ISO 27002Kapitel 8.15 Protokollierung

Worum geht es?

Von bestimmten Vorgängen sollten oder müssen Organisationen Kenntnis erhalten. Im Sinne der Aufrechterhaltung einer möglichst störungsfreien IT-Umgebung sollten Fehler, Ausnahmen und andere Ereignisse bekannt werden, damit möglichst noch vorsorglich, jedenfalls aber frühzeitig reagiert werden kann.

In anderen Zusammenhängen muss nachvollziehbar sein, wer der Verursacher einer bestimmten Aktion war. Insbesondere im letzteren Zusammenhang muss die Aufzeichnung, wer was wann getan hat, auch vor Manipulation geschützt werden. Der gesamte Prozess muss grundsätzlich automatisiert laufen.

Organisationen stehen damit vor etlichen Problemen für deren Lösung die Norm ISO 27002 etliche Vorschläge macht.

Was empfiehlt die ISO 27002?

Kapitel 8.15 hält kleinere Maßnahmenbündel bereit. Primär geht es um die Festlegung, welche Ereignisse protokolliert werden sollten und was dabei sinnvollerweise aufgezeichnet wird.

Ereignisse, bei denen eine Protokollierung bedacht werden sollte, sind:

• Zugriffsversuche auf Systeme, Daten oder andere Ressourcen. Hierbei sollten sowohl erfolgreiche Zugriffe aufgezeichnet werden als auch fehlgeschlagene Versuche.
• Veränderungen von Konfigurationen
• Nutzung von erhöhten Rechten
• Verwendung von Dienstprogrammen und Anwendungen
• Zugriff auf Dateien, und zwar mit sämtlichen Details: Wie wurde zugegriffen, wurde nur gelesen oder erfolgten auch Änderungen? Insbesondere muss auch die Löschung von Dateien aufgezeichnet werden.
• Selbstverständlich sind im letztgenannten Zusammenhang auch Transaktionen aufzuzeichnen, also wenn Benutzer eine Funktion verwenden, die möglicherweise gleich eine ganze Kette von Aktionen auslöst und Daten in mehrfacher Hinsicht verarbeitet werden.
• Falls ein Zugriffskontrollsystem Alarm auslöst, muss dieser aufgezeichnet werden.
• Ebenso sollte protokolliert werden, wenn sicherheitsrelevante Systeme oder Funktionen aktiviert oder deaktiviert werden. Hier ausdrücklich Virenschutz und Intrusion Detection Systeme.
• Wenn Identitäten erstellt, verändert oder gelöscht werden, sollte auch dies aufgezeichnet werden.

In allen genannten Fällen muss möglichst eindeutig aufgezeichnet werden, wer der Verursacher einer entsprechenden Aktion war und wann dies geschah. Daher sollte ein Protokoll insgesamt über folgendes Aufschluss geben:

• die ausgelöste Aktion, wie oben bereits beschrieben
• die dabei verwendete Benutzerkennung. Zu beachten ist, dass es sich hierbei sowohl um eine technische Kennung handeln kann als auch um eine solche, die von Personen verwendet wird. Nicht nur in diesem Zusammenhang könnte es also fatal sein, wenn Anmeldeinformationen nicht strikt individuell und vertraulich behandelt, sondern eventuell sogar geteilt und gemeinsam von mehreren Personen genutzt werden. Typisch sind Administratorkennungen oder auch Zugänge, die für externe IT-Dienstleister mit wechselndem Personal eingerichtet werden.
• Welches Gerät von welchem Standort aus verwendet wurde und welche Netzwerkadresse und Netzwerkprotokolle zum Einsatz kamen.
• Schließlich und endlich ist es besonders wichtig, die exakte Zeit festzuhalten. Auch in diesem Zusammenhang ist es daher essenziell, die Systemzeiten der gesamten eigenen IT-Landschaft richtig und synchron zu halten.

Auf Grund der Bedeutung, die Protokolle haben können, müssen diese in mehrfacher Hinsicht geschützt werden.

• Ohne Ausnahme sollte niemand die Möglichkeit haben, eine Protokollierung zu verhindern, zu verändern oder zu löschen. Auch wenn der gleichen im Einzelfall ausnahmsweise möglich ist oder sein soll, müssen entsprechende Aktivitäten ihrerseits ausnahmslos protokolliert werden.
• Es wird also gegebenenfalls schnell notwendig, Protokolle in Echtzeit an Orte zu schreiben, bei denen die sonst privilegierten Berechtigungen wirkungslos sind.
• Auch der Gefahr, dass Protokolle überschrieben werden, weil der Speicherplatz ausgeht, muss begegnet werden. Neben ausreichendem Speicherplatz muss gegebenenfalls daran gedacht werden, annähernd volle Protokolldateien auch wegzuschreiben, bevor sie überschrieben werden.
• Die Authentizität von Protokolldateien sollte abgesichert werden, etwa durch Prüfsummen etc.
• Zum Schutz der Protokolle selbst, aber auch zum Schutz der Personen, auf die sich Aufzeichnungen möglicherweise beziehen, sollten entsprechende Daten vor unbefugten Zugriff geschützt aufbewahrt werden. Auch deren Verschlüsselung kann sinnvoll sein.

