Abrechnung / Protokollierung (AAA-Accounting)
Was ist Abrechnung / Protokollierung (AAA-Accounting)?
Abrechnung / Protokollierung (AAA-Accounting)Die dritte Säule des AAA-Modells: das Aufzeichnen, was eine authentifizierte Identität wann, wo und auf welchen Ressourcen getan hat – für Audit und Abrechnung.
Accounting im AAA-Modell (Authentifizierung, Autorisierung, Accounting) erfasst und speichert Aktivitätsdaten, die jede Aktion einer verifizierten Identität zuordnen, und liefert damit die Grundlage für Sicherheitsüberwachung, forensische Analyse, Compliance und interne Verrechnung. Typische Daten sind Login-/Logout-Ereignisse, Sitzungen, ausgeführte Befehle, übertragene Bytes und genutzte Ressourcen. Protokolle wie RADIUS, TACACS+ und Diameter definieren, wie Netzwerkgeräte Accounting-Daten an zentrale Server senden; moderne Stacks aggregieren sie in SIEM- und Audit-Log-Plattformen. Wirksames Accounting erfordert manipulationssichere Speicherung, präzise Zeitsynchronisation und gesetzeskonforme Aufbewahrung.
Standardisiertes Accounting ist älter als moderne Observability. RADIUS-Accounting (RFC 2866) definiert Accounting-Request-Pakete, deren Acct-Status-Type Start, Interim-Update oder Stop lautet und die die Sitzungsdauer sowie die Acct-Input/Output-Octets übertragen; TACACS+ (RFC 8907) trennt das Accounting von Authentifizierung und Autorisierung, sodass die Auditierung auf Befehlsebene an Routern unabhängig protokolliert werden kann; und Diameter (RFC 6733) modernisiert das Modell für Mobilfunk- und IMS-Netze. In der Cloud übernehmen Dienste wie AWS CloudTrail, Azure Activity Log und Google Cloud Audit Logs dieselbe Rolle und zeichnen jeden Control-Plane-API-Aufruf mit Aufrufer-Identität, Quell-IP und Zeitstempel auf.
Accounting bildet die Grundlage der Nichtabstreitbarkeit: Da jeder Datensatz an eine authentifizierte Identität gebunden ist, kann ein Benutzer eine Aktion nicht glaubhaft abstreiten. Vorschriften machen es verpflichtend – PCI DSS Requirement 10 verlangt die Protokollierung jedes Zugriffs auf Karteninhaberdaten, und NIST SP 800-92 (Guide to Computer Security Log Management) liefert die maßgebliche Umsetzungsanleitung. Da Angreifer routinemäßig Protokolle löschen, um ihre Spuren zu verwischen (MITRE ATT&CK T1070, Indicator Removal), versendet robustes Accounting die Datensätze nahezu in Echtzeit vom Host weg an WORM- oder Append-only-Speicher, signiert sie oder verkettet sie per Hash zur Integritätssicherung und synchronisiert die Uhren per NTP, damit Ereignisse über Systeme hinweg bei der Incident Response korreliert werden können.
flowchart LR U[Benutzer / Gerät] -->|Aktion| N[Netzwerkgerät oder Anwendung] N -->|Accounting-Request RADIUS / TACACS+| S[AAA-Server] S --> L[(Manipulationssicherer Log-Speicher)] L --> M[SIEM-Korrelation] M --> R[Audit / Abrechnung / Forensik]
● Beispiele
- 01
RADIUS-Accounting-Datensätze für VPN-Sitzungsstart, -ende und Datenvolumen.
- 02
Cloud-Audit-Logs, die jeden API-Aufruf samt Identität und Quell-IP erfassen.
● Häufige Fragen
Was ist Abrechnung / Protokollierung (AAA-Accounting)?
Die dritte Säule des AAA-Modells: das Aufzeichnen, was eine authentifizierte Identität wann, wo und auf welchen Ressourcen getan hat – für Audit und Abrechnung. Es gehört zur Kategorie Identität und Zugriff der Cybersicherheit.
Was bedeutet Abrechnung / Protokollierung (AAA-Accounting)?
Die dritte Säule des AAA-Modells: das Aufzeichnen, was eine authentifizierte Identität wann, wo und auf welchen Ressourcen getan hat – für Audit und Abrechnung.
Wie schützt man sich gegen Abrechnung / Protokollierung (AAA-Accounting)?
Schutzmaßnahmen gegen Abrechnung / Protokollierung (AAA-Accounting) kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Abrechnung / Protokollierung (AAA-Accounting)?
Übliche alternative Bezeichnungen: Auditing, Audit-Logging.