Logging-Strategie: Den Schaden im Notfall begrenzen
Die Wahrscheinlichkeit ist – mehr denn je zuvor – hoch, dass die digitale Sicherheit in Unternehmen durch Cyberangriffe regelmäßig auf dem Prüfstand steht. Tritt der Ernstfall ein, hilft eine gute Logging-Infrastruktur möglichst schnell und detailliert Informationen über die Zustände von Systemen und Prozessen zu erhalten – durch eine automatische Protokollierung.
Das Schadensausmaß nach einem erfolgreichen Cyberangriff lässt sich senken, indem präventive Maßnahmen getroffen werden, zum Beispiel durch eine gute Incident Readiness Strategie und entsprechende Härtung. Alle Angriffe lassen sich damit jedoch nicht verhindern. Um nach einem Angriff nicht im Dunklen zu stehen, ist daher eine gute Logging-Strategie wichtig.
Interessant ist aktuell vor allem auch die Einbeziehung von Cloud-Diensten. Hierbei sollte darauf geachtet werden, dass die Sicherheitsfunktionen überhaupt zur Verfügung stehen, zum Beispiel im Rahmen eines Abonnements oder höherwertigeren Lizenzplänen. Das Logging ist eine dieser Sicherheitsfunktionen.
Was passiert beim Logging?
Beim Logging werden System- und Prozessmeldungen sowie Benutzeraktivitäten automatisch protokolliert. Mithilfe dieser Protokolle lässt sich nachvollziehen, was in der Vergangenheit passiert ist. Daher sollten die Protokolle möglichst detailliert sein, sowie ausreichend lange aufbewahrt werden. Je komplexer eine IT-Landschaft ist, desto wichtiger ist es, Informationen schnell und detailliert abrufbar zu haben, damit Fehlerzustände schnell erfasst und analysiert werden können. Hier empfiehlt sich die Nutzung einer zentralen Logging-Lösung, welche die Protokolle unterschiedlichster Systeme (zum Beispiel Firewalls, Server und Cloud-Dienste) zentral an einem Ort speichert. Häufig können solche Lösungen die Daten auch direkt auswerten und bei Fehlern oder Spuren von Angriffen entsprechende Alarme und Meldungen produzieren.
Wer hat wann, welche personenbezogenen Daten, in welcher Weise verarbeitet? Welche Systeme oder Dienste stehen mit einem Ereignis in Verbindung? Vor allem mit Blick auf einen möglichen Fremdzugriff. Wählen sich die Mitarbeiter:innen zum Beispiel immer zu einer bestimmten Zeit und aus bestimmten Ländern ins Unternehmensnetzwerk ein, ist es schon sehr auffällig, wenn Zugriffe plötzlich zu anderen Uhrzeiten und/oder aus anderen Ländern verzeichnet werden. Dabei ist das Betrachten möglichst vieler Protokolldateien aus verschiedenen Systemen wichtig, um mithilfe der Analyseergebnisse sinnvolle Maßnahmen abzuleiten.
Grundlagen
Gem. Art. 32 I lit. c DS-GVO sind die Protokolldaten ein wichtiger Part der technisch-organisatorischen Maßnahmen (TOM) i.S.v. Art. 24 I DS-GVO, mit denen die Verarbeitung gemäß DS-GVO wiederum bewiesen werden kann. Bei einem technischen oder physischen Vorkommnis dienen die TOM zur Wiederherstellung des Zugangs personenbezogener Daten.
Die Protokolldaten in automatisierten Verarbeitungssystemen müssen folgendes beinhalten:
- Erhebung,
- Veränderung,
- Abfrage,
- Offenlegung (einschließlich Übermittlung),
- Kombination und
- Löschung.
Für die Protokolldaten sollten außerdem die DS-GVO-Grundsätze für die Verarbeitung personenbezogener Daten eingehalten werden (Art. 5):
- Rechtmäßigkeit: Die Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden.
- Datensparsamkeit: Die Erhebung von Daten darf nicht „auf Vorrat“ passieren, sondern nur dann, wenn diese Daten wirklich relevant sind.
- Speicherbegrenzung: Die Daten müssen in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist.
- Integrität und Vertraulichkeit: Die Daten müssen gegen unbefugten Zugriff, gegen unrechtmäßige Verarbeitung und gegen unbeabsichtigten Verlust und Schaden sowie gegen unbeabsichtigte Zerstörung geschützt sein. Auch die bewusste Manipulation der Daten muss verhindert werden.
Zur Verhaltens- und Leistungskontrolle der Beschäftigten dürfen die Dateien nicht verwendet werden (§ 31 BDSG).
Cloud-Dienste
Falls Sie Software-as-a-Service (SaaS) Produkte im Einsatz haben, sind Sie meist von Ihrem Cloud-Dienstleister abhängig. Die Logdaten bei Office365 (sogenannte Unified Audit Logs) sind beispielsweise gut nachvollziehbar und geben Aufschluss über die Aktivitäten von Nutzern. Jedoch nur, wenn die Protokolle auch aktiviert sind, was standardmäßig nicht immer der Fall ist. So lässt sich identifizieren, welche Meetings wann stattgefunden haben, wer wann eingeloggt war, wann welche E-Mails versandt oder empfangen und welche Daten hochgeladen, eingesehen oder bearbeitet wurden.
Zusätzlich stehen im Azure Active Directory noch die SignIn- und Audit-Logs zur Verfügung. Diese müssen in größeren Umgebungen öfter per API abgerufen werden, da das Webportal nicht immer alle Daten herausrückt. Auch ist hier die Speicherdauer auf maximal 30, je nach Lizenz sogar nur sieben Tage, begrenzt, was für forensische Analysen nicht ausreicht. Besser ist es daher diese Daten entweder an das oben erwähnte zentrale Logging-System anzubinden oder noch besser Cloud native Logging-Mittel wie Azure Monitor und Log Analytics zu Nutzen. Diese sind bereits integriert und müssen lediglich aktiviert und bezahlt werden.
Empfehlung
In Zusammenarbeit mit der Fachabteilung und dem Informationssicherheitsbeauftragten (ISB) sollte die Protokollierung sicher geplant, aufgebaut und betrieben, sowie alle nötigen Richtlinien und Voraussetzungen schriftlich festgehalten werden. Was soll wo und in welcher Form protokolliert werden? Sind die Richtlinien an alle Verantwortlichen kommuniziert worden? Auch die Logging-Infrastruktur sowie ihre Vorgaben und Richtlinien sollten regelmäßig geprüft und gegebenenfalls angepasst werden. Die Protokolldateien sollten ebenfalls regelmäßig, stichprobenartig und dokumentiert ausgewertet werden – automatisiert sowie anlassbezogen.
Tipps
- Entwickeln einer zentralisierten Logging-Infrastruktur
- Cloud-Dienste sinnvoll involvieren
- Gefährdungslage bei Sicherheitsrichtlinien beachten
- regelmäßige und stichpunktartige Prüfung der Protokollierung
Bildnachweis: ©istockphoto.com/NicoElNino
Kommentare