Bundesamt für Sicherheit in der Informationstechnik

M 2.500 Protokollierung von IT-Systemen

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Sicherheitsrelevante Aktivitäten an informationsverarbeitenden Systemen sollten aus vielen Gründen protokolliert werden. Zum einen hilft eine aktivierte Protokollierung, potenzielle Schwachstellen frühzeitig erkennen und damit beseitigen zu können. Zum anderen kann Protokollierung dabei helfen, Verstöße gegen Sicherheitsvorgaben zu erkennen oder Nachforschungen über einen Sicherheitsvorfall anzustellen. Hierfür werden Ereignisse aufgezeichnet, die auf den zu betrachtenden IT -Systemen auftreten.

Jede Institution sollte generelle Regeln aufstellen, wie bei der Protokollierung von IT-Systemen, Netzen oder Anwendungen vorzugehen ist. Diese sind dann entsprechend auf die spezifischen Systeme anzupassen und umzusetzen. In verschiedenen Bausteinen der IT-Grundschutz-Kataloge zu IT-Systemen, Netzen oder Anwendungen sind vertiefende Informationen darüber zu finden, was bei der Protokollierung auf den jeweiligen IT-Systemen zu beachten ist, beispielsweise in M 4.302 Protokollierung bei Druckern, Kopierern und Multifunktionsgeräten . Umfassend wird das Thema Protokollierung im Baustein B 5.22 Protokollierung beschrieben. Der Baustein betrachtet alle spezifischen Gefährdungen und Maßnahmen, die unabhängig vom eingesetzten Betriebssystem für die Protokollierung und Überwachung relevant sind.

Der Aufwand zur Erstellung und Umsetzung eines solchen Prozesses ist nicht gering. Daher sollte dieser Baustein vor allem bei größeren Informationsverbünden umgesetzt werden und wenn in einem Informationsverbund zentral protokolliert werden soll. Bei kleineren und wenig komplexen Informationsverbünden reicht im Allgemeinen die Umsetzung dieser Maßnahme.

Zunächst sollte ein Protokollierungskonzept für die Institution erstellt werden. Darin wird geregelt, wie, wo und was bei welchem Schutzbedarf protokolliert werden soll. Generell sollte jede Anmeldung unter administrativen Rechten immer zu einem Eintrag im Protokoll führen. Was mit den protokollierten Ereignissen geschehen soll, muss ebenfalls Bestandteil des Konzepts sein und wird in M 4.431 Auswahl und Verarbeitung relevanter Informationen für die Protokollierung beschrieben. Im Folgendem werden Aspekte vorgestellt, die bei der Konzeption berücksichtigt werden sollten.

Zentrale oder lokale Protokollierung

Ziel der Protokollierung ist es, wesentliche Veränderungen an IT-Systemen, Netzen oder Anwendungen nachvollziehen zu können, um deren Sicherheit aufrechterhalten zu können. Hierbei kann zwischen lokaler und zentraler Protokollierung unterschieden werden.

Bei der zentralen Protokollierung werden Protokollinformationen, die von verschiedenen IT-Systemen generiert werden, auf ein dediziertes IT-System übertragen und dort ausgewertet. So lassen sich die zu protokollierenden Ereignisse an einer Stelle auswählen, filtern und auswerten. Dies bietet unter anderem den Vorteil, dass Sicherheitsprobleme und Angriffe auf verschiedene IT-Systeme in Zusammenhang gebracht und so besser erkannt werden können. Die dabei relevanten Aspekte werden in M 3.90 Allgemeine Grundlagen für die zentrale Protokollierung detailliert beschrieben.

Bei einer lokalen Protokollierung verbleiben die zu betrachtenden Ereignisse auf den IT-Systemen, die sie erzeugt haben. Dort werden sie ausgewählt, gefiltert und ausgewertet. Die Alarmierung, wenn ein bestimmtes Ereignis eintritt, erfolgt ebenfalls dezentral von den jeweiligen IT-Systemen aus.

Bei der Planung der Protokollierung ist für die verschiedenen IT-Komponenten zu entscheiden, ob auftretende Ereignisse lokal oder zentral protokolliert werden sollen. Generell wird der Einsatz einer zentralen Protokollierung empfohlen. Aber nicht alle IT-Systeme lassen eine zentrale Protokollierung zu.

