-Konten in AD DS. Überwachen Sie Änderungen, insbesondere Änderungen von Attributen auf der Registerkarte „Konto“ (z. B. „cn“, „name“, „sAMAccountName“, „userPrincipalName“ oder „userAccountControl“). Beschränken Sie zusätzlich zur Überwachung der Konten, wer die Konten ändern darf, auf eine möglichst kleine Gruppe von Administratorbenutzern.
Eine Liste der empfohlenen zu überwachenden Ereignisse, deren Kritikalitätsbewertungen und eine Zusammenfassung der Ereignismeldungen finden Sie unter Anhang L: Zu überwachende Ereignisse.
Gruppieren Sie Server nach der Klassifizierung ihrer Workloads. So können Sie schnell die Server identifizieren, die am stärksten überwacht und besonders streng konfiguriert werden sollten.
Änderungen an den Eigenschaften und der Mitgliedschaft der folgenden AD DS-Gruppen: „Unternehmensadministratoren“ (EA), „Domänenadministratoren“ (DA), „Integrierte Administratoren“ (BA) und „Schemaadministratoren“ (SA)
Deaktivierte Konten mit Berechtigungen (z. B. integrierte Administratorkonten in Active Directory und auf Mitgliedssystemen) zum Aktivieren der Konten
Verwaltungskonten zum Protokollieren aller Schreibvorgänge in das Konto
Integrierter Sicherheitskonfigurations-Assistent zum Konfigurieren von Dienst-, Registrierungs-, Überwachungs- und Firewalleinstellungen, um die Angriffsfläche des Servers zu verringern. Verwenden Sie diesen Assistenten, wenn Sie Jumpserver als Teil Ihrer Verwaltungshoststrategie implementieren.
Zusätzliche Informationen zur Überwachung von Active Directory Domain Services
Weitere Informationen zur Überwachung von AD DS finden Sie unter den folgenden Links:
Globale Objektzugriffsüberwachung ist Magie: Enthält Informationen zum Konfigurieren und Verwenden der erweiterten Überwachungsrichtlinienkonfiguration, die zu Windows 7 und Windows Server 2008 R2 hinzugefügt wurde.
Einführung in die Überwachung von Änderungen in Windows 2008: Führt die Überwachung der in Windows 2008 vorgenommenen Änderungen ein.
Coole Überwachungstricks in Vista und 2008: Erläutert interessante neue Features der Überwachung in Windows Vista und Windows Server 2008, die zur Problembehandlung oder zum Anzeigen von Vorgängen in Ihrer Umgebung verwendet werden können.
Überwachung aus einer Hand in Windows Server 2008 und Windows Vista: Enthält eine Zusammenstellung der in Windows Server 2008 und Windows Vista verfügbaren Überwachungsfeatures und -informationen.
Schritt-für-Schritt-Anleitung zur AD DS-Überwachung: Beschreibt das neue Überwachungsfeature für Active Directory Domain Services (AD DS) in Windows Server 2008. Außerdem werden Verfahren zum Implementieren dieses neuen Features bereitgestellt.
Allgemeine Liste der Empfehlungen und Kritikalitäten zu Sicherheitsereignis-IDs
Alle Empfehlungen zur Ereignis-ID werden wie folgt von einer Kritikalitätsbewertung begleitet:
Hoch: Für Ereignis-IDs mit einer hohen Kritikalitätsbewertung sollten immer sofort Warnungen ausgegeben und Untersuchungen durchgeführt werden.
Mittel: Eine Ereignis-ID mit einer mittleren Kritikalitätsbewertung kann auf böswillige Aktivitäten hinweisen, muss jedoch von einer anderen Anomalie begleitet werden (z. B. einer ungewöhnlichen Anzahl innerhalb eines bestimmten Zeitraums, unerwarteten Vorkommen oder Vorkommen auf einem Computer, bei dem normalerweise nicht erwartet wird, dass das Ereignis protokolliert wird). Ein Ereignis mit mittlerer Kritikalität kann auch als Metrik erfasst und im Zeitverlauf verglichen werden.
Niedrig: Ereignis-IDs mit geringer Kritikalität sollten keine größere Aufmerksamkeit auf sich ziehen oder Warnungen auslösen, es sei denn, sie treten im Zusammenhang mit Ereignissen mittlerer oder hoher Kritikalität auf.
Diese Empfehlungen dienen als Basisleitfaden für den Administrator. Alle Empfehlungen sollten vor der Implementierung in einer Produktionsumgebung gründlich überprüft werden.
Eine Liste der empfohlenen zu überwachenden Ereignisse, deren Kritikalitätsbewertungen und eine Zusammenfassung der Ereignismeldungen finden Sie unter Anhang L: Zu überwachende Ereignisse.