Bundesamt für Sicherheit in der Informationstechnik

G 2.160 Fehlende oder unzureichende Protokollierung

Mit Hilfe von Protokolldaten kann beispielsweise festgestellt werden, ob Sicherheitsvorgaben verletzt oder ob Angriffsversuche unternommen wurden. Zusätzlich lassen sich die Protokollinformationen für eine Fehleranalyse im Schadensfall und zur Ursachenermittlung oder Integritätsprüfung nutzen.

In einem Informationsverbund gibt es häufig IT -Systeme oder Anwendungen, bei denen die Protokollierung in der Grundeinstellung nicht aktiviert wurde. Solche Systeme und Anwendungen müssen zuvor entsprechend konfiguriert werden. Unter Umständen ist die Protokollierung bei Systemen und Anwendungen nicht möglich. Auch ein unzureichendes Planungskonzept kann ein Grund für eine fehlende Protokollierung sein.

Selbst wenn die Protokollierung bei einzelnen Systemen genutzt wird, können Informationen und daraus resultierende Erkenntnisse verloren gehen, weil sie nicht an einer zentralen Stelle zusammengeführt werden. In Informationsverbünden ohne zentrale Protokollierung ist es schwierig sicherzustellen, dass die relevanten Protokollinformationen aller IT-Systeme erhalten und ausgewertet werden.

Ist es den Benutzern der IT-Systeme und Anwendungen möglich, die Protokollierung selbstständig zu deaktivieren, kann dies ebenfalls zu Problemen führen. Beispielsweise könnte ein Benutzer gegen Richtlinien verstoßen, ohne dass dies Konsequenzen für ihn hätte. Können die Benutzer vorhandene Protokolldateien verändern oder löschen, besteht die Gefahr, dass Sicherheitsverletzungen nicht erkannt werden.

Beispiel:

  • Ein nicht autorisierter Benutzer versucht, Passwörter für den Web-Mail-Account anderer Benutzer zu erraten. Da mit dem Passwort meist auch andere Dienste genutzt werden können (Single-Sign-on), ist dies für den Angreifer besonders interessant. Durch eine fehlende Protokollierung auf dem Mail-Server wird dieser Angriff nicht erkannt. Der Angreifer hat die Möglichkeit, die Passwörter der Benutzer unbemerkt durch Brute-Force-Methoden herauszufinden.

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK