Bundesamt für Sicherheit in der Informationstechnik

M 4.81 Audit und Protokollierung der Aktivitäten im Netz

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, Revisor

Eine angemessene Durchführung von Protokollierung, Audit und Revision ist ein wesentlicher Faktor der Netzsicherheit.

Eine Protokollierung innerhalb eines Netzmanagement-Systems oder an bestimmten aktiven Netzkomponenten erlaubt es, gewisse (im Allgemeinen zu definierende) Zustände für eine spätere Auswertung abzuspeichern. Typische Fälle, die protokolliert werden können, sind z. B. die übertragenen fehlerhaften Pakete an einer Netzkomponente, ein unautorisierter Zugriff auf eine Netzkomponente oder die Performance eines Netzes zu bestimmten Zeiten. Eine Auswertung solcher Protokolle mit geeigneten Hilfsmitteln erlaubt beispielsweise einen Rückschluss, ob die Bandbreite des Netzes den derzeitigen Anforderungen genügt, oder die Erkennung von systematischen Angriffen auf das Netz.

Unter einem Audit wird die Verwendung eines Dienstes verstanden, der insbesondere sicherheitskritische Ereignisse betrachtet. Dies kann online oder offline erfolgen. Bei einem Online-Audit werden die Ereignisse mit Hilfe eines Tools (z. B. einem Netzmanagement-System) in Echtzeit betrachtet und ausgewertet. Bei einem Offline-Audit werden die Daten protokolliert oder aus einer bestehenden Protokolldatei extrahiert. Zu den mit Hilfe eines Offline-Audits überwachten Faktoren gehören häufig auch Daten über Nutzungszeiten und angefallene Kosten.

Bei der Revision werden die beim (Offline-) Audit gesammelten Daten von einem oder mehreren unabhängigen Mitarbeitern (Vier-Augen-Prinzip) überprüft, um Unregelmäßigkeiten beim Betrieb der IT-Systeme aufzudecken und die Arbeit der Administratoren zu kontrollieren.

Die mit einem Netzmanagement-System möglichen Protokollierungs- und Audit-Funktionen sind in einem sinnvollen Umfang zu aktivieren. Neben Performance-Messungen zur Überwachung der Netzlast sind dabei insbesondere die Ereignisse (Events) auszuwerten, die von einem Netzmanagement-System generiert werden, oder spezifische Datensammler (z. B. RMON-Probes) einzusetzen, mit denen sicherheitskritische Ereignisse überwacht und ausgewertet werden können.

Bei der Protokollierung fallen zumeist sehr viele Einträge an, sodass diese nur mit Hilfe eines Werkzeuges sinnvoll ausgewertet werden können. Beim Audit liegt die Fokussierung auf der Überwachung von sicherheitskritischen Ereignissen. Zusätzlich werden beim Audit häufig auch Daten über Nutzungszeiträume und anfallende Kosten erhoben.

Dabei sind für ein Audit insbesondere folgende Vorkommnisse von Interesse:

  • Daten über die Betriebsdauer von IT-Systemen (wann wurde welches IT-System ein- bzw. wieder ausgeschaltet?),
  • Zugriffe auf aktive Netzkomponenten (wer hat sich wann angemeldet?),
  • sicherheitskritische Zugriffe auf Netzkomponenten und Netzmanagement-Komponenten mit oder ohne Erfolg,
  • Verteilung der Netzlast über die Betriebsdauer eines Tages oder eines Monats und die allgemeine Performance des Netzes.

Weiterhin sollten folgende Vorkommnisse protokolliert werden:

  • Hardware-Fehlfunktionen, die zu einem Ausfall eines IT-Systems führen können,
  • Unzulässige Änderungen der IP-Adresse eines IT-Systems (in einem TCP/IP-Umfeld).

Ein Audit kann sowohl online als auch offline betrieben werden. Bei einem Online-Audit werden entsprechend kategorisierte Ereignisse direkt dem Auditor mitgeteilt, der ggf. sofort Maßnahmen einleiten kann. Dafür müssen Ereignisse in geeignete Kategorien eingeteilt werden, damit der zuständige Administrator oder Auditor auf wichtige Ereignisse sofort reagieren kann und nicht unter einer Flut von Informationen den Überblick verliert. Ist Rollentrennung notwendig? Bei einem Offline-Audit werden die Daten aus den Protokolldateien oder speziellen Auditdateien mit Hilfe eines Werkzeuges für Auditzwecke aufbereitet und durch den Auditor überprüft. Im letzteren Fall können Maßnahmen zur Einhaltung oder Wiederherstellung der Sicherheit nur zeitverzögert eingeleitet werden. Im Allgemeinen wird eine Mischform aus Online- und Offline-Audit empfohlen. Dabei werden für das Online-Audit die sicherheitskritischen Ereignisse gefiltert und dem Auditor sofort zur Kenntnis gebracht. Zusätzlich werden weniger kritische Ereignisse offline ausgewertet.

Für Protokollierung und Audit können die Standard-Managementprotokolle, wie z. B. SNMP und das darauf aufsetzende RMON, aber auch spezifische Protokolle des eingesetzten Netzmanagement-Produkte verwendet werden.

Auf keinen Fall dürfen Benutzer-Passwörter im Rahmen eines Audits oder einer Protokollierung gesammelt werden! Dadurch wird ein hohes Sicherheitsrisiko erzeugt, falls es zu einem unberechtigten Zugriff auf diese Informationen kommt. Auch falsch eingegebene Passwörter sollten nicht protokolliert werden, da sie sich von den gültigen Passwörtern meist nur um ein Zeichen bzw. um eine Vertauschung zweier Zeichen unterscheiden.

Es muss weiterhin festgelegt werden, wer die Protokolle und Audit-Daten auswertet. Hierbei muss eine angemessene Trennung zwischen Ereignisverursacher und -auswerter (z. B. Administrator und Auditor) vorgenommen werden. Weiterhin ist darauf zu achten, dass die datenschutzrechtlichen Bestimmungen eingehalten werden. Für alle erhobenen Daten ist insbesondere die Zweckbindung nach § 14 BDSG zu beachten.

Die Protokoll- oder Auditdateien müssen regelmäßig ausgewertet werden. Sie können sehr schnell sehr umfangreich werden. Um die Protokoll- oder Auditdateien auf ein auswertbares Maß zu beschränken, sollten die Auswertungsintervalle daher angemessen, aber dennoch so kurz gewählt werden, dass eine sinnvolle Auswertung möglich ist.

Prüffragen:

  • Ist die Protokollierung der Aktivitäten im Netz geregelt, z. B. von definierten Ereignissen und Zuständen innerhalb eines Netzmanagement-Systems oder an bestimmten aktiven Netzkomponenten?

  • Ist die Auditierung und Auswertung von definierten Ereignissen im Netz geregelt?

  • Existieren zur Auswertung von Auditdaten geeignete Werkzeuge?

  • Werden regelmäßig Revisionen im Netz durchgeführt, um Unregelmäßigkeiten beim Betrieb von IT -Systemen und Netzen aufzudecken?

  • Sind die mit einem Netzmanagement-System möglichen Protokollierungs- und Audit-Funktionen in einem sinnvollen Umfang aktiviert?

  • Ist gewährleistet, dass auf sicherheitskritische Ereignisse sofort reagiert wird?

  • Wird verhindert, dass Benutzer-Passwörter im Rahmen von Netz-Audits oder der Protokollierung gesammelt werden?

  • Werden die Datenschutzbestimmungen im Rahmen der Protokollierung und Auditierung im Netz eingehalten?

Stand: 13. EL Stand 2013