Bundesamt für Sicherheit in der Informationstechnik

G 2.161 Vertraulichkeits- und Integritätsverlust von Protokolldaten

Einige IT -Systeme generieren Protokollinformationen wie Benutzername, IP -Adresse, E-Mail-Adresse und Rechnername, die konkreten Personen zugeordnet werden können. Solche Informationen lassen sich abhören und manipulieren, wenn sie ungesichert und nicht verschlüsselt übertragen werden. Diese Gefahr besteht besonders dann, wenn eine zentrale Protokollierung genutzt wird. Solche Informationen verbessern die Angriffsmöglichkeiten. Wenn ein Angreifer beispielsweise den Benutzernamen kennt, kann er versuchen, die zugehörigen Passwörter zu erraten oder diese über Wörterbuchattacken herauszufinden (siehe auch G 5.18 Systematisches Ausprobieren von Passwörtern ).

Auch die Integrität der Protokollinformationen kann durch eine ungesicherte und nicht verschlüsselte Übertragung ebenso wie durch Fehlverhalten von Administratoren beeinträchtigt werden. Wenn ein Administrator beispielsweise die Protokolldaten ändert oder diese löscht, um einen Konfigurationsfehler zu vertuschen, so lassen sich die Informationen vielleicht nicht mehr weiterverarbeiten. Des Weiteren können Übertragungsfehler während der Übermittlung zu einem zentralen Protokollierungsserver zu einem Integritätsverlust bei Protokolldaten führen. Unter Umständen werden Daten aber auch vorsätzlich verfälscht, um falsche Informationen weiterzugeben.

Beispiele:

  • Durch eine Man-in-the-Middle-Attacke kann der Angreifer die übertragenen und nicht verschlüsselten Protokolldaten mitlesen. Somit erhält er konkrete Informationen zum Informationsverbund, wie die IP-Adressen der einzelnen IT-Systeme. Der Angreifer hat nun die Möglichkeit, IP-Adressen zu fälschen und sich für ein anderes IT-System auszugeben ("IP-Spoofing"). In manchen Informationsverbünden ist es üblich, dass sich interne Systeme gegenseitig vertrauen, sodass sich ein Benutzer ohne Benutzername und Passwort einloggen kann. Der Angreifer kann den Zielrechner nun mithilfe der gefälschten IP-Adresse angreifen, ohne sich zu authentisieren.
  • Bei der Übertragung der Protokollmeldungen vom Dateiserver zum zentralen Protokollierungsserver kommt es durch physikalische Störungen im Übertragungskanal zu Übertragungsfehlern. Aus diesem Grund wird von den Administratoren nicht bemerkt, dass der Dateiserver in den letzten Stunden immer wieder ausgefallen ist.

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK