Best Practices für das Log-Management - Comprosec.ch
Best Practices für das Log-Management - Comprosec.ch
Best Practices für das Log-Management - Comprosec.ch
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
White paper<br />
<strong>Best</strong> <strong>Practices</strong> <strong>für</strong> <strong>das</strong><br />
<strong>Log</strong>-<strong>Management</strong><br />
Die Grundlage <strong>für</strong> eine umfassende Verwaltung von<br />
Si<strong>ch</strong>erheitsinformationen und -ereignissen
Executive Summary<br />
<strong>Log</strong>-<strong>Management</strong> bezei<strong>ch</strong>net die Erfassung, Analyse (in<br />
E<strong>ch</strong>tzeit oder vergangenheitsbezogen), Spei<strong>ch</strong>erung und<br />
Verwaltung von Protokoll-Daten aus vers<strong>ch</strong>iedenen<br />
Quellen im gesamten Unternehmen. Dies liefert die<br />
Grundlage <strong>für</strong> eine umfassende Verwaltung von<br />
Si<strong>ch</strong>erheitsinformationen und -ereignissen (SIEM).<br />
Unternehmen, die <strong>Best</strong> <strong>Practices</strong> <strong>für</strong> <strong>das</strong> <strong>Log</strong>-<strong>Management</strong><br />
entwickeln, erhalten eine zeitnahe Analyse ihres<br />
Si<strong>ch</strong>erheitsprofils <strong>für</strong> die Si<strong>ch</strong>erheitsabteilungen. Sie<br />
stellen si<strong>ch</strong>er, <strong>das</strong>s Protokolle ausrei<strong>ch</strong>end detailliert über<br />
einen angemessenen Zeitraum gespei<strong>ch</strong>ert werden, um<br />
den Audit- und Compliance-Anforderungen gere<strong>ch</strong>t zu<br />
werden. Darüber hinaus verfügen diese Unternehmen über<br />
zuverlässige Beweise, die au<strong>ch</strong> in re<strong>ch</strong>tli<strong>ch</strong>en Verfahren<br />
<strong>Best</strong>and haben.<br />
Unternehmen stehen vor zahlrei<strong>ch</strong>en Herausforderungen,<br />
dur<strong>ch</strong> die <strong>Best</strong> <strong>Practices</strong> im <strong>Log</strong>-<strong>Management</strong> als Teil der<br />
IT-Si<strong>ch</strong>erheitsstrategie <strong>für</strong> <strong>das</strong> gesamte Unternehmen<br />
immer mehr Bedeutung erhalten. Dazu zählen die<br />
Steuerung der enormen Datenmengen, die von immer<br />
mehr Systemen generiert werden, die steigenden<br />
Anforderungen der modernen, dur<strong>ch</strong> Gesetze und<br />
Inhalt<br />
Definition von <strong>Log</strong>-<strong>Management</strong> Seite 1<br />
Bedeutung von Protokollen <strong>für</strong> Si<strong>ch</strong>erheit und Compliance Seite 1<br />
<strong>Log</strong>-<strong>Management</strong> als Lösung <strong>für</strong> Herausforderungen Seite 1<br />
Der Ges<strong>ch</strong>äftswert von <strong>Best</strong> <strong>Practices</strong> im <strong>Log</strong>-<strong>Management</strong> Seite 3<br />
Vors<strong>ch</strong>läge <strong>für</strong> die <strong>Best</strong> <strong>Practices</strong> in Ihrem Unternehmen Seite 4<br />
Empfohlene <strong>Best</strong> <strong>Practices</strong> Seite 5<br />
I. Ri<strong>ch</strong>tlinien, Verfahren und Te<strong>ch</strong>nologien <strong>für</strong> Protokolle Seite 5<br />
II. Erstellung und Erfassung von Protokollen Seite 6<br />
III. Aufbewahrung und Spei<strong>ch</strong>erung von Protokollen Seite 7<br />
IV. Protokollanalyse Seite 10<br />
V. S<strong>ch</strong>utz und Si<strong>ch</strong>erheit von Protokollen Seite 11<br />
Lösungen <strong>für</strong> die Implementierung von <strong>Best</strong> <strong>Practices</strong> Seite 12<br />
Anhänge<br />
Anhang 1 – Quellen und Inhalte von Protokollen Seite 13<br />
Anhang 2 – Compliance-Anforderungen <strong>für</strong> <strong>das</strong> <strong>Log</strong>-<strong>Management</strong> Seite 14<br />
Ri<strong>ch</strong>tlinien bestimmten Umgebung und die immer<br />
ausgereifteren Angriffe auf Unternehmensnetzwerke.<br />
Dur<strong>ch</strong> <strong>Best</strong> <strong>Practices</strong> im <strong>Log</strong>-<strong>Management</strong> können IT-<br />
Führungskräfte einen deutli<strong>ch</strong>en Mehrwert <strong>für</strong> ihr<br />
Unternehmen s<strong>ch</strong>affen, da die Kosten sinken, während die<br />
Effizienz in Berei<strong>ch</strong>en wie Compliance, Risikomanagement,<br />
Re<strong>ch</strong>t, Forensik oder Spei<strong>ch</strong>erung und im laufenden Betrieb<br />
steigt. Als Basis <strong>für</strong> <strong>Best</strong> <strong>Practices</strong> im <strong>Log</strong>-<strong>Management</strong><br />
empfehlen si<strong>ch</strong> die Anforderungen der geltenden<br />
Ri<strong>ch</strong>tlinien und Standards sowie re<strong>ch</strong>tli<strong>ch</strong>e Beratung,<br />
ges<strong>ch</strong>äftli<strong>ch</strong>e und operative Ziele und Risikoanalysen.<br />
<strong>Best</strong> <strong>Practices</strong> sollten zwar von jedem Unternehmen auf<br />
Basis der jeweiligen Umgebung individuell entwickelt<br />
werden, aber es gibt au<strong>ch</strong> einige allgemeine<br />
Vorgehensweisen, die si<strong>ch</strong> universell anwenden lassen.<br />
Dieses Whitepaper soll Unternehmen bei der Entwicklung<br />
eigener umfassender <strong>Best</strong> <strong>Practices</strong> unterstützen. Es zeigt<br />
40 empfohlene <strong>Best</strong> <strong>Practices</strong> <strong>für</strong> folgende<br />
Protokollaspekte: Ri<strong>ch</strong>tlinien, Verfahren und Te<strong>ch</strong>nologien,<br />
Generierung und Erfassung, Aufbewahrung und<br />
Spei<strong>ch</strong>erung, Analyse sowie S<strong>ch</strong>utz und Si<strong>ch</strong>erheit.
Definition von <strong>Log</strong>-<strong>Management</strong><br />
In einem Protokoll werden die Ereignisse oder Aktivitäten aus den<br />
Systemen oder Netzwerken eines Unternehmens aufgezei<strong>ch</strong>net.<br />
Beispiele: eine Firewall gewährt oder verweigert den Zugriff auf<br />
eine Netzwerkressource, ein Administrator ändert die<br />
Konfiguration des Betriebssystems, ein System wird beendet oder<br />
gestartet, ein Benutzer meldet si<strong>ch</strong> an einer Anwendung an, oder<br />
eine Anwendung gewährt oder verweigert den Zugriff auf eine<br />
Datei. Weitere Beispiele <strong>für</strong> Ereignisse oder Aktivitäten finden Sie<br />
in Anhang 1 „Quellen und Inhalte von Protokollen“.<br />
<strong>Log</strong>-<strong>Management</strong> bezei<strong>ch</strong>net die Erfassung, Analyse (in E<strong>ch</strong>tzeit<br />
oder vergangenheitsbezogen), Spei<strong>ch</strong>erung und Verwaltung von<br />
Protokollen aus vers<strong>ch</strong>iedenen Quellen im gesamten<br />
Unternehmen, darunter Si<strong>ch</strong>erheitssysteme, Netzwerkgeräte,<br />
Betriebssysteme und Anwendungen.<br />
<strong>Log</strong>-<strong>Management</strong> liefert die Grundlage <strong>für</strong> eine umfassende<br />
Verwaltung von Si<strong>ch</strong>erheitsinformationen und -ereignissen<br />
(SIEM), die folgenden Zwecken dient:<br />
– Erkennung und Abwehr von Bedrohungen in E<strong>ch</strong>tzeit<br />
– Vorfallsuntersu<strong>ch</strong>ungen und Forensik<br />
– Einhaltung von Vors<strong>ch</strong>riften und Standards<br />