Bei der Auswertung von Protokollen sind ebenfalls einige Dinge zu beachten:

• Eine Bemerkung vorweg: Es ist in der Regel völlig utopisch und daher nicht glaubhaft, dass Protokolle bei Bedarf von IT-Verantwortlichen ausgewertet werden. Aufgrund der regelmäßig enthaltenen Masse an Informationen ist es nicht sinnvoll möglich, diese auszuwerten, es sei denn, man weiß vorher ziemlich genau, wonach man sucht. Andernfalls gehen einzelne relevante oder gar kritische Informationen sehr schnell in der Masse an irrelevanter Information unter. Auch kann eine lediglich reaktive Auswertung nicht mehr dazu beitragen, rechtzeitig Störungen zu erkennen, bevor eine echter Sicherheitsvorfall eintritt. Der Einsatz von Werkzeugen, konkret eines SIEM, ist daher nicht nur sinnvoll, sondern oft unvermeidlich, um zuverlässig und schnell die relevanten Informationen in Protokollen zu finden. Auch eine automatische Überwachung und Alarmierung lässt sich ohne solche Lösungen kaum sinnvoll umsetzen.
• Jede Auswertung von Protokollen darf nur durch ausreichend qualifizierte Personen erfolgen. Diesen Personen müssen nicht nur die die relevanten Attribute von Ereignissen bekannt sein, sondern auch die erwünschten bzw. unerwünschten Werte. Was ist normal, was ist ungewöhnlich? Welche Konfiguration entspricht dem Soll und welche nicht?
• Um Hinweise auf möglicherweise sicherheitsrelevante Ereignisse tatsächlich zu erkennen, sollte möglichst auch ein Abgleich mit anderen Informationen bzw. externen Informationsquellen erfolgen. Die allgemeine aktuelle Cyberbedrohungslage sollte bekannt sein und berücksichtigt werden. Und wenn aus der eigenen Umgebung eine Verbindung zu bekanntermaßen bösartigen Servern aufgebaut wird, wäre es sicherlich gut, wenn dies zuverlässig erkannt würde.
• Zum Schutz der Rechte von Betroffenen und gegebenenfalls auch zum Schutz der Organisation sollten gegebenenfalls Protokolle nur auszugsweise oder aber mit entsprechender Maskierung ausgewertet werden. Dies gilt insbesondere, wenn hierbei weitere und gegebenenfalls externe Beteiligte beigezogen werden. In allen Fällen müssen die Rechte von Betroffenen, speziell der Datenschutz, bei der Auswertung Netze gewahrt bleiben.

Fazit

Bei der Protokollierung stehen viele Organisationen oft ganz am Anfang und dies nicht selten hilflos. Typischerweise laufen zwar diverse Logs, die vom entsprechenden Betriebssystem standardmäßig erzeugt werden. Aber schon die simple Anpassung der Dateigröße wird bereits oft übersehen. Die Folge ist beispielsweise, dass im Logfile nur Ereignisse der letzten wenigen Stunden enthalten sind und alles, was auch nur länger als einen halben Tag her ist, bereits überschrieben wurde.

Einen sinnvollen Prozess der Protokollierung aufzubauen, erfordert Fachkenntnis, Erfahrung und gegebenenfalls auch etwas Fantasie. Welche Ereignisse überhaupt aufgezeichnet werden können, welche davon aufgezeichnet werden sollten und welche einzelnen wiederum kritisch sein können und automatisch ausgewertet werden sollten, ist vielfach völlig unbekannt. Auch die Entscheidung, welche Erkenntnisse aufbewahrt bzw. archiviert werden sollten bzw. müssen und welche anderen Informationen dagegen kurzfristig zu löschen sind, fällt vielen nicht leicht.

Unter all diesen Gesichtspunkten hilft es dann auch nicht immer weiter, Geld für eine SIEM Lösung auszugeben, solange niemand in der Lage ist, diese passend auf die eigenen Bedürfnisse und Anforderungen einzurichten.

Organisationen sollten also die Empfehlungen der Norm berücksichtigen und sich gegebenenfalls fachkundige Unterstützung sichern.