Bundesamt für Sicherheit in der Informationstechnik

M 2.133 Kontrolle der Protokolldateien eines Datenbanksystems

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Die in einem Datenbanksystem mögliche Protokollierung bzw. Auditierung ist in einem sinnvollen Umfang zu aktivieren. Werden zuviele Ereignisse protokolliert, wird die Performance der Datenbank negativ beeinflusst und die Protokolldateien wachsen stark an. Es muss also immer zwischen dem Bedürfnis, möglichst viele Informationen zur Sicherheit der Datenbank zu sammeln, und der Möglichkeit, diese Informationen zu speichern und auszuwerten, abgewogen werden.

Dabei sind insbesondere folgende Vorkommnisse von Interesse:

  • Anmeldezeiten und -dauer der Benutzer,
  • Anzahl der Verbindungen zur Datenbank,
  • fehlgeschlagene bzw. abgewiesene Verbindungsversuche,
  • Auftreten von Deadlocks innerhalb des Datenbanksystems,
  • I/O-Statistik für jeden Benutzer,
  • Zugriffe auf die Systemtabellen (siehe auch M 4.69 Regelmäßiger Sicherheitscheck der Datenbank ),
  • Erzeugung neuer Datenbankobjekte und
  • Datenmodifikationen (eventuell mit Datum, Uhrzeit und Benutzer).

Die Protokollierung sicherheitsrelevanter Ereignisse ist als Sicherheitsmaßnahme allerdings nur dann wirksam, wenn die protokollierten Daten auch ausgewertet werden. Daher sind die Protokolldateien in regelmäßigen Abständen durch einen Revisor auszuwerten. Ist es organisatorisch oder technisch nicht möglich, einen unabhängigen Revisor mit der Auswertung der Protokolldateien zu betrauen, ist eine Kontrolle der Tätigkeiten des Administrators nur schwer möglich.

Weiterhin ist bei bei der Protokollierung sicherheitsrelevanter Ereignisse sowie bei der Prüfung (Monitoring) der Protokolldateien folgendes zu beachten:

Für die Überprüfung der Protokolldateien sind diese grundsätzlich in eine andere Umgebung zu kopieren. Geeignete Tools sollten dabei genutzt werden. Die Verantwortlichkeiten für die Protokollierung und die Verantwortlichkeiten für die zu protokollierenden Aktivitäten müssen getrennt werden. Bei der Protokollierung sicherheitsrelevanter Ereignisse sollten Änderungen nur im Vier-Augen-Prinzip möglich sein.

Die Protokollierung ist zu schützen vor:

  • Deaktivierung,
  • Änderungen der zu protokollierenden Ereignistypen,
  • Änderung der Protokolldaten (Inhalt) und
  • Datenverlust bei Protokoll-Medien, z. B. durch Überschreiben, falsches Beschreiben, falsche Lagerung.

Die Protokolldaten müssen auf dem Produktivsystem regelmäßig gelöscht werden, um ein übermäßiges Anwachsen der Protokolldateien zu verhindern. Sie dürfen allerdings nur dann gelöscht werden, wenn die Protokolldateien vorher ausgewertet und kontrolliert wurden. Unter Umständen müssen die Protokolldaten archiviert werden. Die Archivierung oder gegebenenfalls auch die Löschung der Protokolldateien kann manuell oder automatisch geschehen, falls entsprechende Werkzeuge zur Verfügung stehen.

Bei Auffälligkeiten ist das Sicherheitsmanagement zu unterrichten.

Weiterhin ist der Zugriff auf die Protokolldateien strikt zu beschränken. Einerseits muss verhindert werden, dass Angreifer ihre Aktionen durch nachträgliche Änderung der Protokolldateien verbergen können, andererseits könnten über die gezielte Auswertung von Protokolldateien Leistungsprofile der Benutzer erstellt werden. Deshalb dürfen beispielsweise Änderungen überhaupt nicht vorgenommen werden können und lesender Zugriff darf nur den Revisoren gestattet werden.

Bei der Konzeption der Vorgehensweise für die Protokollierung und Auswertung der Protokolldaten müssen frühzeitig der Datenschutzbeauftragte und die Personalvertretung beteiligt werden.

Um die Auswertung der Protokolldaten zu vereinfachen, können vom Datenbank-Administrator zusätzliche Tools eingesetzt werden, die eine automatisierte Überwachung durchführen. Solche Produkte können beispielweise die Protokolldateien von Datenbanksystemen nach vorgegebenen Mustern auswerten und bei Bedarf einen Alarm erzeugen.

Weitere Maßnahmen, die in diesem Zusammenhang beachtet werden müssen, sind in M 2.64 Kontrolle der Protokolldateien zu finden.

Prüffragen:

  • Wurden bei den Datenbanksystemen die Protokollierungs- bzw. Auditierungsmöglichkeiten in einem sinnvollen Umfang aktiviert?

Stand: 13. EL Stand 2013