Bundesamt für Sicherheit in der Informationstechnik

G 3.114 Fehlerhafte Administration bei der Protokollierung

Werden Protokollierungsserver fehlerhaft administriert und dadurch Sicherheitsvorfälle missachtet oder nicht entdeckt, kann die Sicherheit des gesamten Informationsverbundes beeinträchtigt sein. Als Gründe kommen Konfigurations- oder Bedienungsfehler infrage. Unter Umständen führen solche Administrationsfehler zusätzlich zu einem Vertraulichkeitsverlust von schutzbedürftigen Daten.

Zu den Konfigurationsfehlern zählen falsch oder nicht vollständig eingestellte Parameter und Optionen. Das kann ein zu hoher Grenzwert sein, ab dem eine Alarmierung erfolgt oder zu tolerante Einstellungen der Filter. Solche Fehlkonfigurationen können häufige Fehlalarme auslösen, die eine Frühwarnung erschweren.

Bedienungsfehler bei der zentralen Protokollierung können auftreten, wenn unzureichend oder nicht geschult wird. Das kann dazu führen, dass die Administratoren Analyseergebnisse von Protokolldaten falsch deuten und dadurch einen Sicherheitsvorfall übersehen. Die fehlerhafte Bedienung kann auch dazu führen, dass Protokolldaten versehentlich gelöscht oder verändert werden. Eine weitere potenzielle Gefahr für die Gesamtsicherheit geht von modifizierten Sicherheitseinstellungen und erweiterten Zugriffsrechten für das Protokollierungssystem aus. Diese könnten durch unbefugte Benutzer ausgenutzt werden, um Zugang zu den überwachten IT -Systemen zu erhalten.

Beispiele:

  • In einer Institution wurden die Grenzwerte für die Auslastung im Frühwarnsystem zu niedrig eingestellt. Aus diesem Grund wird schon bei geringer Auslastung eines Servers ein Fehlalarm ausgelöst. Mit der Zeit werden die Alarme immer mehr vernachlässigt und letztendlich nicht mehr beachtet. Dies führt zu einem hohen Sicherheitsrisiko, da nun auch echte Alarme, bei denen ein Server wirklich stark überlastet ist, ignoriert werden. Wegen der Überlast fällt ein Server für längere Zeit aus und verursacht großen finanziellen Schaden.
  • Ein Administrator verändert in einer der Protokolldateien unabsichtlich die Uhrzeit eines Login-Ereignisses von 07:13 auf 77:13, indem er im ausschließlich durch die Tastatur steuerbaren Texteditor einen falschen Befehl eingibt. Diese Protokolldatei wird später benötigt, um zu beweisen, dass sich ein Mitarbeiter am 14. April 2009 um 07:13 Uhr mit seinem Benutzernamen an seinem Rechner angemeldet hat. Durch die ungültige Uhrzeit kann der Eintrag in dieser Protokolldatei nicht verwendet werden. Da das Ereignis auch in keiner anderen Protokolldatei vorhanden ist, lässt sich nicht beweisen, dass der Mitarbeiter an diesem Tag um diese Zeit an seinem Arbeitsplatz war.

Stand: 13. EL Stand 2013