Bundesamt für Sicherheit in der Informationstechnik

M 2.565 Protokollierung sicherheitsrelevanter Ereignisse bei eingebetteten Systemen

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Grundsätzlich sind sicherheitsrelevante Ereignisse im Betrieb des eingebetteten Systems zu dokumentieren. Die technischen Möglichkeiten dazu können bei unterschiedlichen Arten eingebetteter Systeme und deren Umgebung stark variieren. Mögliche Ausprägungen, Funktionalitäten und Parameter sind:

  • Protokollierung in einen nicht flüchtigen Speicher, kumulativ durch unterschiedliche Prozesse,
  • Datenaufzeichnung in einfachen, formatierten Textdateien, z. B. CSV oder XML ,
  • Aufzeichnung von Prozessdaten über Datenlogger, im Zeittakt, ereignisgesteuert oder bei Änderungen,
  • Strukturierte Speicherung der Ereignisse in einem Datenbanksystem,
  • Echtzeitüberwachung mit Information eines Anwenders und der Möglichkeit einer Interaktion zur Laufzeit,
  • Protokollierung aller oder konfigurierbarer Zustands- und Transitionsänderungen,
  • Variablenablaufverfolgung, z. B. Audit Trails,
  • Statistische Auswertung in Berichtsform oder als grafische Darstellung und
  • Korrelation, Bewertung.

Soweit möglich, sollten bei eingebetteten Systemen zumindest Sicherheitsverstöße protokolliert werden, wie versuchter und durchgeführter unautorisierter Zugang und Zugriff. Insbesondere sind die Aktivitäten von privilegierten Benutzern zu überwachen, wie z. B. Technikern und Administratoren. Dadurch kann zwar der Missbrauch von Rechten nicht verhindert werden, es ist aber die Voraussetzung, um gezielt Schwachstellen zu schließen. Daneben wirkt sich die Protokollierung, zumindest hinsichtlich des Risikos entdeckt zu werden, abschreckend auf potentielle Täter aus.

Ist eine elektronische Protokollierung wegen konzeptioneller Einschränkungen durch die begrenzten Ressourcen nicht oder nur sehr begrenzt realisierbar, sollten organisatorische Regelungen geschaffen werden. Zum einen sollten alle Arbeiten an einem eingebetteten System mit Angaben zu Ort, Zeit, Ausführendem sowie Art und Grund der Tätigkeit in einem Logbuch festgehalten werden. Zum anderen sollten alle Ausfälle, offensichtliche Zugangs- und Zugriffsverletzungen und sonstige Auffälligkeiten im Logbuch dokumentiert werden. Die Einträge sollten regelmäßig und anlassbezogen ausgewertet werden.

Sowohl automatisch erzeugte Protokolle als auch Aufzeichnungen durch das Personal sind gegen unerlaubte nachträgliche Veränderung zu schützen. Nur dezidiert Berechtigte dürfen auf die Protokolle zugreifen können. Soweit technisch möglich, sind Vorkehrungen zu treffen, dass die Protokolldaten auch nicht von privilegierten Nutzern gelöscht oder geändert werden können, z. B. durch Speicherung auf nicht wiederbeschreibbaren Datenträgern oder mittels elektronischer Signatur. Datenträger mit Protokolldaten sind sicher zu verwahren und die beteiligten Personen sind über den korrekten Umgang zu belehren.

Prüffragen:

  • Werden sicherheitsrelevante Ereignisse automatisch protokolliert?

  • Enthalten die Protokolle die benötigten Informationen in geeigneter auswertbarer Darstellung?

  • Können die Protokolle in einem sinnvollem Maße (manuell) ausgewertet werden, sofern die Notwendigkeit besteht?

  • Existieren organisatorische Regelungen zur Protokollierung?

  • Werden die Protokolle in sinnvollem Umfang ausgewertet?

  • Sind die Protokolle gegen unerlaubten Zugriff und Manipulation geschützt?

Stand: 15. EL Stand 2016