– Kapazitätsplanung, Leistung und Betriebszeit<br />
– Beweise <strong>für</strong> Geri<strong>ch</strong>tsverfahren<br />
– Erkennung und Vermeidung von IP-Diebstahl<br />
– Behebung von System- und Netzwerkproblemen<br />
– Überprüfung und Dur<strong>ch</strong>setzung von IT-Si<strong>ch</strong>erheitsri<strong>ch</strong>tlinien<br />
Bedeutung von Protokollen <strong>für</strong> Si<strong>ch</strong>erheit und Compliance<br />
Ohne eine ausrei<strong>ch</strong>ende Zusammenstellung, regelmäßige Prüfung<br />
und langfristige Aufbewahrung von Protokollen kann Ihr<br />
Unternehmen keine Compliance mit gesetzli<strong>ch</strong>en Vorgaben<br />
errei<strong>ch</strong>en und seine wertvollen Informationen ni<strong>ch</strong>t ri<strong>ch</strong>tig<br />
s<strong>ch</strong>ützen. Protokolle stellen eine Mögli<strong>ch</strong>keit <strong>für</strong> die Überwa<strong>ch</strong>ung<br />
von Systemen dar und zei<strong>ch</strong>nen Si<strong>ch</strong>erheitsereignisse,<br />
Informationszugriffe und Benutzeraktivitäten auf.<br />
Die moderne, dur<strong>ch</strong> Gesetze und Ri<strong>ch</strong>tlinien geprägte Umgebung<br />
und eine neue Generation immer ausgereifterer Angriffe ma<strong>ch</strong>en<br />
<strong>das</strong> <strong>Log</strong>-<strong>Management</strong> zu einer immer bedeutenderen Komponente<br />
Ihrer IT-Si<strong>ch</strong>erheitsstrategie. Das <strong>Log</strong>-<strong>Management</strong> versetzt Sie in<br />
die Lage, ni<strong>ch</strong>t autorisierte Aktivitäten in E<strong>ch</strong>tzeit zu erkennen und<br />
si<strong>ch</strong>erzustellen, <strong>das</strong>s protokollierte Daten <strong>für</strong> Audits und<br />
re<strong>ch</strong>tli<strong>ch</strong>e Untersu<strong>ch</strong>ungen zur Verfügung stehen und über ihren<br />
gesamten Lebenszyklus hinweg gespei<strong>ch</strong>ert werden.<br />
Das fehlende <strong>Log</strong>-<strong>Management</strong> ist eine der Hauptursa<strong>ch</strong>en,<br />
warum Unternehmen die Vorgaben von Compliance-Audits ni<strong>ch</strong>t<br />
einhalten können. Sarbanes-Oxley-Auditoren nennen z.B. die<br />
unzulängli<strong>ch</strong>e Prüfung von Audit-Protokollen als einen der fünf<br />
häufigsten S<strong>ch</strong>wa<strong>ch</strong>punkte der IT-Kontrolle. Unzurei<strong>ch</strong>ende<br />
Protokollierung ist na<strong>ch</strong> Aussage von PCI-Auditoren au<strong>ch</strong> eine der<br />
drei ersten Ursa<strong>ch</strong>en der Ni<strong>ch</strong>teinhaltung des Payment Card<br />
Industry Data Security Standard (PCI DSS).<br />
Mangelnde Kompetenz beim <strong>Log</strong>-<strong>Management</strong> zählt au<strong>ch</strong> zu den<br />
Hauptursa<strong>ch</strong>en <strong>für</strong> die Gefährdung von Daten. Forensis<strong>ch</strong>e<br />
Untersu<strong>ch</strong>ungen von MasterCard zeigen beispielsweise, <strong>das</strong>s eine<br />
fehlende Si<strong>ch</strong>erheitsüberwa<strong>ch</strong>ung in E<strong>ch</strong>tzeit einer der fünf<br />
wi<strong>ch</strong>tigsten Gründe <strong>für</strong> Hacker-Angriffe auf Handelsunternehmen<br />
ist. Untersu<strong>ch</strong>ungen der US-amerikanis<strong>ch</strong>en Handelsaufsi<strong>ch</strong>t<br />
Federal Trade Commission (FTC) bei bereits vom Datenmissbrau<strong>ch</strong><br />
betroffenen Unternehmen haben gezeigt, <strong>das</strong>s fehlende<br />
Maßnahmen zur Erkennung von ni<strong>ch</strong>t autorisierten Zugriffen eine<br />
der Hauptursa<strong>ch</strong>en <strong>für</strong> diesen Missbrau<strong>ch</strong> waren.<br />
Ohne ein geeignetes <strong>Log</strong>-<strong>Management</strong> können Unternehmen<br />
aufgetretene Si<strong>ch</strong>erheitsverletzungen nur s<strong>ch</strong>wer untersu<strong>ch</strong>en<br />
und si<strong>ch</strong> von den Folgen erholen. Datenmissbrau<strong>ch</strong> im großen Stil<br />
war in den vergangenen Jahren oft in den S<strong>ch</strong>lagzeilen. In vielen<br />
Fällen haben die betroffenen Unternehmen ni<strong>ch</strong>t alle Protokolle<br />
aufbewahrt, die bis zum Zeitpunkt des ersten Eindringens in <strong>das</strong><br />
Unternehmensnetzwerk zurückrei<strong>ch</strong>en. Dadur<strong>ch</strong> war es nahezu<br />
unmögli<strong>ch</strong>, die genaue Vorgehensweise des Angriffs zu<br />
bestimmen.<br />
Gesetzli<strong>ch</strong>e Vorgaben haben inzwis<strong>ch</strong>en dazu geführt, <strong>das</strong>s<br />
Aufbewahrungsfristen verlängert wurden. Um beispielsweise die<br />
Integrität von Finanzdaten belegen zu können, verlangen<br />
gesetz li<strong>ch</strong>e Vors<strong>ch</strong>riften von Unternehmen die Aufbewahrung von<br />
Audit-Protokollen über viele Jahre. Ri<strong>ch</strong>tlinien zum Datens<strong>ch</strong>utz<br />
sehen die jahrelange Aufbewahrung von Zugriffsprotokollen vor,<br />
um die Offenlegung persönli<strong>ch</strong>er Informationen na<strong>ch</strong>weisen zu<br />
können.<br />
Unternehmen, die <strong>Best</strong> <strong>Practices</strong> im <strong>Log</strong>-<strong>Management</strong> entwickeln,<br />
erhalten eine zeitnahe Analyse ihres Si<strong>ch</strong>erheitsprofils <strong>für</strong> die<br />
Si<strong>ch</strong>erheitsabteilungen. Sie stellen si<strong>ch</strong>er, <strong>das</strong>s Protokolle<br />
ausrei<strong>ch</strong>end detailliert über einen angemessenen Zeitraum<br />
gespei<strong>ch</strong>ert werden, um Audit- und Compliance-Anforderungen<br />
gere<strong>ch</strong>t zu werden, und verfügen über zuverlässige Beweise zur<br />
Verwendung in re<strong>ch</strong>tli<strong>ch</strong>en Untersu<strong>ch</strong>ungen.<br />
<strong>Log</strong>-<strong>Management</strong> als Lösung <strong>für</strong> Herausforderungen<br />
Unternehmen stehen vor zahlrei<strong>ch</strong>en Herausforderungen,<br />
dur<strong>ch</strong> die <strong>Best</strong> <strong>Practices</strong> im <strong>Log</strong>-<strong>Management</strong> als Teil der<br />
IT-Si<strong>ch</strong>er heitsstrategie <strong>für</strong> <strong>das</strong> gesamte Unternehmen immer<br />
mehr Bedeutung erhalten.<br />
RSA White Paper 1
1. Vielzahl unters<strong>ch</strong>iedli<strong>ch</strong>er Systeme <strong>für</strong> die Protokollerstellung<br />
In den vergangenen Jahren haben Unternehmen als Antwort auf<br />
zunehmende Si<strong>ch</strong>erheitsbedrohungen zahlrei<strong>ch</strong>e<br />
Si<strong>ch</strong>erheitssysteme entwickelt, darunter Systeme zur Erkennung<br />
von Eindringlingen, Pat<strong>ch</strong>-<strong>Management</strong>- und Antiviren-Systeme.<br />
Im Zuge der wa<strong>ch</strong>senden Automatisierung von<br />
Ges<strong>ch</strong>äftsprozessen besteht die Unternehmensumgebung aus<br />
immer mehr Netzwerkgeräten, Servern, Spei<strong>ch</strong>er-Subsystemen<br />
und Anwendungen. Die Folge sind immer größere und<br />
komplexere, unters<strong>ch</strong>iedli<strong>ch</strong>e Systeme, die ebenso vielfältige<br />
Protokolle erstellen. Siehe Anhang 1 „Quellen und Inhalte von<br />
Protokollen“.<br />
Bei so vielen unters<strong>ch</strong>iedli<strong>ch</strong>en Protokollquellen ist es s<strong>ch</strong>wierig,<br />
den Überblick zu behalten. Es erweist si<strong>ch</strong> als Herausforderung,<br />
<strong>das</strong> gesamte Si<strong>ch</strong>erheitsprofil zu bestimmen oder ein vollständi -<br />
ges Bild über Informationszugriff und Benutzeraktivitäten zu<br />
erlangen. So müssen Auditoren mögli<strong>ch</strong>erweise stapelweise<br />
Ausdrucke aus vielen vers<strong>ch</strong>iedenen Systemen lesen, um<br />
na<strong>ch</strong>zuweisen, <strong>das</strong>s nur autorisierte Benutzer auf ges<strong>ch</strong>ützte<br />
Informationen zugreifen. Aufgrund dieser Tätigkeiten werden<br />
Audits zu einer kostspieligen Angelegenheit.<br />
Ohne geeignete Aufbewahrungsri<strong>ch</strong>tlinien werden Protokolle aus<br />
so vielen vers<strong>ch</strong>iedenen Quellen wahrs<strong>ch</strong>einli<strong>ch</strong> ni<strong>ch</strong>t korrekt<br />
gespei<strong>ch</strong>ert. Oder aber es werden unwi<strong>ch</strong>tige Protokolle aus<br />
einigen Quellen gespei<strong>ch</strong>ert, während wi<strong>ch</strong>tige Aufzei<strong>ch</strong>nungen<br />
aus anderen Quellen überhaupt ni<strong>ch</strong>t gesi<strong>ch</strong>ert werden.<br />
2. Datenvolumen von Protokollen<br />
Global 2000-Unternehmen generieren monatli<strong>ch</strong> mindestens<br />
10 TB allein an Protokollen. Bei diesen Datenmengen ist es ni<strong>ch</strong>t<br />
verwunderli<strong>ch</strong>, <strong>das</strong>s viele Unternehmen die gespei<strong>ch</strong>erten<br />
Protokolle ni<strong>ch</strong>t analysieren, da diese Aufgabe einfa<strong>ch</strong> zu<br />
s<strong>ch</strong>wierig wäre. Selbst wenn Vorgehensweisen zur Prüfung der<br />
Protokolle vorhanden sind, werden sie oftmals ni<strong>ch</strong>t zuverlässig<br />
genug eingehalten, da die manuelle Bearbeitung so vieler<br />
Protokolle sehr mühsam ist. Daher müssen Unternehmen eigene<br />
<strong>Best</strong> <strong>Practices</strong> <strong>für</strong> die Analyse und Beri<strong>ch</strong>terstellung entwickeln,<br />
um diese wi<strong>ch</strong>tigen Informationen sinnvoll zu nutzen. Darüber<br />
hinaus ist es wi<strong>ch</strong>tig, Strategien <strong>für</strong> die Aufbewahrung bzw. <strong>das</strong><br />
Abrufen zu bestimmen. So können Auditoren und<br />
Untersu<strong>ch</strong>ungsbeamte aus riesigen Datenbeständen einfa<strong>ch</strong> die<br />
benötigten Informationen herausfiltern.<br />
3. Immer neue Bedrohungen<br />
Die heutigen Bedrohungen sind ni<strong>ch</strong>t einfa<strong>ch</strong> nur lästige Angriffe<br />
wie z.B. der I LOVE YOU-Virus oder Denial-of-Service-Angriffe. Sie<br />
sind sehr zielgeri<strong>ch</strong>tet und ausgereift und werden von<br />
organisierten Verbre<strong>ch</strong>ern auf bestimmte wertvolle Informationen<br />
über längere Zeiträume ausgeübt. In einem aktuellen,<br />
ho<strong>ch</strong>karätigen Fall waren die Systeme eines großen Händlers über<br />
18 Monate hinweg unbemerkt von Eindringlingen betroffen.<br />
2<br />
RSA White Paper<br />
Diese Umgebung verlangt na<strong>ch</strong> effizienter Überwa<strong>ch</strong>ung in<br />
E<strong>ch</strong>tzeit, um Eindringlinge besser erkennen zu können, sowie<br />
na<strong>ch</strong> detaillierten Protokollinformationen, die im Falle einer<br />
Si<strong>ch</strong>erheitsverletzung eine wi<strong>ch</strong>tige Rolle spielen. Diese<br />
Protokolle müssen über einen Zeitraum von mehreren Monaten<br />
oder gar Jahren zurückrei<strong>ch</strong>en, um Beweise zusammenzustellen.<br />
Im Zuge der neuen Entwicklungen muss die Aufbewahrungsdauer<br />
von Protokollen in Unternehmen unbedingt angepasst werden.<br />
Protokolldaten müssen vollständig und jederzeit abrufbar sein,<br />
um bei der Untersu<strong>ch</strong>ung von Si<strong>ch</strong>erheitsverletzungen von Nutzen<br />
zu sein.<br />
4. Strengere gesetzli<strong>ch</strong>e Vors<strong>ch</strong>riften<br />
In den letzten Jahren gab es weltweit eine Flut an Ri<strong>ch</strong>tlinien und<br />
Gesetzen, die den S<strong>ch</strong>utz von Informationen vors<strong>ch</strong>reiben.<br />
Unternehmen sind nun re<strong>ch</strong>tli<strong>ch</strong> verpfli<strong>ch</strong>tet, Informationen zu<br />
s<strong>ch</strong>ützen, und müssen belegen, <strong>das</strong>s ihre Si<strong>ch</strong>erheitsmaßnahmen<br />
dazu geeignet sind.<br />
Die Protokollierung erfüllt im Hinblick auf Compliance zwei<br />
Funktionen. Sie ist ein zentrales Standbein jedes<br />
Si<strong>ch</strong>erheitsprogramms und daher <strong>für</strong> den S<strong>ch</strong>utz von<br />
Informationen unabdingbar. Wenn Unternehmen ihren re<strong>ch</strong>tli<strong>ch</strong>en<br />
Verpfli<strong>ch</strong>tungen zum S<strong>ch</strong>utz von Informationen na<strong>ch</strong>kommen<br />
mö<strong>ch</strong>ten, darf die Protokollierung ni<strong>ch</strong>t deaktiviert werden bzw.<br />
müssen alle Protokolle einer eingehenden Prüfung unterzogen<br />
werden.<br />
Des Weiteren stellen Protokolle <strong>das</strong> wi<strong>ch</strong>tigste Beweismittel <strong>für</strong><br />
Compliance und Ri<strong>ch</strong>tlinienkonformität dar. Ohne Protokolle ist<br />
die Beantwortung der Fragen, ob Finanzdaten ohne geeignete<br />
Autorisierung geändert oder Patientendaten ohne Genehmigung<br />
veröffentli<strong>ch</strong>t wurden bzw. ob der Zugriff auf Karteninhaberdaten<br />
nur Personen gewährt wurde, die ihn aus Ges<strong>ch</strong>äftsgründen<br />
benötigen, s<strong>ch</strong>wierig, wenn ni<strong>ch</strong>t gar unmögli<strong>ch</strong>.<br />
In der neuen, dur<strong>ch</strong> Ri<strong>ch</strong>tlinien geprägten Umgebung gelten <strong>für</strong><br />
die meisten Unternehmen zahlrei<strong>ch</strong>e Vorgaben aus mehreren<br />
Berei<strong>ch</strong>en. Darüber hinaus gibt es regelmäßig interne oder<br />
unabhängige Audits der Informationssysteme, um die Eignung der<br />
Si<strong>ch</strong>erheitsmaßnahmen zu prüfen. Protokolle müssen ausrei<strong>ch</strong>end<br />
detailliert zusammengestellt werden, um eine Überprüfung zu<br />
ermögli<strong>ch</strong>en. Außerdem müssen sie dem Auditor jederzeit zu<br />
Prüfungszwecken zur Verfügung gestellt werden können.<br />
Ist ein Audit abges<strong>ch</strong>lossen, muss <strong>das</strong> Unternehmen bestimmte<br />
Protokolle oft über Jahre hinweg aufbewahren <strong>für</strong> den Fall, <strong>das</strong>s<br />
diese Protokolle von Regulierungsbehörden oder Geri<strong>ch</strong>ten als<br />
Beweismittel angefordert werden. Anforderungen an die<br />
Aufbewahrung von Protokollen sind nun dur<strong>ch</strong> die Notwendigkeit<br />
geprägt, die ri<strong>ch</strong>tigen Informationen parat zu halten, um Audit-<br />
Zyklen zu entspre<strong>ch</strong>en. Ans<strong>ch</strong>ließend erfolgt die langfristige<br />
Aufbewahrung, mit der die re<strong>ch</strong>tli<strong>ch</strong>en Anforderungen an die<br />
Datenar<strong>ch</strong>ivierung erfüllt werden.
5. Wa<strong>ch</strong>sende Anzahl an Beteiligten<br />
Längst benötigen ni<strong>ch</strong>t mehr nur Si<strong>ch</strong>erheits- und Netzwerk -<br />
abteilungen die Informationen aus Protokolldaten. Au<strong>ch</strong> andere<br />
Gruppen im gesamten Unternehmen müssen darauf zugreifen,<br />
z.B. die Personal- und Re<strong>ch</strong>tsabteilung, die interne Auditierung,<br />
die Finanzabteilung, <strong>das</strong> Engineering, der Kundenservice sowie<br />
Vertrieb und Marketing. Die Personalabteilung benötigt die Daten<br />
beispielsweise <strong>für</strong> die Bearbeitung von Problemen mit Mitarbei -<br />
tern, um ggf. erhobene Vorwürfe von Fehlverhalten der Ange -<br />
stellten au<strong>ch</strong> belegen zu können. Die Re<strong>ch</strong>tsabteilung, interne<br />
Auditierung und Finanzabteilung verwenden diese Informationen<br />
<strong>für</strong> Compliance-Initiativen. <strong>Best</strong> <strong>Practices</strong> <strong>für</strong> <strong>das</strong> <strong>Log</strong>-Manage -<br />
ment sollten allen Beteiligten im Unternehmen einen si<strong>ch</strong>eren,<br />
ras<strong>ch</strong>en und zuverlässigen Zugang zu den benötigten<br />
Informationen ermögli<strong>ch</strong>en.<br />
6. Unwägbarkeiten künftiger Re<strong>ch</strong>tsvors<strong>ch</strong>riften<br />
Weltweit nimmt die Zahl der re<strong>ch</strong>tli<strong>ch</strong>en Vorgaben zu. In den USA<br />
wird z.B. eine umfassende Gesetzgebung zum Datens<strong>ch</strong>utz disku -<br />
tiert, andere Länder wie Indien und China prüfen die Einführung<br />
neuer Gesetze. Es lässt si<strong>ch</strong> keine Aussage treffen, wel<strong>ch</strong>e<br />
Protokolle in Zukunft erforderli<strong>ch</strong> sein werden, um Re<strong>ch</strong>tssi<strong>ch</strong>er -<br />
heit zu erlangen. Re<strong>ch</strong>tsstreitigkeiten aufgrund von Si<strong>ch</strong>erheitsund<br />
Datens<strong>ch</strong>utzverletzungen gibt es bereits. Prognosen zufolge<br />
werden sol<strong>ch</strong>e Verletzungen eine neue Welle an Sammelklagen<br />
auslösen. Befindet si<strong>ch</strong> ein Unternehmen aufgrund einer<br />
Si<strong>ch</strong>erheitsverletzung im Prozess, muss es mögli<strong>ch</strong>erweise<br />
Beweismaterial über den Zugriff auf Informationen vorlegen.<br />
Ein weiterer Trend, der <strong>für</strong> Unsi<strong>ch</strong>erheit sorgt, ist die zunehmende<br />
Anzahl an Ges<strong>ch</strong>äftspartnerverträgen mit bestimmten Regelungen<br />
zur Informationssi<strong>ch</strong>erheit, eins<strong>ch</strong>ließli<strong>ch</strong> des Re<strong>ch</strong>ts auf<br />
Auditierung. Es lässt si<strong>ch</strong> nur s<strong>ch</strong>wer voraussagen, wel<strong>ch</strong>e<br />
Protokolle ein Ges<strong>ch</strong>äftspartner im Rahmen eines Si<strong>ch</strong>erheits-<br />
Audits anfordern könnte. Daher müssen Unternehmen <strong>Best</strong><br />
<strong>Practices</strong> <strong>für</strong> <strong>das</strong> <strong>Log</strong>-<strong>Management</strong> entwickeln, die auf diese<br />
Unwägbarkeiten (wel<strong>ch</strong>e Protokolle sind zu wel<strong>ch</strong>em Zeitpunkt<br />
erforderli<strong>ch</strong>) vorbereitet sind.<br />
Der Ges<strong>ch</strong>äftswert von <strong>Best</strong> <strong>Practices</strong> <strong>für</strong> <strong>das</strong> <strong>Log</strong>-<br />
<strong>Management</strong><br />
Die meisten Unternehmen haben no<strong>ch</strong> keine <strong>Best</strong> <strong>Practices</strong> <strong>für</strong><br />
<strong>das</strong> <strong>Log</strong>-<strong>Management</strong> entwickelt und implementiert. Da diese<br />
Funktionalität jedo<strong>ch</strong> immer mehr an Bedeutung gewinnt, rückt<br />
sie bei zahlrei<strong>ch</strong>en CIOs und CISOs auf der Tagesordnung weiter<br />
na<strong>ch</strong> oben. Einer kürzli<strong>ch</strong> vom Bran<strong>ch</strong>enanalysten ThelnfoPro<br />
dur<strong>ch</strong>geführten Studie zufolge zählt die Verwaltung von<br />
Si<strong>ch</strong>erheitsinformationen und -ereignissen <strong>für</strong> Fortune 1000-<br />
Unternehmen mittlerweile zu den Top 5-Projekten <strong>für</strong><br />
Informationssi<strong>ch</strong>erheit.<br />
Dur<strong>ch</strong> die Einri<strong>ch</strong>tung von <strong>Best</strong> <strong>Practices</strong> <strong>für</strong> <strong>das</strong> <strong>Log</strong>-<strong>Management</strong><br />
können IT-Führungskräfte einen deutli<strong>ch</strong>en Mehrwert <strong>für</strong> ihr<br />
Unternehmen in folgenden Berei<strong>ch</strong>en s<strong>ch</strong>affen:<br />
Compliance<br />
– Dur<strong>ch</strong> eine ausrei<strong>ch</strong>ende Zusammenstellung und<br />
Aufbewahrung von Protokollen können dur<strong>ch</strong> Ni<strong>ch</strong>teinhaltung<br />
von Vors<strong>ch</strong>riften entstehende Kosten wie z.B. Geldstrafen vermieden<br />
werden.<br />
– Senkung laufender Audit-Kosten dur<strong>ch</strong> geringeren Zeitaufwand<br />
<strong>für</strong> die Fertigstellung eines Audits<br />
– Sofortige Verfügbarkeit der ri<strong>ch</strong>tigen Protokolldaten und<br />
Beri<strong>ch</strong>te <strong>für</strong> Auditoren<br />
– S<strong>ch</strong>neller Beleg der Einhaltung von Anforderungen<br />
Risikomanagement<br />
– Die kontinuierli<strong>ch</strong>e Prüfung und E<strong>ch</strong>tzeit-Überwa<strong>ch</strong>ung von<br />
Protokollen hilft bei der Erkennung und Vermeidung von<br />
unbere<strong>ch</strong>tigten Zugriffen und senkt <strong>das</strong> Risiko von<br />
Si<strong>ch</strong>erheitsverletzungen<br />
– S<strong>ch</strong>utz <strong>für</strong> Marken, Kundenbeziehungen und den Ruf des<br />
Unternehmens<br />
– Vermeidung von Anwalts- und Geri<strong>ch</strong>tskosten<br />
– Keine Geldstrafen und Prozesskosten<br />
Re<strong>ch</strong>t<br />
– Vollständige Protokolle und effiziente Zusammenstellung von<br />
Beweisen senken die Anwalts- und Geri<strong>ch</strong>tskosten<br />
Vorlegen von Beweisen wie z.B. Protokollen von<br />
Benutzeraktivitäten <strong>für</strong> geri<strong>ch</strong>tli<strong>ch</strong>e Streitfälle bei<br />
Kündigungss<strong>ch</strong>utzklagen<br />
– Vorlegen von Beweisen wie z.B. Protokollen zur Offenlegung<br />
von Informationen <strong>für</strong> Prozesse wegen<br />
Datens<strong>ch</strong>utzverletzungen<br />
– Vorlegen von Beweisen wie z.B. Zugriffsprotokollen der<br />
Softwareentwicklung <strong>für</strong> Prozesse wegen Diebstahl geistigen<br />
Eigentums<br />
Forensik<br />
– Im Missbrau<strong>ch</strong>sfall sorgt der s<strong>ch</strong>nelle Zugriff auf die ri<strong>ch</strong>tigen<br />
Protokolle <strong>für</strong> Kosteneinsparungen, da die Zusammenstellung<br />
von Beweisen ras<strong>ch</strong>er und einfa<strong>ch</strong>er ist<br />
– S<strong>ch</strong>nellere und einfa<strong>ch</strong>ere Erkennung und Behebung der<br />
Ursa<strong>ch</strong>e<br />
– Blockierung von Angriffen verhindert s<strong>ch</strong>limme Folgen und<br />
spart so Kosten<br />
– Umkomplizierte und s<strong>ch</strong>nelle Systemwiederherstellung und<br />
S<strong>ch</strong>adensbeseitigung na<strong>ch</strong> Si<strong>ch</strong>erheitsverletzungen<br />
– Bessere Chancen zur Ergreifung der Täter<br />
Spei<strong>ch</strong>er<br />
– Kostensenkung dur<strong>ch</strong> Spei<strong>ch</strong>ern der ri<strong>ch</strong>tigen Protokolle über<br />
einen geeigneten Zeitraum und ständige Abrufmögli<strong>ch</strong>keit<br />
RSA White Paper 3
– Unterstützung bei der Klassifizierung von Informationen<br />
– Verwendung des kostengünstigsten Spei<strong>ch</strong>ers auf Basis der<br />
Anforderungen <strong>für</strong> die jeweiligen Daten<br />
Betrieb<br />
– Effizientere Protokollanalyse senkt Kosten <strong>für</strong> die<br />
Überwa<strong>ch</strong>ung, z.B. Personalkosten<br />
– Mitarbeiter können produktivere Aufgaben übernehmen<br />
– Effizientere Überwa<strong>ch</strong>ung reduziert Ausfallzeiten und erhöht<br />
die Effizienz, indem der Fokus auf die ri<strong>ch</strong>tigen Bedrohungen<br />
gelenkt wird (weniger Fehlalarme)<br />
