M 2.64 Kontrolle der Protokolldateien
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Verantwortliche der einzelnen IT-Anwendungen,
Revisor
Die Protokollierung sicherheitsrelevanter Ereignisse ist als
Sicherheitsmaßnahme nur wirksam, wenn die protokollierten Daten in regelmäßigen
Abständen durch einen Revisor ausgewertet werden. Ist es technisch nicht
möglich, die Rolle eines unabhängigen Revisors für Protokolldateien zu
implementieren, kann ihre Auswertung auch durch den Administrator erfolgen. Für
diesen Fall bleibt zu beachten, daß damit eine Kontrolle der Tätigkeiten des
Administrators nur schwer möglich ist. Das Ergebnis der Auswertung sollte daher
dem IT-Sicherheitsbeauftragten, dem IT-Verantwortlichen oder einem anderen
besonders zu bestimmenden Mitarbeiter vorgelegt werden.
Die regelmäßige Kontrolle dient darüber hinaus auch dem Zweck, durch die
anschließende Löschung der Protokolldaten ein übermäßiges Anwachsen der
Protokolldateien zu verhindern.
Da Protokolldateien in den meisten Fällen personenbezogene Daten beinhalten,
ist sicherzustellen, daß diese Daten nur zum Zweck der Datenschutzkontrolle,
der Datensicherung oder zur Sicherstellung eines ordnungsgemäßen Betriebes
verwendet werden dürfen (vgl. § 14 Abs. 4 BDSG).
Die nachfolgenden Auswertungskriterien dienen als Beispiele, die Hinweise
auf eventuelle Sicherheitslücken, Manipulationsversuche und Unregelmäßigkeiten
erkennen lassen:
- Liegen die Zeiten des An- und Abmeldens außerhalb der Arbeitszeit (Hinweis
auf Manipulationsversuche)?
- Häufen sich fehlerhafte Anmeldeversuche (Hinweis auf den Versuch, Paßwörter
zu erraten)?
- Häufen sich unzulässige Zugriffsversuche (Hinweis auf Versuche zur
Manipulation)?
- Gibt es auffällig große Zeitintervalle, in denen keine Protokolldaten
aufgezeichnet wurden (Hinweis auf eventuell gelöschte Protokollsätze)?
- Ist der Umfang der protokollierten Daten zu groß (eine umfangreiche
Protokolldatei erschwert das Auffinden von Unregelmäßigkeiten)?
- Gibt es auffällig große Zeitintervalle, in denen anscheinend kein
Benutzer-Wechsel stattgefunden hat (Hinweis darauf, daß das konsequente
Abmelden nach Arbeitsende nicht vollzogen wird)?
- Gibt es auffallend lange Verbindungszeiten in öffentliche Netze hinein
(vgl. G 4.25 Nicht getrennte Verbindungen)?
- Wurde in einzelnen Netzsegmenten oder im gesamten Netz eine auffällig hohe
Netzlast oder eine Unterbrechung des Netzbetriebes festgestellt (Hinweis auf
Versuche, die Dienste des Netzes zu verhindern bzw. zu beeinträchtigen oder auf
eine ungeeignete Konzeption bzw. Konfiguration des Netzes)?
Wenn regelmäßig umfangreiche Protokolldateien ausgewertet werden müssen, ist es
sinnvoll, ein Werkzeug zur Auswertung zu benutzen. Dieses Werkzeug sollte
wählbare Auswertungskriterien zulassen und besonders kritische Einträge (z. B.
mehrfacher fehlerhafter Anmeldeversuch) hervorheben.
Ergänzende Kontrollfragen:
- Wer wertet die Protokolldateien aus? Findet das Vier-Augen-Prinzip
Anwendung?
- Können die Aktivitäten des Administrators ausreichend kontrolliert
werden?
- Wird das IT-Sicherheitsmanagement bei Auffälligkeiten unterrichtet?
© Copyright by Bundesamt für Sicherheit in der Informationstechnik 2000
.