Planung der Protokollierung

Je nachdem, ob lokal oder zentral protokolliert wird, können verschiedene Schritte erforderlich sein. Diese müssen im Protokollierungskonzept berücksichtigt werden und umfassen:

  • Identifikation der IT-Systeme
    Es muss entschieden werden, welche IT-Systeme, Netze oder Anwendungen im Protokollierungskonzept berücksichtigt werden sollen. Generell sollten die sicherheitsrelevanten Ereignisse von allen IT-Systemen protokolliert und ausgewertet werden. Hierzu gehören unter anderem:
  • Clients, inklusive mobiler IT-Geräte
  • Server
  • Netzkoppelelemente (Router und Switches)
  • Datenbanken für wichtige Geschäftsprozesse
  • TK -Anlagen und
  • Sicherheitsgateways
    Soll zentral protokolliert werden, müssen die zu protokollierenden IT-Systeme dies unterstützen. Hierfür muss in der Regel ein Agent oder eine andere Applikation auf dem zu protokollierenden IT-System installiert werden. Diese Applikation nimmt die Ereignisse auf den jeweiligen IT-Systemen entgegen und sendet die Daten direkt an den zentralen Protokollierungsserver.
  • Auswahl von sicherheitsrelevanten Ereignissen
    Grundsätzlich sollten alle sicherheitsrelevanten Vorkommnisse innerhalb eines Informationsverbundes protokolliert werden. Auf folgende Ereignisse ist beispielsweise besonders zu achten:
  • abgewiesene Zugriffsversuche auf Benutzer-Kennungen, z. B. wegen falscher Passworteingaben,
  • Sperrung von Benutzer-Kennungen,
  • Anmeldungen von Benutzern oder Administratoren zu ungewöhnlichen Tageszeiten,
  • Ausfall oder Störungen der Hardware,
  • Fehlfunktionen oder Überlastungen der Applikationen, wie z. B. durch fehlenden Speicherplatz oder abgebrochene wichtige Prozesse,
  • Daten zur Netzauslastung und -überlastung,
  • Informations- oder Warnmeldungen von Intrusion Detection Systemen, sowie
  • Zugriffe auf aktive Netzkomponenten (wer hat sich wann angemeldet?).
    Welche Ereignisse insgesamt protokolliert werden sollten, hängt unter anderem vom Schutzbedarf der jeweiligen IT-Systeme ab und muss daher in der Institution vorab abgestimmt und festgelegt werden.
  • Zentralisierung
    Es wird empfohlen, alle protokollierten Daten an einer Stelle zusammenzufassen. Dies können bei einer lokalen Protokollierung einzelne Verzeichnisse sein, damit die Protokolldateien übersichtlich an einer Stelle abgelegt werden und schnell wiedergefunden werden können. Bei einer zentralen Protokollierung sollten die aufgetretenen Ereignisse über einen sicheren Kanal an einen zentralen Server übertragen und anschließend in einer Datenbank gespeichert werden.
  • Normalisierung
    Die zusammengefassten, unterschiedlichen Meldungen können für die spätere Auswertung normalisiert werden, da es keinen einheitlichen Standard für Format und Übertragungsprotokoll gibt. Durch die Normalisierung lassen sich die unterschiedlichen Protokoll-Formate, wie beispielsweise Syslog, MS Eventlog, SNMP , Netflow oder IPFIX aneinander anpassen. Die unterschiedlichen Datenformate werden somit in ein einheitliches Format umgewandelt und können anschließend ausgewertet werden.
  • Filterung
    Durch eine geeignete Filterung der Protokolldaten können je nach Einsatzzweck irrelevante Daten möglichst frühzeitig ausgesondert und somit vom weiteren Verarbeitungsprozess ausgeschlossen werden. Es werden die informativen Inhalte von den sicherheitsrelevanten Meldungen getrennt, danach erfolgen weitere Schritte.
  • Aggregation
    Bei der Aggregation können die protokollierten Ereignisse mit redundantem Inhalt zu einem Datensatz zusammengefasst werden. Oft werden identische Protokollmeldungen mehrmals hintereinander von dem gleichen IT-System erzeugt, daher ist es oft ausreichend, nur das erste Ereignis zu verarbeiten. Treten redundante Ereignisse auf, sollte die Anzahl der aufgetretenen Ereignisse abgespeichert werden, um nachträglich feststellen zu können, wie häufig die identischen Protokollmeldungen auftraten.
  • Kategorisierung und Priorisierung
    Insbesondere bei einer zentralen Protokollierung können die protokollierten Ereignisse kategorisiert und priorisiert werden. Dadurch lässt sich der Informationsgehalt der Meldung noch stärker verfeinern.
  • Korrelation
    Innerhalb eines Informationsverbundes haben die unterschiedlichen IT-Systeme, wie Sicherheitsgateways, Server und Clients, nur eine beschränkte Sicht auf ihre jeweilige Funktion. Um dieses Problem zu beseitigen, können die entsprechenden Protokolldaten korreliert werden. Beispielsweise lassen sich Sicherheitsgateway-Protokolldaten und Router-Protokolleinträge verbinden.
  • Auswertung und Kontrolle
    Nur wenn die protokollierten Ereignisse regelmäßig ausgewertet und kontrolliert werden, können eventuelle Sicherheitslücken, Manipulationsversuche und Unregelmäßigkeiten erkannt werden. Eine Analyse zeigt neben Sicherheitsereignissen und Fehlern auch Informationen über die aktuelle Auslastung an.
    Die Protokollierung sicherheitsrelevanter Ereignisse ist als Sicherheitsmaßnahme nur wirksam, wenn die protokollierten Daten in regelmäßigen Abständen durch einen Revisor ausgewertet werden, also von einer Person, die die jeweiligen Systeme nicht administriert. Ist es personell oder technisch nicht möglich, die Rolle eines unabhängigen Revisors für Protokolldateien zu besetzen, kann ihre Auswertung auch durch einen Administrator erfolgen. Möglichst sollte dies aber nicht der für den Betrieb der jeweiligen Systeme zuständige Administrator sein, da sonst die administrativen Tätigkeiten nur schwer kontrolliert werden können.
    Wenn regelmäßig umfangreiche Protokolldateien ausgewertet werden müssen, ist es sinnvoll, Werkzeuge zur Auswertung, wie beispielsweise grafische Benutzeroberflächen oder Berichtsgeneratoren, zu benutzen. Diese Werkzeuge sollten wählbare Auswertungskriterien zulassen und besonders kritische Einträge (z. B. mehrfache fehlerhafte Anmeldeversuche) hervorheben.
    Vertiefende Informationen zur Auswertung sind in M 2.64 Kontrolle der Protokolldateien zu finden.
  • Alarmierung
    Treten bestimmte, vorher als kritisch festgelegte Ereignisse ein oder werden Schwellwerte überschritten, sollte ein Alarm beispielsweise per E-Mail oder SMS ausgelöst werden. Um eine sinnvolle Alarmierung durchführen zu können, ist es wichtig, die Anzahl der Fehlalarme zu reduzieren. Dazu müssen Schwellwerte realistisch eingestellt und an die Gegebenheiten des Informationsverbundes angepasst werden.
  • Archivierung
    Es ist zu prüfen, welche gesetzlichen oder vertraglichen Aufbewahrungsfristen für Protokolldateien gelten. Um die Nachvollziehbarkeit von Aktionen zu gewährleisten, kann eine Mindestspeicherdauer vorgeschrieben sein, aus Datenschutzgründen kann es auch Löschungspflichten geben (siehe auch M 2.110 Datenschutzaspekte bei der Protokollierung ). Wenn Protokolldaten archiviert werden, sind die Empfehlungen von B 1.12 Archivierung zu berücksichtigen.

