Bundesamt für Sicherheit in der Informationstechnik

M 2.497 Erstellung eines Sicherheitskonzepts für die Protokollierung

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter, Leiter IT

Damit die Protokollierung in einem sicheren Rahmen erfolgen kann, muss ein Sicherheitskonzept erstellt werden. Darin werden alle Aspekte festgeschrieben, die den sicheren Einsatz der Protokollierung betreffen, zum Beispiel welche Daten erfasst und wie lange diese gespeichert werden sollen, wie die Auswertung erfolgen muss und wie die Protokolldaten bei einer zentralen Protokollierung über das Netz verschickt werden.

Die folgende Aufzählung nennt einige wichtige Bereiche, die im Konzept geregelt werden sollten. Sie ist aber nicht vollständig und muss den Einsatzszenarien in der Institution entsprechend angepasst, ausgestaltet und erweitert werden. Detailinformationen zu den angesprochenen Aspekten finden sich in den einzelnen Maßnahmen von B 1.0 Sicherheitsmanagement .

In einem Sicherheitskonzept wird geregelt, wie, wo und was bei welchem Schutzbedarf protokolliert werden soll. Darunter fällt auch die Entscheidung, ob lokal oder zentral protokolliert werden soll, siehe auch M 3.90 Allgemeine Grundlagen für die zentrale Protokollierung . Es ist in der Regel einfacher, einen Überblick über die sicherheitsrelevanten Vorkommnisse im Informationsverbund zu gewinnen, wenn ein zentraler Protokollierungsserver eingesetzt wird, der die unterschiedlichen Protokolldaten zusammenführt, diese analysiert und überwacht. Dabei sind unter anderem die folgenden Aspekte relevant:

  • Ist eine zentrale Protokollierung notwendig oder können die Protokolldaten lokal gespeichert und ausgewertet werden?
  • Wie sollen bei einer zentralen Protokollierung die Server abgesichert werden?
  • Wo sollte ein zentraler Protokollierungsserver im Netz platziert werden?
  • Welche synchronisierte und exakte Zeitbasis wird von den Protokollmeldungen genutzt?
  • Wie werden Protokollierungsserver sicher außer Betrieb genommen?

Es muss entschieden werden, welche IT -Systeme, Netze und Anwendungen im Sicherheitskonzept für die Protokollierung berücksichtigt werden sollen. Generell sollten alle sicherheitsrelevanten Ereignisse von IT-Systemen wie Servern, Clients, Netzkoppelelementen und Sicherheitsgateways protokolliert und ausgewertet werden, wie in M 4.430 Analyse von Protokolldaten beschrieben ist. Dazu können folgende Fragen sinnvoll sein:

  • Welche Ereignisse sollen von der Protokollierung erfasst werden?
  • Welche Dienste, Anwendungen und welche Hosts werden protokolliert?
  • In welchem Format sollen die Informationen erfasst und verarbeitet werden?

Damit alle Funktionen und Sicherheitsmerkmale der Protokollierung optimal genutzt werden können, ist es wichtig, die Administratoren entsprechend zu schulen, siehe auch M 3.89 Schulung zur Administration der Protokollierung . In den Schulungen sollten Informationen über Einrichtung und Betrieb der Komponenten eines Protokollierungsservers sowie Kenntnisse über die Administration vermittelt werden. Wichtig sind unter anderem die aufgelisteten Punkte:

  • Wer darf zu welchem Zweck auf die Protokollierungsdaten zugreifen?
  • Welche Administrationsaufgaben dürfen bzw. sollen delegiert werden?
  • Welche Schulungen sollen Administratoren in Bezug auf die Protokollierung erhalten?
  • Wie werden die Tätigkeiten der Administratoren überwacht?

Die gesammelten Protokollinformationen können lokal oder an einem zentralen Protokollierungsserver ausgewertet werden. Das wird in M 4.431 Auswahl und Verarbeitung relevanter Informationen für die Protokollierung näher beschrieben. Im Fall der zentralen Analyse müssen die Protokollinformationen über das Netz an einen zentralen Server übertragen werden. Hierbei ist die Kommunikation zwischen den beteiligten IT-Systemen ausreichend abzusichern, siehe M 5.171 Sichere Kommunikation zu einem zentralen Protokollierungsserver . Dazu sollten die folgenden Aspekte beachtet werden:

  • Mit welchen Mechanismen werden Verfügbarkeit, Vertraulichkeit und Integrität der Protokolldaten während der Übertragung geschützt?
  • Können die Protokollierungsdaten über das Datennetz übertragen (In-Band) oder muss dafür ein eigenes Protokollierungs- und Administrationsnetz eingerichtet werden? (Out-of-Band)
  • Gibt es eine ausreichend genaue Zeitbasis, mit der alle Protokollquellen synchronisiert sind?

Treten bestimmte Ereignisse ein oder werden Schwellwerte überschritten, sollte ein Alarm beispielsweise per E-Mail oder SMS ausgelöst werden. Um eine sinnvolle Alarmierung durchführen zu können, ist es beispielsweise wichtig, die Anzahl der Fehlalarme zu reduzieren und die relevanten Personen schnell zu informieren. Nähere Informationen sind in M 6.151 Alarmierungskonzept für die Protokollierung zu finden. Dazu können die folgenden Fragen hilfreich sein:

  • Welche Filtereinstellungen sind notwendig, um die relevanten Informationen in den Protokolldaten zu finden?
  • Wie und wie lange werden Protokolldaten archiviert und entspricht das den Datenschutzbestimmungen?
  • Wie müssen die Schwellwerte eingestellt werden, damit False-Positives (Fehlalarm) und False-Negatives (Vorfall wurde nicht erkannt) vermieden werden?
  • Wie soll auf Alarme reagiert werden?
  • Wie werden die verantwortlichen Personen über Alarme informiert?

Bei der Protokollierung spielt der Datenschutz eine wichtige Rolle, da er zum einen Vorgaben macht, was zu protokollieren ist und zum anderen, was nicht protokolliert werden darf und wie mit den protokollierten Daten umzugehen ist (siehe M 2.110 Datenschutzaspekte bei der Protokollierung ).

Das Sicherheitskonzept zur Protokollierung muss mit dem übergreifenden Sicherheitskonzept der Institution abgestimmt sein. Außerdem ist es regelmäßig zu aktualisieren und an Änderungen der Technik genauso anzupassen wie an Änderungen innerhalb der Institution.

Prüffragen:

  • Wurde das Sicherheitskonzept für die Protokollierung mit dem Sicherheitskonzept der gesamten Institution abgestimmt?

  • Wird das Sicherheitskonzept für die Protokollierung regelmäßig aktualisiert?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK