Bundesamt für Sicherheit in der Informationstechnik

G 4.89 Fehlendes oder unzureichendes Alarmierungskonzept bei der Protokollierung

Produkte, die Protokoll- und Monitoringdaten speichern und auswerten, können häufig als optionale Komponenten in ein IT -Frühwarnsystem eingebunden werden. IT-Frühwarnsysteme werden eingesetzt, um bereits während eines Sicherheitsvorfalls zu warnen, noch bevor mögliche Auswirkungen spürbar sind. Dies ist insbesondere bei einer zentralen Protokollierung wirkungsvoll. Durch sinnvoll ausgewertete Protokollereignisse können solche Sicherheitsvorfälle schneller entdeckt werden.

Allerdings muss die Überwachung eine Alarmierungskomponente enthalten. Es wirkt sich sonst negativ auf die Verfügbarkeit, Vertraulichkeit und Integrität der Systeme aus, wenn der gesamte Informationsverbund überwacht wird und auch die Protokolldaten ausgewertet werden, aber nicht alarmiert wird.

False-Positives und False-Negatives

Zu niedrig oder zu hoch eingestellte Grenzwerte sind häufige Fehler in Alarmierungskomponenten. Diese Grenzwerte bestimmen den Punkt, ab dem alarmiert wird. Zu niedrig eingestellte Grenzwerte können zu Fehlalarmen (False-Positives) führen. Bei zu hohen Grenzwerten wird kein Alarm trotz eines IT-Sicherheitsvorfalls ausgelöst (False-Negatives).

False-Positives können auch daher rühren, dass die Administratoren bestimmte Systeme, die fälschlicherweise oft als bösartig identifiziert werden, nicht auf die Ausnahmelisten (Whitelists) setzen. Hierzu gehören beispielsweise Schwachstellen-Scanner oder Monitoring-Stationen, die sich sehr häufig zu anderen Systemen und Diensten auf unterschiedlichen Ports verbinden und häufig Grenzwerte überschreiten. Whitelists lassen sich aber auch von Angreifern missbrauchen, um bei einem Angriff auf ein IT-System keinen Alarm auszulösen (False-Negative). Sind zu viele Systeme in den Whitelists eingetragen, können viele False-Negative-Vorfälle entstehen.

Falsche Reaktion auf Sicherheitsvorfälle

Ein weiteres Problem stellt eine falsche Reaktion auf eingetretene Sicherheitsvorfälle dar. Es können unter Umständen große Schäden bis hin zu Katastrophen entstehen, beispielsweise wenn angegriffene Dienste abgeschaltet werden oder die Sprinkleranlage bei einem Zutrittsalarm ausgelöst wird. Möglich ist auch, dass das Personal Sicherheitsvorfälle falsch interpretiert und einen Alarm ignoriert, der durch einen Angriff ausgelöst wurde. Solche Gefährdungen werden durch mangelhafte oder falsche Schulungen der Administratoren begünstigt.

Beispiel:

  • Die zuständigen Administratoren für das IT-Frühwarnsystem entdecken in den Protokolldateien eines Sicherheitsgateways auffällige Einträge. Sie gehen dem Fall aber nicht weiter nach, da die Einträge von einem System stammen, das auf der Whitelist steht. Einen Tag zuvor wurde ein Angriff auf den Protokollierungsserver erkannt, der ausgelöste Alarm jedoch als Fehlalarm interpretiert. Dadurch konnte sich ein Angreifer Zugriff auf den Protokollierungsserver verschaffen und das Sicherheitsgateway auf die Whitelist setzen. Somit konnten die Angreifer nach weiteren Versuchen die Firewall mit einem erfolgreichen Angriff unbemerkt überwinden und in das interne Netz der Institution eindringen.

Stand: 13. EL Stand 2013