Bundesamt für Sicherheit in der Informationstechnik

M 2.499 Planung der Protokollierung

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, Leiter IT

Auf vielen IT -Systemen innerhalb eines Informationsverbundes werden sicherheitsrelevante Ereignisse protokolliert und dadurch größere Mengen Protokolldaten erzeugt. Diese enthalten wichtige Informationen, die dabei helfen können, Hard- und Softwareprobleme sowie Ressourcenengpässe festzustellen und zu lokalisieren. Des Weiteren werden Protokolldaten auch verwendet, um Sicherheitsprobleme und Angriffe frühzeitig erkennen zu können und dadurch das Niveau der Informationssicherheit zu erhöhen. Um sicher protokollieren zu können, ist ein angemessenes Maß an Planung im Vorfeld notwendig. So sollte ein Protokollierungskonzept erstellt und geklärt werden, ob lokal oder zentral protokolliert werden soll. Darüber hinaus müssen Administration, Einsatz, Frühwarnung und Beweissicherung geregelt werden.

Protokollierungskonzept

In einem Protokollierungskonzept wird geregelt, wie, wo und was bei welchem Schutzbedarf protokolliert werden soll. Darunter fällt auch die Entscheidung, ob lokal oder zentral protokolliert werden und was mit den protokollierten Ereignissen geschehen soll. Das Protokollierungskonzept wird ausführlich in M 2.500 Protokollierung von IT-Systemen beschrieben.

Platzierung im Netz bei zentralem Protokollierungsserver

Die Platzierung des zentralen Protokollierungsservers muss genau durchdacht werden, denn er muss einerseits von sämtlichen IT-Systemen aus erreichbar sein, darf aber keinen unberechtigten Zugriff aus nicht-vertrauenswürdigen Netzen ermöglichen. Ein Beispiel hierfür ist ein Perimeterrouter vor dem Sicherheitsgateway (Firewall), der direkt mit dem Internet verbunden ist und dessen Protokolldaten auch zentral verwaltet werden sollten.

Wichtig für die Platzierung ist, dass keine zusätzlichen Schwachstellen entstehen, wie die Möglichkeit zur Umgehung von Sicherheitskomponenten. Besonders bei erhöhtem Schutzbedarf der Protokolldaten sollten Protokollierungsserver in einem eigenen Protokollierungs- und Administrationsnetz platziert werden. Hierfür benötigt jedes zu protokollierende IT-System einen separaten Anschluss für das Protokollierungs- und Administrationsnetz, beispielsweise eine Netzkarte. Die Protokolldaten sollten in diesem Fall nur über das hierfür bereitgestellte Netz übertragen werden (Netztrennung, Out-of-Band).

Sichere Übertragung bei Einsatz eines zentralen Protokollierungsservers

Wenn Protokolldaten von den einzelnen IT-Systemen an den zentralen Protokollierungsserver übertragen werden, sind besonders die Integrität und die Vertraulichkeit sicherzustellen (siehe dazu auch M 5.171 Sichere Kommunikation zu einem zentralen Protokollierungsserver ). Protokolldaten sollten vor unberechtigtem Zugriff (einsehen, verändern, löschen) zum Beispiel durch Verschlüsselung geschützt werden.

Denkbar sind auch Mechanismen, die die Integrität der Informationen während der Übertragung erhöhen. Ein Beispiel ist die Übermittlung in einem separaten LAN (Netztrennung, Out-of-Band), über das keine weiteren Informationen übermittelt werden und das nicht von unsicheren Netzen aus erreicht werden kann.

Administration

Protokolldaten werden nicht nur für die Fehlersuche und Überwachung, sondern auch für Kontrollen, wie beispielsweise im Rahmen eines Audits, einer Revision oder einer computerforensischen Analyse verwendet. Um die Beweiskraft der Protokollinformationen zu erhalten, müssen sie davor geschützt werden, fahrlässig oder vorsätzlich geändert werden zu können. Darum sollten nur berechtigte Personen auf diese Informationen Zugriff haben.

Für die Systemverwaltung ist ein vertrauenswürdiger Administrator (siehe M 3.10 Auswahl eines vertrauenswürdigen Administrators und Vertreters ) zu wählen. Dies ist besonders bei einem hohen Schutzbedarf der Protokolldaten relevant, da sie personenbezogene Daten enthalten können.

