Bundesamt für Sicherheit in der Informationstechnik

G 2.22 Fehlende oder unzureichende Auswertung von Protokolldaten

In vielen IT -Systemen und Anwendungen sind Funktionalitäten integriert, um bestimmte Ereignisse in ihrem zeitlichen Ablauf protokollieren zu können. Dadurch werden in einem Informationsverbund oft große Mengen an Protokolldaten erzeugt, die sich nur schwer und mit einem hohen Zeitaufwand auswerten lassen. Allerdings ist eine sinnvolle Auswertung dieser Protokolldaten notwendig, um beispielsweise Fehleranalysen durchführen und erfolgte Angriffe identifizieren zu können.

Im Lebenszyklus eines IT -Systems kommen verschiedene Protokollierungskonzepte zum Einsatz. So werden während der Entwicklungsphase ausführliche Protokolle erstellt, um die Problemanalyse bei Fehlern zu erleichtern.

In der Einführungsphase werden Protokolle genutzt, um unter anderem die Performance des IT -Systems in der Produktivumgebung zu optimieren oder um die Wirksamkeit des Sicherheitskonzepts erstmals in der Praxis zu überprüfen.

In der Produktivphase dienen Protokolle hauptsächlich dazu, den ordnungsgemäßen Betrieb sicherzustellen. Über Protokolldaten werden dann unter anderem nachträglich Sicherheitsverletzungen im IT -System oder Angriffsversuche identifiziert. Die Protokollierung kann auch der Täterermittlung und in Folge der Abschreckung von potenziellen Tätern dienen. Über eine regelmäßige Auswertung der Protokolldaten lassen sich die Daten für Präventivmaßnahmen wie ein Frühwarnsystem heranziehen, wodurch unter Umständen vorsätzliche Angriffe auf ein IT -System frühzeitig erkannt oder vereitelt werden können.

Zentrale Protokollierung

Werden Protokolldaten an zentraler Stelle ausgewertet, ist es möglich, dass bei der großen Menge an Daten wichtige Informationen übersehen und zum Beispiel Angriffe nicht entdeckt werden. Aus diesem Grund gibt es Systeme, die den Administrator bei der Auswertung der Protokolldaten unterstützen oder die Daten sogar selbstständig auswerten. Je nach Produkt können die Informationen der verschiedenen Datenquellen miteinander vereint und zu einer Protokollmeldung verarbeitet werden. Es besteht jedoch die Gefahr, dass die Protokolldaten eventuell nicht mehr auf ihre ursprüngliche Datenquelle zurückgeführt werden können, sodass auch nicht mehr auf Anhieb nachvollzogen werden kann, wo das Ereignis ursprünglich aufgetreten ist.

Weitere Probleme bei der Auswertung können durch falsch eingestellte Filterfunktionen der Analysewerkzeuge entstehen. Das kann dazu führen, dass Protokolldaten, die für die Störungserkennung, Fehlersuche oder Frühwarnung erforderlich sind, nicht ausgewertet werden.

Beispiele:

  • Ein Angreifer versucht, den Datenbank-Server durch eine DoS -Attacke zum Absturz zu bringen. Dieser Angriff wird auf dem betreffenden IT -System protokolliert. Der Angriff bleibt aber durch die fehlende Auswertung der Protokolldaten unentdeckt, und der Angreifer kann die DoS -Attacke bis zum Erfolg wiederholen.
  • Bei einem Angriff auf einen Webserver wurde eine RPC -Sicherheitslücke dazu benutzt, um in das System einzudringen. Zwar hat der Webserver entsprechende Protokolldaten erzeugt, diese wurden jedoch aufgrund fehlerhafter Filtereinstellungen am zentralen Protokollierungsserver verworfen. Somit wurde kein automatischer Alarm ausgelöst, und der Angriff blieb unentdeckt.

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK