Bundesamt für Sicherheit in der Informationstechnik

M 5.9 Protokollierung am Server

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Die am Netz-Server mögliche Protokollierung ist in einem sinnvollen Umfang zu aktivieren. In regelmäßigen Abständen muss der Netzadministrator die Protokolldateien des Netz-Servers überprüfen. Es sollten alle sicherheitsrelevanten Ereignisse protokolliert werden. Dabei sind insbesondere folgende Vorkommnisse von Interesse:

  • falsche Passworteingabe für eine Benutzer-Kennung bis hin zur Sperrung der Benutzer-Kennung bei Erreichen der Fehlversuchsgrenze,
  • Versuche von unberechtigten Zugriffen,
  • Stromausfall,
  • Daten zur Netzauslastung und -überlastung.

Wie viele Ereignisse darüber hinaus protokolliert werden, hängt unter anderem vom Schutzbedarf der jeweiligen IT-Systeme ab. Je höher deren Schutzbedarf ist, desto mehr sollte protokolliert werden.

Da die Protokoll-Dateien mit der Zeit sehr umfangreich werden können, sollten die Auswertungsintervalle so kurz gewählt werden, dass eine sinnvolle Auswertung möglich ist. Um eine sinnvolle Auswertung zu ermöglichen, sollte jeder Protokoll-Eintrag Benutzer-Kennung bzw. Prozessnummer, Kennzeichnung des Endgeräts, Datum und Uhrzeit enthalten.

Es ist zu prüfen, welche gesetzlichen oder vertraglichen Aufbewahrungsfristen für Protokoll-Dateien beachtet werden müssen. Um die Nachvollziehbarkeit von Aktionen zu gewährleisten, kann eine Mindestspeicherdauer vorgeschrieben sein, aus Datenschutzgründen kann es auch eine Löschungspflicht geben (siehe auch M 2.110 Datenschutzaspekte bei der Protokollierung ).

Prüffragen:

  • Ist die Protokollierung am Netz-Server aktiviert?

  • Werden die Protokolldateien regelmäßig vom Netzadministrator ausgewertet?

  • Werden die Auswertungen dokumentiert?

  • Wurden die gesetzlichen oder vertraglichen Aufbewahrungsfristen für Protokolldateien beachtet?

Stand: 13. EL Stand 2013