Vors<strong>ch</strong>läge <strong>für</strong> die <strong>Best</strong> <strong>Practices</strong> in Ihrem Unternehmen<br />
<strong>Best</strong> <strong>Practices</strong> sollten auf den Anforderungen der geltenden<br />
Ri<strong>ch</strong>tlinien und Standards sowie auf Re<strong>ch</strong>tsberatung,<br />
ges<strong>ch</strong>äftli<strong>ch</strong>en und betriebli<strong>ch</strong>en Zielen und auf einer<br />
Risikoanalyse aufbauen.<br />
1. Anforderungen dur<strong>ch</strong> Ri<strong>ch</strong>tlinien und Standards<br />
Es gibt zahlrei<strong>ch</strong>e Ri<strong>ch</strong>tlinien und Bran<strong>ch</strong>enstandards, die den<br />
S<strong>ch</strong>utz von Informationen vors<strong>ch</strong>reiben, darunter:<br />
– Sarbanes-Oxley (SOX)<br />
– Health Insurance Portability and Accountability Act (HIPAA)<br />
– Gramm-Lea<strong>ch</strong>-Bliley-Act (GLBA)<br />
– Federal Information Security <strong>Management</strong> Act (FISMA)<br />
– Internationale Datens<strong>ch</strong>utzbestimmungen1 – US-Gesetze auf Bundesstaatebene zur Bena<strong>ch</strong>ri<strong>ch</strong>tigung über<br />
Si<strong>ch</strong>erheitsverstöße (z.B. SB 1386) 2<br />
– 21 CFR Part 11 (Part 11) 3 der US-amerikanis<strong>ch</strong>en Food and Drug<br />
Administration<br />
– Payment Card Industry Data Security Standard (PCI DSS)<br />
– Standards <strong>für</strong> digitale Si<strong>ch</strong>erheit des North American Electric<br />
Reliability Council (NERC)<br />
Die meisten Gesetze und Regulierungsvorgaben beinhalten keine<br />
spezifis<strong>ch</strong>en Anforderungen, sondern verlangen von Unternehmen<br />
die Implementierung von „vernünftigen und geeigneten<br />
Maßnahmen“ zum S<strong>ch</strong>utz von Informationen na<strong>ch</strong> Maßgabe der<br />
Anforderungen von Standards zur Informationssi<strong>ch</strong>erheit wie z.B.:<br />
– Control Objectives for Information Te<strong>ch</strong>nology (COBIT)<br />
– Sonderausgaben des National Institute of Science and<br />
Te<strong>ch</strong>nology, 800-er Serie (NISTSP 800)<br />
– IT-Handbu<strong>ch</strong> zur Informationssi<strong>ch</strong>erheit des Federal Financial<br />
Institutions Examination Council (FFIEC)<br />
– Internationale Organisation <strong>für</strong> Normung: „Code of Practice for<br />
Information Security <strong>Management</strong>“ (ISO 17799/27001)<br />
1 Beispielsweise die EU-Datens<strong>ch</strong>utzri<strong>ch</strong>tlinie (EU DPD), der Japan Personal Information Protection Act (PIPA) und der Canada Personal Information Protection and Electronic Documents Act (PIPEDA)<br />
2 Etwa 40 Bundesstaaten haben nun Gesetze, die Unternehmen vors<strong>ch</strong>reiben, eine Person zu bena<strong>ch</strong>ri<strong>ch</strong>tigen, wenn es Grund zur Annahme gibt, <strong>das</strong>s die Si<strong>ch</strong>erheit der persönli<strong>ch</strong>en Daten dieser<br />
Person beeinträ<strong>ch</strong>tigt wurde. Diese Gesetze hatten immense Auswirkungen auf Unternehmen in aller Welt. Sie verfügen über keine direkten Anforderungen <strong>für</strong> <strong>das</strong> <strong>Log</strong>-<strong>Management</strong>, obwohl<br />
Protokolle eine wi<strong>ch</strong>tige Mögli<strong>ch</strong>keit darstellen, eine Si<strong>ch</strong>erheitsverletzung zu erkennen oder aber Beweise zu erbringen, <strong>das</strong>s es keinen Grund gibt, eine sol<strong>ch</strong>e Verletzung zu vermuten.<br />
3 In der EU ist die entspre<strong>ch</strong>ende Ri<strong>ch</strong>tlinie „Good Manufacturing <strong>Practices</strong> (GMP) Annex 11 (Annex 11)“<br />
4<br />
RSA White Paper<br />
Für bestimmte Compliance-Anforderungen zum <strong>Log</strong>-<strong>Management</strong><br />
müssen Unternehmen jedo<strong>ch</strong> über die in den Ri<strong>ch</strong>tlinien<br />
festges<strong>ch</strong>riebenen Informationen hinausgehen und au<strong>ch</strong> die<br />
geltenden Standards zur Informationssi<strong>ch</strong>erheit berücksi<strong>ch</strong>tigen.<br />
Weitere Informationen zu den speziellen Anforderungen einiger<br />
Ri<strong>ch</strong>tlinien und Bran<strong>ch</strong>enstandards an <strong>das</strong> <strong>Log</strong>-<strong>Management</strong><br />
finden Sie in Anhang 2 „Compliance-Anforderungen <strong>für</strong> <strong>das</strong> <strong>Log</strong>-<br />
<strong>Management</strong>“.<br />
Da <strong>für</strong> die meisten Unternehmen zahlrei<strong>ch</strong>e Vorgaben aus<br />
mehreren Berei<strong>ch</strong>en gelten, deren Anzahl ständig zunimmt, sind<br />
Unternehmen gezwungen, einen ganzheitli<strong>ch</strong>en Ansatz zur<br />
Entwicklung von <strong>Best</strong> <strong>Practices</strong> <strong>für</strong> <strong>das</strong> <strong>Log</strong>-<strong>Management</strong> zu<br />
verfolgen. Im Gegensatz zu einem unsystematis<strong>ch</strong>en Ansatz, bei<br />
dem die Anforderungen jeder Ri<strong>ch</strong>tlinie einzeln erfüllt werden,<br />
zielt ein ganzheitli<strong>ch</strong>er Ansatz darauf ab, die Bemühungen zu<br />
kombinieren und <strong>Best</strong> <strong>Practices</strong> zu s<strong>ch</strong>affen, die mögli<strong>ch</strong>st die<br />
Anforderungen vers<strong>ch</strong>iedener Ri<strong>ch</strong>tlinien und Normen erfüllen und<br />
darüber hinaus eine proaktive Planung <strong>für</strong> die künftige<br />
Re<strong>ch</strong>tsgestaltung vorsehen.<br />
2. Beratung dur<strong>ch</strong> Re<strong>ch</strong>tsbeistände<br />
Bei der Entwicklung von <strong>Best</strong> <strong>Practices</strong> <strong>für</strong> <strong>das</strong> <strong>Log</strong>-<strong>Management</strong><br />
sollte ein Re<strong>ch</strong>tsbeistand hinzugezogen werden, der insbesondere<br />
bei der Entwicklung von Ri<strong>ch</strong>tlinien beratend zur Seite steht. Er<br />
gibt ni<strong>ch</strong>t nur Rat zu den geltenden Anforderungen, sondern au<strong>ch</strong><br />
zu anderen re<strong>ch</strong>tli<strong>ch</strong>en Themen oder vertragli<strong>ch</strong>en<br />
Verpfli<strong>ch</strong>tungen wie Vereinbarungen mit Ges<strong>ch</strong>äftspartnern, die<br />
<strong>das</strong> Re<strong>ch</strong>t auf Audits beinhalten können und daher s<strong>ch</strong>nellen<br />
Zugriff auf Audit-Protokolle erfordern. Protokolle werden<br />
mögli<strong>ch</strong>erweise au<strong>ch</strong> als Beweismittel <strong>für</strong> künftige Prozesse oder<br />
Untersu<strong>ch</strong>ungen benötigt. Des Weiteren kann ein Re<strong>ch</strong>tsbeistand<br />
dabei helfen, <strong>das</strong>s die Ri<strong>ch</strong>tlinien zur Aufbewahrung von<br />
Protokollen innerhalb der allgemeinen Datenaufbewahrungs -<br />
vors<strong>ch</strong>riften des Unternehmens konsistent sind.<br />
3. Ges<strong>ch</strong>äftli<strong>ch</strong>e und betriebli<strong>ch</strong>e Ziele<br />
<strong>Best</strong> <strong>Practices</strong> <strong>für</strong> <strong>das</strong> <strong>Log</strong>-<strong>Management</strong> sollten die Ziele des<br />
Unternehmens widerspiegeln, u.a. au<strong>ch</strong> den Umgang mit<br />
bestimmten Parametern wie verfügbare Zeit, Ressourcen und<br />
Budget. Die betriebli<strong>ch</strong>en Ziele könnten au<strong>ch</strong> eine Effizienz -<br />
steigerung der Protokollprüfung, die Si<strong>ch</strong>erstellung der<br />
ausrei<strong>ch</strong>enden Überwa<strong>ch</strong>ung bestimmter Systeme zur<br />
frühen Problemerkennung und Senkung der Ausfallzeiten<br />
oder die Aufbewahrung bestimmter Protokolle über einen<br />
bestimmten Zeitraum zur mögli<strong>ch</strong>en forensis<strong>ch</strong>en Verwendung<br />
beinhalten.<br />
4. Risikobewertung<br />
Die Risikobewertung stellt eine bedeutende Komponente bei der<br />
Entwicklung von Kompetenzen im <strong>Log</strong>-<strong>Management</strong> dar. Wie
zuvor erwähnt, beinhalten weder Gesetze no<strong>ch</strong> Normen<br />
spezifis<strong>ch</strong>e Anforderungen. Stattdessen müssen viele Ents<strong>ch</strong>ei -<br />
dun gen vom Unternehmen selbst getroffen werden. Bei diesen<br />
Ents<strong>ch</strong>eidungen spielt die Bewertung der Risikofaktoren des<br />
