Bundesamt für Sicherheit in der Informationstechnik

B 5.22 Protokollierung

Logo Protokollierung

Beschreibung

Unter Protokollierung beim Betrieb von IT -Systemen ist die Erstellung von manuellen oder automatisierten Aufzeichnungen zu verstehen, aus denen sich die Fragen beantworten lassen: "Wer hat wann mit welchen Mitteln was veranlasst beziehungsweise worauf zugegriffen?" Außerdem müssen sich Systemzustände ableiten lassen: "Wer hatte von wann bis wann welche Zugriffsrechte?" Für einen verlässlichen IT-Betrieb sollten sicherheitskritische Ereignisse im Informationsverbund protokolliert werden. Ziel der Protokollierung ist es, wesentliche Veränderungen an IT-Systemen und Anwendungen nachvollziehen zu können, um deren Sicherheit nachvollziehen zu können. Eine Protokollierung wird in vielen Informationsverbünden eingesetzt, um Hard- und Softwareprobleme sowie Ressourcenengpässe zeitnah entdecken zu können. Aber auch Sicherheitsprobleme und Angriffe auf die betriebenen Dienste können anhand von Protokolldaten nachvollzogen werden.

Protokollierung kann lokal oder zentral durchgeführt werden. Um einen Gesamtüberblick über einen Informationsverbund zu erhalten, kann ein zentraler Protokollierungsserver eingesetzt werden, der die unterschiedlichen Protokolldaten zusammenführt, diese analysiert und überwacht. So lassen sich durch die Analyse und Korrelation von Daten beispielsweise Angriffe, die auf mehrere Systeme ausgeführt werden, erkennen.

Einige typische Anwendungsbeispiele für eine zentrale Protokollierung sind:

  • Sammlung von Meldungen der Sicherheitsgateways hinsichtlich geblockter Verbindungsversuche
  • Zentraler Anlaufpunkt für Warnmeldungen, wenn Massenspeicherquotas überschritten werden
  • Archiv für forensische Ermittlungen, nachdem ein Angriff auf IT-Systeme bekannt wurde

Dieser Baustein betrachtet alle spezifischen Gefährdungen und Maßnahmen, die in einem Informationsverbund unabhängig von den eingesetzten Betriebssystemen für eine angemessene Protokollierung und Überwachung relevant sind. Der Aufwand zur Erstellung und Umsetzung eines solchen Prozesses ist nicht gering. Daher sollte dieser Baustein vor allem bei größeren Informationsverbünden umgesetzt werden und wenn in einem Informationsverbund zentral protokolliert werden soll. Bei kleineren und weniger komplexen Informationsverbünden reicht unter Umständen die Umsetzung von M 2.500 Protokollierung von IT-Systemen aus.

Gefährdungslage

Für den IT-Grundschutz bei der Protokollierung werden die folgenden typischen Gefährdungen betrachtet.

Höhere Gewalt

G 1.2 Ausfall von IT-Systemen

Organisatorische Mängel

G 2.1 Fehlende oder unzureichende Regelungen
G 2.4 Unzureichende Kontrolle der Sicherheitsmaßnahmen
G 2.7 Unerlaubte Ausübung von Rechten
G 2.22 Fehlende oder unzureichende Auswertung von Protokolldaten
G 2.61 Unberechtigte Sammlung personenbezogener Daten
G 2.67 Ungeeignete Verwaltung von Zutritts-, Zugangs- und Zugriffsrechten
G 2.160 Fehlende oder unzureichende Protokollierung
G 2.161 Vertraulichkeits- und Integritätsverlust von Protokolldaten

Menschliche Fehlhandlungen

G 3.3 Nichtbeachtung von Sicherheitsmaßnahmen
G 3.9 Fehlerhafte Administration von IT-Systemen
G 3.38 Konfigurations- und Bedienungsfehler
G 3.114 Fehlerhafte Administration bei der Protokollierung
G 3.115 Fehlerhafte Auswahl von relevanten Protokolldaten
G 3.116 Fehlende Zeitsynchronisation bei der Protokolldatenauswertung

Technisches Versagen

G 4.89 Fehlendes oder unzureichendes Alarmierungskonzept bei der Protokollierung

Vorsätzliche Handlungen

G 5.20 Missbrauch von Administratorrechten
G 5.71 Vertraulichkeitsverlust schützenswerter Informationen
G 5.85 Integritätsverlust schützenswerter Informationen
G 5.143 Man-in-the-Middle-Angriff
G 5.176 Kompromittierung der Protokolldatenübertragung bei zentraler Protokollierung

Maßnahmenempfehlungen

Um die Sicherheit des betrachteten Informationsverbundes gewährleisten zu können, müssen zusätzlich zu diesem Baustein noch weitere Bausteine, gemäß den Ergebnissen der Modellierung nach IT-Grundschutz, umgesetzt werden.

Die genutzten Protokollierungsdienste können sowohl bereits in ein Betriebssystem integriert sein als auch in eigenständigen Software-Komponenten angeboten werden. Um den Protokollierungsdienst und die gespeicherten Protokolldaten abzusichern, muss die Sicherheit des zugrunde liegenden Betriebssystems gewährleistet werden. Dies ist jedoch nicht Bestandteil dieses Bausteins. Dafür sind die betriebssystem-spezifischen Bausteine der Schicht 3 umzusetzen, vor allem B 3.101 Allgemeiner Server und B 3.201 Allgemeiner Client .