Vertraulichkeit und Integrität der protokollierten Ereignisse

Einige Datenquellen generieren Protokollmeldungen, die eine konkrete Zuordnung zu einer Person ermöglichen. Daher sollte gewährleistet werden, dass nur berechtigte Personen die protokollierten Ereignisse einsehen können. Es sollte ebenfalls nicht möglich sein, dass protokollierte Ereignisse von Unbefugten gelöscht oder nachträglich geändert werden können. Dies darf nur Personen vorbehalten sein, die unter einer Rolle wie Revisor angemeldet sind. Wenn technisch möglich, sollte es auch unter Administrator-Rollen nicht möglich sein, die Daten zu löschen oder zu ändern.

Daher muss durch entsprechende Dateisystemrechte der Zugriff durch Unberechtigte verhindert werden. Auch während der Übertragung von Protokolldaten bei einer zentralen Protokollierung sollten die Ereignisse geschützt werden, beispielsweise durch Verschlüsselung oder indem sie über ein eigenes Administrationsnetz (Out-of-Band-Management) übertragen werden. Auf diese Weise wird auch der Schutz der Integrität und Vertraulichkeit der Protokollmeldungen während der Übertragung erhöht.

Bei einem höheren Schutzbedarf ist zu prüfen, ob die protokollierten Ereignisse auf ein WORM-Medium ("Write Once Read Many") geschrieben werden. Diese Datenträger lassen sich nur einmalig beschreiben, eine nachträgliche Änderung der beschriebenen Datenträger ist nicht möglich.

Zeitsynchronisation

Um Angriffe auf IT-Systeme, Netze und Anwendungen oder deren Fehlfunktionen erkennen zu können, sollte auf allen IT-Systemen und virtuellen Instanzen die gleiche Uhrzeit eingestellt sein. Um auch in einem großen Informationsverbund sicherzustellen, dass alle Systeme zeitsynchron sind, ist ein zentraler Zeitserver zu verwenden. Dieser stellt den zentralen Zeittakt zum Beispiel über das Network Time Protokoll (NTP) zur Verfügung (siehe M 4.227 Einsatz eines lokalen NTP-Servers zur Zeitsynchronisation ). Alle weiteren Systeme im Informationsverbund können sich über diesen Zeittakt synchronisieren.

Prüffragen:

  • Gibt es eine Konzeption zur Protokollierung?

  • Sind die protokollierten Ereignisse vor dem Zugriff von Unbefugten geschützt?

Stand: 13. EL Stand 2013