Es ist empfehlenswert auch die Tätigkeiten der Administratoren zu überwachen, insbesondere bei erhöhtem Schutzbedarf. Da in den meisten Fällen bei der Protokollierung auf personenbezogene Daten zugegriffen wird, sollte sichergestellt werden, dass die Sammlung lokaler und zentraler Protokolldaten den Anforderungen des Datenschutzes genügt. So dürfen die Daten nur zur Datenschutzkontrolle, zur Datensicherung und zur Sicherstellung eines ordnungsgemäßen Betriebes nach datenschutzrechtlichen Regelungen (siehe M 2.110 Datenschutzaspekte bei der Protokollierung ) erhoben werden. Das Verfahren der Protokollierung und die Kriterien für deren Auswertung sind in einem Verfahrensverzeichnis zu dokumentieren.

Einsatz

Bereits bei der Planung muss entschieden werden, wozu die Protokolldaten in einem Informationsverbund verwendet werden sollen. In die Erfassung müssen alle Datenquellen einfließen, die für den definierten Einsatzzweck benötigt werden. Zum Beispiel spielen bei der Überwachung eines Informationsverbundes unter anderem die Protokolldaten der folgenden IT-Systeme eine Rolle:

  • Aktive Netzkomponenten (wie z. B. Router, Switche),
  • Betriebssysteme,
  • Applikationen und Dienste (wie Webserver, Mailserver, Fileserver),
  • Sicherheitskomponenten im Netz (wie Firewall, Proxy, IDS),
  • Sicherheitskomponenten auf Hosts (wie Sicherheitsgateways, Virus-Scanner),
  • Physikalische Zutrittssysteme.

Für die umfassende Überwachung des Informationsverbunds können die Protokolldaten dieser Systeme an zentraler Stelle gesammelt werden.

Frühwarnung

Zentral gesammelte Protokolldaten eignen sich hervorragend zur Ergänzung eines Frühwarnsystems. Es ist wichtig, die Daten laufend und möglichst in Echtzeit zuzuführen und regelmäßig auszuwerten. Dazu müssen die Protokolldaten aggregiert und korreliert werden.

Unter Aggregation wird das Zusammenfassen von Protokollmeldungen mit redundantem Inhalt verstanden, doppelte Informationen werden zu einem Eintrag zusammengefasst. Bei der Korrelation werden verschiedene Protokolldaten miteinander verknüpft. Angriffe auf einen Informationsverbund lassen sich oft erst durch die Kombination unterschiedlicher Protokolldaten erkennen. So versuchen Angreifer häufig, ihre Spuren zu verwischen. Werden Protokolldaten aus verschiedenen Quellen miteinander abgeglichen, steigt die Chance, dass der Angreifer nicht alle Einträge, die ihn entlarven könnten, entfernen konnte. Die Daten können nur an zentraler Stelle, wo die verschiedenen Informationen zusammenlaufen, verknüpft und zusammengefasst werden.

Um eine sinnvolle Analyse und darauf aufbauende Frühwarnung zu ermöglichen, muss durch Aggregation und Korrelation erkannt werden, wann die Integrität der Protokolldaten nicht mehr gewährleistet ist. Zusätzlich sollte in dem Frühwarnsystem eine Anomaliekomponente integriert sein, die einen Alarm auslöst, wenn der überwachte Informationsverbund vom Normalzustand abweicht (siehe dazu M 6.151 Alarmierungskonzept für die Protokollierung ).

Beweissicherung

Protokolldaten können in einem Informationsverbund für die Untersuchung von Sicherheitsvorfällen (Computerforensik) verwendet werden. Hierbei werden die Protokollinformationen für die Beweissicherung herangezogen. Bei diesen Untersuchungen wird versucht, anhand der Protokolldateien einen bereits aufgetretenen Sicherheitsvorfall zu rekonstruieren, um den entstandenen Schaden zu ermitteln.

Prüffragen:

  • Wird ein Protokollierungskonzept erstellt?

  • Ist die Integration des Protokollierungsservers in das Netz des Informationsverbundes sorgfältig geplant worden?

  • Ist bei zentraler Protokollierung sichergestellt, dass der Protokollierungsserver von sämtlichen zu protokollierenden IT-Systemen aus erreichbar ist und keine unberechtigten Zugriffsmöglichkeiten bietet?

  • Werden die Protokolldaten von den einzelnen Systemen unter Wahrung der Integrität und Vertraulichkeit an den zentralen Protokollierungsserver übertragen?

  • Werden bei den gesammelten Protokolldaten die Anforderungen des Datenschutzes erfüllt?

  • Werden das Verfahren der Protokollierung und die Kriterien für die Auswertung dokumentiert?

  • Werden die Protokolldaten möglichst in Echtzeit überwacht und regelmäßig ausgewertet?

Stand: 13. EL Stand 2013