Bundesamt für Sicherheit in der Informationstechnik

G 4.86 Unzureichende Nachvollziehbarkeit von sicherheitsrelevanten Ereignissen bei Webanwendungen

Werden sicherheitsrelevante Ereignisse von der Webanwendung unzureichend protokolliert, können diese zu einem späteren Zeitpunkt nicht nachvollzogen und die Ursache nicht mehr ermittelt werden. Kritische Fehler und Angriffe bleiben gegebenenfalls unbemerkt und die Behebung einer Schwachstelle ist dann nicht oder nur unter erschwerten Bedingungen möglich.

Werden darüber hinaus Ereignisse auf der System- und Netzebene nur eingeschränkt protokolliert, sind sicherheitsrelevante Vorfälle nur noch schwer zu erkennen und nachzuvollziehen.

Beispiele:

  • Sicherheitsrelevante Ereignisse der Webanwendung werden nicht oder nur eingeschränkt protokolliert. So bleiben unbefugte Konfigurationsänderungen ( z. B. durch einen Angreifer) unentdeckt.
  • Es werden nicht alle notwendigen Eigenschaften eines Ereignisses protokolliert, sodass Vorgänge nicht vollständig nachvollzogen werden können (z. B. nur das Datum, aber keine Uhrzeit).
  • Ist der Schutz der Protokolldaten nicht gewährleistet, können sie unbemerkt manipuliert werden. Somit kann ein Angreifer Hinweise auf durchgeführte Aktionen löschen und der Angriff bleibt unentdeckt oder ist nicht mehr nachvollziehbar.

Stand: 13. EL Stand 2013