Bundesamt für Sicherheit in der Informationstechnik

G 3.115 Fehlerhafte Auswahl von relevanten Protokolldaten

Protokolldaten liefern einem IT -Frühwarnsystem oft wichtige Informationen, um IT-Sicherheitsvorfälle zu erkennen. Die relevanten Meldungen aus der großen Menge der verschiedenen Protokollereignisse auszuwählen, ist eine besondere Herausforderung.

Zahlreiche Meldungen haben nur informativen Charakter und lenken von den wirklich wichtigen Meldungen ab. Dies gilt insbesondere, wenn eine zentrale Protokollierung genutzt wird, da dann zahlreiche IT-Systeme ihre Meldungen zum zentralen Protokollierungsserver senden.

Werden zu viele Protokollmeldungen ausgewählt, lässt sich die Fülle von Informationen nur schwer und mit hohem Zeitaufwand auswerten. Des Weiteren besteht die Gefahr, dass Protokolldaten verworfen oder überschrieben werden, wenn Arbeitsspeicher oder Festplattenkapazität des Protokollierungsservers zu klein gewählt wurden. Für den Fall, dass zu wenige oder nicht genug relevante Protokollmeldungen aufgezeichnet werden, könnten sicherheitskritische Vorfälle unerkannt bleiben. Dieses Problem entsteht oft durch falsch konfigurierte Filterfunktionen eines IT-Frühwarnsystems.

Unterschiedliche Formate

Protokolldateien werden in verschiedenen Formaten gespeichert und in einer unterschiedlichen Reihenfolge sortiert. Dies ist von den verschiedenen Herstellern der Applikationen und Prozesse abhängig, aus denen die gesammelten Informationen stammen. Beispielsweise stehen in einer Betriebssystemprotokolldatei die Datums- und Uhrzeiteinträge an einer anderen Stelle als bei einer Protokolldatei eines Webservers.

Die Protokollierung von Systemmeldungen wird zur Fehlersuche eingesetzt und verwendet, um Sicherheitsvorfälle aufzuklären. Die Meldungen lassen sich auch zusammen mit einem IT-Frühwarnsystem einsetzen. Um einen Überblick über die auflaufenden Daten zu erhalten, müssen diese korreliert werden. Dazu werden die Protokolldaten normalisiert, also in ein einheitliches Format gewandelt.

Probleme bei Applikationen und IT-Systemen

Neben allgemeinen Aspekten bei der Protokollierung können auch Probleme bei den Applikationen und IT-Systemen auftreten, die überwacht werden sollen. So könnte der Fokus bei einem Sicherheitsgateway (Firewall) oder anderen Netz-Komponenten fälschlicherweise auf unterbundene Aktionen wie abgelehnte Verbindungen gelegt werden. Die Auswertung von erlaubten Aktionen, beispielsweise eine korrekt aufgebaute Verbindung, wird vernachlässigt. Dabei könnten genau diese Informationen ein Indiz für einen erfolgreichen Angriffsversuch liefern, zum Beispiel wenn ein Angreifer durch mehrmaliges Ausprobieren das richtige Passwort eines Benutzers errät.

Beispiele:

In einem Informationsverbund wird der zentrale Protokollierungsserver immer wieder überlastet. Der Grund hierfür ist, dass die Windows-Ereignismeldungen redundant an den Protokollierungsserver übertragen und abgespeichert werden. Beispielsweise werden bei einer An- und Abmeldung Protokolleinträge sowohl am jeweiligen Client als auch am Domänen-Controller generiert und an den Protokollierungsserver übertragen. Durch diese Überlastungen könnten andere Protokollinformationen, die relevante Ereignisse, wie Informationen über einen Angriff enthalten, verworfen werden. Die Folge sind Lücken in der Überwachung des Informationsverbundes.

  • Der Exchange Server eines Unternehmens soll in das IT-Frühwarnsystem eingebunden und überwacht werden. Hauptaufgabe des Frühwarnsystems ist es, sämtliche E-Mails, die über den Exchange Server übertragen werden, aufzuzeichnen. Der Administrator muss hierfür SMTP -Transaktionen am Exchange Server protokollieren. Weil aber irrtümlich das Exchange Message Tracking am Server nicht aktiviert wurde, kann der Exchange Server nicht sinnvoll überwacht werden.

Stand: 13. EL Stand 2013