Für eine erfolgreiche Protokollierung sind eine Reihe von Maßnahmen umzusetzen, beginnend mit der Konzeption über die Beschaffung bis zum Betrieb der Komponenten. Die Schritte, die dabei durchlaufen werden sollten, sowie die Maßnahmen, die in den jeweiligen Schritten beachtet werden sollten, sind im Folgenden aufgeführt.

Planung und Konzeption

Um eine Protokollierung in einem Informationsverbund zu realisieren, muss geplant werden, wie diese technisch und organisatorisch aufgebaut wird (siehe M 2.499 Planung der Protokollierung und M 2.500 Protokollierung von IT-Systemen ). Ebenso Bestandteil der Planung ist, wie ein Sicherheitskonzept erstellt werden kann (siehe M 2.497 Erstellung eines Sicherheitskonzepts für die Protokollierung ) und wie die Zugriffsrechte auf Protokollierungsdienste und Protokolldaten vergeben werden (siehe M 2.8 Vergabe von Zugriffsrechten ).

Bei zentraler Protokollierung muss überlegt werden, wie der zentrale Protokollierungsserver in die Netzinfrastruktur des Informationsverbundes integriert werden kann (siehe M 2.499 Planung der Protokollierung und M 3.90 Allgemeine Grundlagen für die zentrale Protokollierung ).

Umsetzung

Die zuständigen Administratoren müssen in den entsprechenden Verfahren geschult werden, insbesondere für den sicheren Betrieb eines zentralen Protokollierungsservers. Dies wird in M 3.89 Schulung zur Administration der Protokollierung beschrieben. Des Weiteren ist für einen effektiven Betrieb einer IT-Frühwarnung entscheidend, dass bei aufgetretenen Sicherheitsvorfällen unverzüglich ein Alarm ausgelöst wird. Hierbei muss festgelegt werden, wer, wann und wie benachrichtigt wird und über welche Meldewege alarmiert werden soll (siehe M 6.151 Alarmierungskonzept für die Protokollierung ).

Betrieb

Die gesammelten Protokollinformationen können lokal oder an einem zentralen Protokollierungsserver ausgewertet werden (siehe M 4.430 Analyse von Protokolldaten ). Im Fall einer zentralen Analyse müssen die Protokollinformationen über das Netz an einen zentralen Server übertragen werden. Hierbei ist die Kommunikation zwischen den beteiligten IT-Systemen ausreichend abzusichern (siehe M 5.171 Sichere Kommunikation zu einem zentralen Protokollierungsserver ). Bevor die Protokolldaten effizient ausgewertet werden können, müssen diese zuerst entsprechend vorbereitet werden (siehe M 4.431 Auswahl und Verarbeitung relevanter Informationen für die Protokollierung ).

Aussonderung

Werden Festplatten aus Protokollierungsservern entsorgt oder gelöscht, ist darauf zu achten, dass vertrauliche und personenbezogene Daten vollständig gelöscht werden. Weitere Informationen hierzu sind in der Maßnahme M 2.496 Geregelte Außerbetriebnahme eines Protokollierungsservers zu finden.

Notfallvorsorge

Im Rahmen der Notfallvorsorge sollten Notfallpläne für die relevanten Gefährdungslagen erstellt werden (siehe M 6.96 Notfallvorsorge für einen Server ).

Nachfolgend wird das Maßnahmenbündel für den Bereich "Protokollierung" vorgestellt.

Planung und Konzeption

M 2.1 (A) Festlegung von Verantwortlichkeiten und Regelungen
M 2.497 (A) Erstellung eines Sicherheitskonzepts für die Protokollierung
M 2.499 (A) Planung der Protokollierung
M 2.500 (A) Protokollierung von IT-Systemen
M 3.90 (W) Allgemeine Grundlagen für die zentrale Protokollierung
M 5.66 (B) Clientseitige Verwendung von SSL/TLS
M 5.68 (Z) Einsatz von Verschlüsselungsverfahren zur Netzkommunikation
M 5.177 (B) Serverseitige Verwendung von SSL/TLS

Umsetzung

M 2.498 (C) Behandlung von Warn- und Fehlermeldungen
M 3.10 (A) Auswahl eines vertrauenswürdigen Administrators und Vertreters
M 3.89 (A) Schulung zur Administration der Protokollierung
M 6.151 (A) Alarmierungskonzept für die Protokollierung

Betrieb

M 2.8 (A) Vergabe von Zugriffsrechten
M 2.64 (A) Kontrolle der Protokolldateien
M 2.110 (A) Datenschutzaspekte bei der Protokollierung
M 4.225 (Z) Einsatz eines Protokollierungsservers in einem Sicherheitsgateway
M 4.227 (C) Einsatz eines lokalen NTP-Servers zur Zeitsynchronisation
M 4.430 (A) Analyse von Protokolldaten
M 4.431 (A) Auswahl und Verarbeitung relevanter Informationen für die Protokollierung
M 5.9 (B) Protokollierung am Server
M 5.171 (A) Sichere Kommunikation zu einem zentralen Protokollierungsserver
M 5.172 (A) Sichere Zeitsynchronisation bei der zentralen Protokollierung

Aussonderung

M 2.167 (B) Auswahl geeigneter Verfahren zur Löschung oder Vernichtung von Daten
M 2.496 (A) Geregelte Außerbetriebnahme eines Protokollierungsservers

Notfallvorsorge

M 6.96 (A) Notfallvorsorge für einen Server

Stand: 14. EL Stand 2014