Unternehmens eine S<strong>ch</strong>lüsselrolle. Dur<strong>ch</strong> die Risiko bewertung<br />
lassen si<strong>ch</strong> vers<strong>ch</strong>iedene Anforderungen bestimmen, z.B. wie oft<br />
Protokolle geprüft und wie lange bestimmte Protokolle aufbe -<br />
wahrt werden. Zugriffsprotokolle <strong>für</strong> regulierte oder andere<br />
vertrauli<strong>ch</strong>e bzw. ges<strong>ch</strong>ützte Informationen erfordern z.B. eine<br />
genauere Prüfung und längere Aufbewahrung als andere<br />
Protokolle.<br />
Empfohlene <strong>Best</strong> <strong>Practices</strong><br />
Umfassende <strong>Best</strong> <strong>Practices</strong> <strong>für</strong> <strong>das</strong> <strong>Log</strong>-<strong>Management</strong> beinhalten<br />
die folgenden Kategorien:<br />
– Ri<strong>ch</strong>tlinien, Verfahren und Te<strong>ch</strong>nologien <strong>für</strong> Protokolle<br />
– Erstellung und Erfassung von Protokollen<br />
– Aufbewahrung und Spei<strong>ch</strong>erung von Protokollen<br />
– Protokollanalyse<br />
– S<strong>ch</strong>utz und Si<strong>ch</strong>erheit von Protokollen<br />
<strong>Best</strong> <strong>Practices</strong> sollten zwar von jedem Unternehmen auf Basis der<br />
jeweiligen Umgebung individuell entwickelt werden, aber es gibt<br />
au<strong>ch</strong> einige allgemeine Vorgehensweisen, die si<strong>ch</strong> universell<br />
anwenden lassen. RSA hat eine Liste mit 40 empfohlenen <strong>Best</strong><br />
<strong>Practices</strong> <strong>für</strong> alle Kategorien entwickelt. Diese <strong>Best</strong> <strong>Practices</strong> sind<br />
im Folgenden aufgeführt.<br />
I. Ri<strong>ch</strong>tlinien, Verfahren und Te<strong>ch</strong>nologien <strong>für</strong> Protokolle<br />
Ri<strong>ch</strong>tlinien regeln die Verwaltung der <strong>Log</strong>-<strong>Management</strong>-<br />
Aktivitäten und sollten vorges<strong>ch</strong>riebene Anforderungen <strong>für</strong> die<br />
Erstellung, Analyse, Aufbewahrung, Spei<strong>ch</strong>erung und Si<strong>ch</strong>erheit<br />
von Protokollen klar definieren. Sie sollten in Verbindung mit<br />
einem Plan <strong>für</strong> die Verfahren und Te<strong>ch</strong>nologien erstellt werden,<br />
die <strong>für</strong> die Implementierung und Dur<strong>ch</strong>setzung der Ri<strong>ch</strong>tlinien<br />
benötigt werden.<br />
Empfohlene <strong>Best</strong> <strong>Practices</strong><br />
I.1. Unterstützung der Führungsebene in Bezug auf Ri<strong>ch</strong>tlinien<br />
Die nötige Priorisierung innerhalb des Unternehmens und die <strong>für</strong><br />
<strong>das</strong> <strong>Log</strong>-<strong>Management</strong> nötigen Ressourcen sollten hier<br />
berücksi<strong>ch</strong>tigt werden.<br />
I.2. Vollständige Dokumentation der Ri<strong>ch</strong>tlinien und Dur<strong>ch</strong>führung<br />
regelmäßiger Prüfungen und Aktualisierungen von Ri<strong>ch</strong>tlinien<br />
je na<strong>ch</strong> Bedarf<br />
Beispiel: Aktualisierung der Ri<strong>ch</strong>tlinien und Verfahren auf Basis<br />
der Ergebnisse von Audits, Änderungen von Compliance-<br />
Anforderungen und Feedback von Administratoren. Ri<strong>ch</strong>tlinien<br />
sollten mindestens einmal jährli<strong>ch</strong> geprüft und aktualisiert<br />
werden.<br />
I.3. Definition von Rollen und Verantwortli<strong>ch</strong>keiten und geeigneter<br />
Support <strong>für</strong> Mitarbeiter<br />
Aufgaben im <strong>Log</strong>-<strong>Management</strong> sollten im gesamten Unternehmen<br />
verteilt werden. Zur Ausführung dieser Aufgaben sollten<br />
geeignete S<strong>ch</strong>ulungen, Tools und Dokumentation bereitgestellt<br />
werden.<br />
I.4. Anpassung von Ri<strong>ch</strong>tlinien <strong>für</strong> <strong>das</strong> <strong>Log</strong>-<strong>Management</strong> und zugehörigen<br />
Ri<strong>ch</strong>tlinien und Verfahren<br />
Beispiel: Ri<strong>ch</strong>tlinien zur Protokollaufbewahrung sollten mit<br />
allgemeinen Ri<strong>ch</strong>tlinien zur Datenaufbewahrung in Einklang<br />
gebra<strong>ch</strong>t werden. Anforderungen im <strong>Log</strong>-<strong>Management</strong> sollten z.B.<br />
bei Softwareans<strong>ch</strong>affung und Anwendungsentwicklung<br />
berücksi<strong>ch</strong>tigt werden.<br />
I.5. Umsetzung der Separation of Duties<br />
Beispiel: Die Prüfung der systembezogenen Protokolle erfolgt<br />
ni<strong>ch</strong>t dur<strong>ch</strong> den Systemadministrator, sondern dur<strong>ch</strong> eine andere<br />
Person, um die Na<strong>ch</strong>vollziehbarkeit der Tätigkeiten des<br />
Systemadministrators zu gewährleisten.<br />
I.6. Umsetzung von Standard-Arbeitsverfahren <strong>für</strong> <strong>das</strong> <strong>Log</strong>-<br />
<strong>Management</strong> zur Unterstützung und Einhaltung der Ri<strong>ch</strong>tlinien<br />
Einige gängige Verfahren beinhalten beispielsweise die<br />
Konfiguration von Protokollquellen, die Dur<strong>ch</strong>führung von<br />
Protokollanalysen, die Initiierung von Reaktionen auf erkannte<br />
Vorfälle und die Verwaltung des Langzeitspei<strong>ch</strong>ers.<br />
I.7. Planung und Implementierung einer speziellen Infrastruktur<br />
<strong>für</strong> <strong>das</strong> <strong>Log</strong>-<strong>Management</strong> zur Unterstützung und Einhaltung<br />
der Ri<strong>ch</strong>tlinien<br />
Diese Infrastruktur sollte eine spezielle Plattform <strong>für</strong> <strong>das</strong> <strong>Log</strong>-<br />
<strong>Management</strong> und einen Spei<strong>ch</strong>er <strong>für</strong> Protokolldaten beinhalten.<br />
Dur<strong>ch</strong> die Implementierung einer speziellen <strong>Log</strong>-<strong>Management</strong>-<br />
Umgebung können alle Beteiligten lei<strong>ch</strong>ter auf sämtli<strong>ch</strong>e Daten<br />
zugreifen, gründli<strong>ch</strong>e Analysen dur<strong>ch</strong>führen, starke Si<strong>ch</strong>erheit<br />
garantieren und protokollierte Daten zuverlässig und konsistent<br />
über die entspre<strong>ch</strong>enden Zeiträume hinweg spei<strong>ch</strong>ern. Ohne eine<br />
zentrale Infrastruktur <strong>für</strong> <strong>das</strong> <strong>Log</strong>-<strong>Management</strong> würden die<br />
Beteiligten wahrs<strong>ch</strong>einli<strong>ch</strong> auf einzelne Punktlösungen<br />
zurückgreifen, die zu Ineffizienz, Redundanz und einem erhöhten<br />
Verwaltungsaufwand mit unnötiger Komplexität führen.<br />
Unternehmen müssen aktuelle, aber au<strong>ch</strong> künftige Anforderungen<br />
in ihrer Planung berücksi<strong>ch</strong>tigen, darunter <strong>das</strong> Datenvolumen von<br />
Protokollen, Spei<strong>ch</strong>erkapazität, Si<strong>ch</strong>erheitsanforderungen sowie<br />
Zeit und Ressourcen, die Mitarbeiter <strong>für</strong> die Analyse der<br />
Protokolle und die Verwaltung der Infrastruktur benötigen.<br />
RSA White Paper<br />
5
I.8. Kein Alleingang: Hinzuziehen eines Bran<strong>ch</strong>enexperten bzw.<br />
Beraters<br />
Die Entwicklung umfassender <strong>Best</strong> <strong>Practices</strong> <strong>für</strong> <strong>das</strong> <strong>Log</strong>-<br />
<strong>Management</strong> bringt große Vorteile, aber au<strong>ch</strong> komplexe Aufgaben<br />
mit si<strong>ch</strong>. Dazu zählen die Implementierung von Ri<strong>ch</strong>tlinien,<br />
Verfahren und Te<strong>ch</strong>nologien, wie diese Kategorie von <strong>Best</strong><br />
<strong>Practices</strong> zeigt. Viele Unternehmen verfügen intern ni<strong>ch</strong>t über <strong>das</strong><br />
nötige Know-how oder qualifizierte Fa<strong>ch</strong>kräfte und sollten einen<br />
Bran<strong>ch</strong>enexperten bzw. Berater als Unterstützung hinzuziehen.<br />
II. Erstellung und Erfassung von Protokollen<br />
Die Zusammenstellung einer ausrei<strong>ch</strong>enden Datenmenge zur<br />
Erfüllung der Anforderungen von Ri<strong>ch</strong>tlinien sowie <strong>für</strong> mögli<strong>ch</strong>e<br />
Untersu<strong>ch</strong>ungen von Vorfällen und re<strong>ch</strong>tli<strong>ch</strong>en Problemen ist mit<br />
sehr viel Aufwand verbunden. Datens<strong>ch</strong>utzbestimmungen<br />
s<strong>ch</strong>reiben z.B. vor, <strong>das</strong>s Unternehmen sämtli<strong>ch</strong>e Zugriffe auf<br />
persönli<strong>ch</strong>e Daten aufzei<strong>ch</strong>nen müssen. Der PCI-Standard fordert<br />
von Unternehmen die Na<strong>ch</strong>verfolgung und Überwa<strong>ch</strong>ung aller<br />
Zugriffe auf Netzwerkressourcen und Daten von Karteninhabern.<br />
Zur Einhaltung der von der Unternehmensführung vorgegebenen<br />
Ri<strong>ch</strong>tlinien müssen Unternehmen ausrei<strong>ch</strong>end Vorgangsdaten<br />
aufzei<strong>ch</strong>nen und spei<strong>ch</strong>ern, um die Prüfung, Auswertung und<br />
Rekonstruktion der Datenverarbeitung zu ermögli<strong>ch</strong>en, die als<br />
Grundlage <strong>für</strong> Finanzberi<strong>ch</strong>te dient. Für die Untersu<strong>ch</strong>ung von<br />
Vorfällen benötigen Unternehmen vollständige Aufzei<strong>ch</strong>nungen<br />
der Aktivitäten im Netzwerk sowie in Systemen und<br />
Anwendungen. Vor Geri<strong>ch</strong>t oder bei Problemen mit Mitarbeitern<br />
müssen Unternehmen die ri<strong>ch</strong>tigen Beweise über die Verwendung<br />
von Informationen oder den Systemzugriff zur Hand haben, um<br />
ihre Aussagen zu untermauern.<br />
Daten müssen aus zahlrei<strong>ch</strong>en Quellen zusammengestellt werden,<br />
darunter Si<strong>ch</strong>erheitssysteme, Betriebs- und Spei<strong>ch</strong>ersysteme<br />
sowie Anwendungen. Eine Liste mit gängigen Quellen und<br />
Protokollinhalten finden Sie in Anhang 1 „Quellen und Inhalte von<br />
Protokollen“.<br />
Empfohlene <strong>Best</strong> <strong>Practices</strong><br />
II.1. Si<strong>ch</strong>erstellung, <strong>das</strong>s die Protokollierung <strong>für</strong> Si<strong>ch</strong>erheits sys -<br />
teme, Netzwerkinfrastrukturgeräte, Spei<strong>ch</strong>erinfrastruktur,<br />
Betriebssysteme sowie kommerzielle und speziell entwickelte<br />
Anwendungen aktiviert ist<br />
In Anbetra<strong>ch</strong>t der Vielzahl an Systemen, Geräten und Anwendun -<br />
gen ist es wi<strong>ch</strong>tig, <strong>das</strong>s die Audit-Protokollierung tatsä<strong>ch</strong>li<strong>ch</strong> <strong>für</strong><br />
alle diese Quellen im gesamten Unternehmen aktiviert ist.<br />
Administratoren haben mögli<strong>ch</strong>erweise Vorbehalte, <strong>das</strong> Auditing<br />
zu aktivieren, da sie eine Beeinträ<strong>ch</strong>tigung der Leistungsfähigkeit<br />
<strong>für</strong><strong>ch</strong>ten. Bei den meisten Systemen ist der Einfluss jedo<strong>ch</strong> nur<br />
minimal, wenn die Konfiguration ri<strong>ch</strong>tig auf eine leistungsfähige<br />
6 RSA White Paper<br />
Plattform <strong>für</strong> <strong>das</strong> <strong>Log</strong>-<strong>Management</strong> abgestimmt wurde. Das<br />
Aktivieren und Deaktivieren von Audit-Kontrollsystemen sollte<br />
selbst au<strong>ch</strong> protokolliert und ein Alarm an Administratoren<br />
gesendet werden.<br />
II.2. Keine Filterung der Protokolle an der Quelle<br />
Es ist sehr s<strong>ch</strong>wer, wenn ni<strong>ch</strong>t sogar unmögli<strong>ch</strong>, vorauszusagen,<br />
was in einer heutigen Umgebung nützli<strong>ch</strong> sein kann und was<br />
ni<strong>ch</strong>t. Fals<strong>ch</strong>e Ents<strong>ch</strong>eidungen können Audits oder<br />
Untersu<strong>ch</strong>ungen negativ beeinflussen. Daher ist es sinnvoller, alle<br />
Daten zu sammeln und erst dann zu prüfen, wel<strong>ch</strong>e Daten ni<strong>ch</strong>t<br />
gebrau<strong>ch</strong>t werden, statt erst gar keine Daten zusammenzustellen.<br />
Ein gut konzipiertes System <strong>für</strong> <strong>das</strong> <strong>Log</strong>-<strong>Management</strong> lässt si<strong>ch</strong><br />
skalieren, um au<strong>ch</strong> große Mengen an Protokolldaten erfassen,<br />
analysieren und verwalten zu können. So können alle Daten<br />
erfasst und intelligent ausgewertet werden, um dann ni<strong>ch</strong>t<br />
benötigte Daten zu lös<strong>ch</strong>en.<br />
II.3. Die erfassten Daten sollten alle wi<strong>ch</strong>tigen Vorgangs- und<br />
Aktivitätsprotokolle enthalten, die laut Ri<strong>ch</strong>tlinien erforderli<strong>ch</strong><br />
sind, z.B. alle:<br />
– individuellen Benutzerzugriffe<br />
– verweigerten Zugriffsversu<strong>ch</strong>e auf Systeme, Anwendungen,<br />
Dateien oder Daten sowie andere fehlges<strong>ch</strong>lagene Vorgänge<br />
– autorisierten, administrativen oder Root-Zugriffe<br />
– Verwendungen von Identifizierungs- und<br />
Authentifizierungsmethoden<br />
– Remote- und Wireless-Zugriffe<br />
– Änderungen der System- oder Anwendungskonfiguration<br />
– Änderungen der Zugriffsre<strong>ch</strong>te<br />
– Verwendungen von System-Dienstprogrammen<br />
– Aktivierungen und Deaktivierungen des Si<strong>ch</strong>erheitssystems<br />
– Zugriffe auf Audit-Protokolle<br />
II.4. Für Ereignisse und Aktivitäten erfasste Details sollten den<br />
Anforderungen der Standards entspre<strong>ch</strong>en, z.B.:<br />
– Art der Aktivität oder des Ereignisses (z.B. Anmeldeversu<strong>ch</strong>,<br />
Dateizugriff usw.)<br />
– Benutzeridentifizierung<br />
– Sitzungs-ID bzw. Terminal-ID<br />
– Netzwerkadressen<br />
– Datum und Uhrzeit<br />
– Erfolgrei<strong>ch</strong>e und fehlerhafte Vorgänge<br />
– Identität oder Name der betroffenen Daten, Systemkomponente<br />
oder Ressource<br />
II.5. Einzelne Benutzer sollten si<strong>ch</strong> na<strong>ch</strong>verfolgen lassen, indem<br />
<strong>für</strong> alle Vorgänge eindeutige Informationen zur<br />
Benutzeridentifizierung erfasst werden<br />
Besonders bei Systemen mit ges<strong>ch</strong>ützten oder Ri<strong>ch</strong>tlinien<br />
unterliegenden Informationen muss es mögli<strong>ch</strong> sein, den<br />
Informationszugriff einzelner Benutzer na<strong>ch</strong>zuweisen.
II.6. Testen der Protokollierungsfunktionen<br />
Es muss si<strong>ch</strong>ergestellt werden, <strong>das</strong>s wirkli<strong>ch</strong> alle Daten erfasst<br />
werden und die Daten in den Protokollen vollständig und präzise<br />
sind.<br />
II.7. Syn<strong>ch</strong>ronisieren von Zeitstempeln<br />
Protokollquellen referenzieren übli<strong>ch</strong>erweise eine interne Uhr,<br />
wenn ein Protokolleintrag mit einem Zeitstempel versehen wird.<br />
Daher sollten alle internen Uhren der Protokollquellen mit einem<br />
vertrauenswürdigen, genauen Zeitserver syn<strong>ch</strong>ronisiert werden.<br />
Ein ho<strong>ch</strong>wertiges <strong>Log</strong>-<strong>Management</strong>-System versieht die Protokolle<br />
au<strong>ch</strong> beim Empfang mit einem Zeitstempel und sollte ebenfalls<br />
mit einem Zeitserver syn<strong>ch</strong>ronisiert werden.<br />
II.8. Besonderer S<strong>ch</strong>utz <strong>für</strong> vertrauli<strong>ch</strong>e Daten<br />
Bei der Protokollierung können (absi<strong>ch</strong>tli<strong>ch</strong> oder versehentli<strong>ch</strong>)<br />
vertrauli<strong>ch</strong>e Informationen erfasst werden, <strong>für</strong> die besondere<br />
Datens<strong>ch</strong>utz- oder Si<strong>ch</strong>erheitsbestimmungen gelten, z.B.<br />
Passwörter oder die Inhalte von E-Mails. Vertrauli<strong>ch</strong>e Daten in<br />
Protokollen könnten von Protokollprüfern oder von Personen, die<br />
si<strong>ch</strong> unbere<strong>ch</strong>tigt Zugriff vers<strong>ch</strong>affen, eingesehen werden.<br />
Ho<strong>ch</strong>wertige <strong>Log</strong>-<strong>Management</strong>-Systeme bieten eine flexible und<br />
umfassende Si<strong>ch</strong>erheit bei der Übertragung und Spei<strong>ch</strong>erung der<br />
Protokolldaten und ermögli<strong>ch</strong>en einen detaillierten,<br />
rollenbasierten Zugriff, um den korrekten und autorisierten Zugriff<br />
auf vertrauli<strong>ch</strong>e Daten si<strong>ch</strong>erzustellen.<br />
II.9. Berücksi<strong>ch</strong>tigung von Datens<strong>ch</strong>utzbestimmungen bei der<br />
Einri<strong>ch</strong>tung der Protokollierung von Benutzeraktivitäten<br />
Bei der Überwa<strong>ch</strong>ung von Mitarbeitern und anderen Benutzern<br />
sollte ein Re<strong>ch</strong>tsbeistand hinzugezogen werden. Die Vors<strong>ch</strong>riften<br />
unters<strong>ch</strong>eiden si<strong>ch</strong> je na<strong>ch</strong> Re<strong>ch</strong>tspre<strong>ch</strong>ung erhebli<strong>ch</strong>.<br />
III. Aufbewahrung und Spei<strong>ch</strong>erung von Protokollen<br />
Bei der <strong>Best</strong>immung der Anforderungen an die Aufbewahrung und<br />
Spei<strong>ch</strong>erung von Protokollen sollten die vers<strong>ch</strong>iedenen<br />
Protokolldatenarten berücksi<strong>ch</strong>tigt werden.<br />
Protokolldatenarten<br />
1. Produktivdaten – Diese Daten werden aktiv <strong>für</strong> Analysen in<br />
E<strong>ch</strong>tzeit, laufende Prüfungen und regelmäßige Audits und<br />
Bewertungen verwendet.<br />
2. Si<strong>ch</strong>erungsdaten – Diese Daten sind gespiegelte Images der<br />
Produktivdaten, die benötigt werden, wenn die eigentli<strong>ch</strong>en<br />
Produktivdaten manipuliert oder bes<strong>ch</strong>ädigt wurden.<br />
3. Ar<strong>ch</strong>ivdaten – Diese Daten sind eine Teilmenge der<br />
Produktivdaten, die längerfristig im Rahmen der<br />
Datenar<strong>ch</strong>ivierung auf Basis von gesetzli<strong>ch</strong>en Anforderungen<br />
sowie <strong>für</strong> mögli<strong>ch</strong>e re<strong>ch</strong>tli<strong>ch</strong>e Ermittlungen und forensis<strong>ch</strong>e<br />
Untersu<strong>ch</strong>ungen gespei<strong>ch</strong>ert werden.<br />
Berücksi<strong>ch</strong>tigt werden sollte au<strong>ch</strong>, wie die Daten gespei<strong>ch</strong>ert<br />
werden. Es gibt vers<strong>ch</strong>iedene Spei<strong>ch</strong>erarten, die unters<strong>ch</strong>ied -<br />
li<strong>ch</strong>e Zugangsebenen bieten, z.B.:<br />
Spei<strong>ch</strong>erarten<br />
1. Online-Spei<strong>ch</strong>er – Die Daten werden auf ho<strong>ch</strong>leistungsfähigem<br />
Network Atta<strong>ch</strong>ed Storage (NAS) oder in Storage Area Networks<br />
(SAN) gespei<strong>ch</strong>ert. Die Zugriffszeiten betragen einige wenige<br />
Millisekunden und bieten zahlrei<strong>ch</strong>en Benutzern eine ständige<br />
Verfügbarkeit.<br />
2. Nearline-Spei<strong>ch</strong>er – Die Daten werden in einem<br />
Spei<strong>ch</strong>ersubsystem mit Zugriffszeiten von wenigen Sekunden<br />
gespei<strong>ch</strong>ert. Sie bieten einigen wenigen, zuvor festgelegten<br />
Benutzern über lange Zeiträume hinweg eine unregelmäßige<br />
Verfügbarkeit.<br />
3. Offline-Spei<strong>ch</strong>er – Die Daten werden auf Festplatten und<br />
Bändern gespei<strong>ch</strong>ert, die in einer Datenbibliothek verwaltet<br />
werden und erst na<strong>ch</strong> dem Herstellen einer<br />
Laufwerksverbindung über einen Computer eingesehen werden<br />
können.<br />
Unternehmen sollten bei der Festlegung von Zeiträumen <strong>für</strong> die<br />
Datenaufbewahrung und von Spei<strong>ch</strong>erarten folgende Punkte<br />
berücksi<strong>ch</strong>tigen:<br />
1. Warum werden die Protokolle benötigt?<br />
2. Wann muss auf Protokolle zugegriffen werden?<br />
3. Wie weit müssen die Daten zurückrei<strong>ch</strong>en?<br />
4. Wie verfügbar müssen sie sein?<br />
Die drei folgenden Tabellen beleu<strong>ch</strong>ten diese Themen <strong>für</strong> jede der<br />
drei Arten: Produktiv-, Si<strong>ch</strong>erungs- und Ar<strong>ch</strong>ivdaten.<br />
RSA White Paper<br />
7
Tabelle 1: Produktivdaten<br />
Warum sind Proto -<br />
kolle notwendig?<br />
Protokollprüfungen<br />
und -analysen<br />
Forensis<strong>ch</strong>e<br />
Untersu<strong>ch</strong>ungen<br />
8 RSA White Paper<br />
Wann muss auf Protokolle zugegriffen werden?<br />
Sehr oft (z.B. E<strong>ch</strong>tzeit, tägli<strong>ch</strong>, wö<strong>ch</strong>entli<strong>ch</strong>, monatli<strong>ch</strong><br />
usw.)<br />
– Si<strong>ch</strong>erheitsverstöße und -lücken usw. können jederzeit<br />
vorkommen, daher können au<strong>ch</strong> Untersu<strong>ch</strong>ungen jeder -<br />
zeit erforderli<strong>ch</strong> sein<br />
– Protokolle erfordern wahrs<strong>ch</strong>einli<strong>ch</strong> regelmäßigen<br />
Zugriff (mögli<strong>ch</strong>erweise au<strong>ch</strong> häufig)<br />
Wie weit müssen die Daten<br />
zurückrei<strong>ch</strong>en?<br />
Wie verfügbar<br />
müssen sie sein?<br />
Bis zur letzten Prüfung S<strong>ch</strong>neller Zugriff zur<br />
Vereinfa<strong>ch</strong>ung<br />
ras<strong>ch</strong>er Analysen<br />
erforderli<strong>ch</strong><br />
– Angriffe können über einen langen<br />
Zeitraum verübt werden (wie z.B. in einem<br />
aktuellen, ho<strong>ch</strong>karätigen Fall über einen<br />
Zeitraum von 18 Monaten)<br />
– Mögli<strong>ch</strong>erweise ist die Einsi<strong>ch</strong>t bestimm -<br />
ter Protokolle nötig, die ein Jahr alt oder<br />
älter sind<br />
Interne Audits – Häufigkeit des Zugriffs hängt von der Länge der Audit- – Bis zu einem Audit-Zyklus und mindestens<br />
Zyklen ab<br />
ein Quartal, um si<strong>ch</strong>erzustellen, <strong>das</strong>s alle<br />
– Unters<strong>ch</strong>eidet si<strong>ch</strong> je na<strong>ch</strong> Bran<strong>ch</strong>e<br />
aufgezei<strong>ch</strong>neten Protokolle <strong>für</strong> den Audit-<br />
Zyklus zur Verfügung stehen<br />
– Typis<strong>ch</strong>e interne Audit-Zyklen <strong>für</strong> große Unternehmen<br />
können 3 Monate (z.B. Finanzdienstleistungen) bis 6<br />
Monate (z.B. Einzelhandel) betragen<br />
– Einige Berei<strong>ch</strong>e mit hohem Risiko werden u.U. öfter als<br />
die übli<strong>ch</strong>en Audit-Zyklen geprüft<br />
– Übli<strong>ch</strong>erweise 6-9 Monate<br />
Externe Audits/<br />
unabhängige<br />
Bewertungen<br />
Tabelle 2: Si<strong>ch</strong>erungsdaten<br />
Warum sind Proto -<br />
kolle notwendig?<br />
Wenn Produktivdaten<br />
manipuliert oder<br />
bes<strong>ch</strong>ädigt wurden<br />
usw.<br />
– Abhängig von der Länge des Audit-Zyklus<br />
– Für viele Ri<strong>ch</strong>tlinien betragen externe Audit-Zyklen ein<br />
Jahr, z.B.:<br />
– SOX: jährli<strong>ch</strong>e Bewertung<br />
– GLBA: Vorstandsprüfung von Si<strong>ch</strong>erheitsmaßnahmen<br />
einmal pro Jahr<br />
– FISMA: jährli<strong>ch</strong>e Prüfung<br />
– PCI: jährli<strong>ch</strong>e Eigenbewertung oder Vor-Ort-Audit<br />
– NERC: besondere Compliance-Prüfung innerhalb eines<br />
Jahres<br />
– EU-Datens<strong>ch</strong>utzri<strong>ch</strong>tlinie „Safe Harbor“: jährli<strong>ch</strong>es<br />
Audit<br />
– Bei einigen globalen Datens<strong>ch</strong>utzbestimmungen können<br />
Audit-Zyklen u.U. länger sein, z.B. erfordert die ISO<br />
17799/27001 alle drei Jahre eine erneute Zertifizierung<br />
– Part 11/Annex 11: abhängig von besonderen Regeln in<br />
Bezug auf Prüfungen<br />
– FTC: unabhängige Audits einmal alle zwei Jahre<br />
Wann muss auf Protokolle zugegriffen werden?<br />
– Daten können jederzeit manipuliert oder bes<strong>ch</strong>ädigt<br />
werden<br />
– Wahrs<strong>ch</strong>einli<strong>ch</strong> kein häufiger Zugriff erforderli<strong>ch</strong><br />
– Bis zu einem Audit-Zyklus und mindestens<br />
ein Quartal, um si<strong>ch</strong>erzustellen, <strong>das</strong>s alle<br />
aufgezei<strong>ch</strong>neten Protokolle <strong>für</strong> den Audit-<br />
Zyklus zur Verfügung stehen<br />
– Für die meisten Ri<strong>ch</strong>tlinien heißt <strong>das</strong> ein<br />
Jahr + 3 Monate = 15 Monate<br />
– Die meisten Ri<strong>ch</strong>tlinien beinhalten keine<br />
besonderen Aufbewahrungszeiträume von<br />
Protokollen <strong>für</strong> Audit-Zyklen mit<br />
Ausnahme von:<br />
– PCI: Ein Audit-Trail muss mindestens ein<br />
Jahr aufbewahrt werden und mindestens<br />
drei Monate online verfügbar sein<br />
– NERC: Unternehmen müssen na<strong>ch</strong>weisen<br />
können, <strong>das</strong>s es über den Zeitraum eines<br />
Jahres keine Lücken in der Überwa<strong>ch</strong>ung<br />
und Protokollierung gab (steht im<br />
Gegensatz zu einer anderen Anforderung<br />
an die Datenar<strong>ch</strong>ivierung, die besagt,<br />
<strong>das</strong>s Protokolle mindestens 90 Tage aufbewahrt<br />
werden müssen)<br />
Wie weit müssen die Daten<br />
zurückrei<strong>ch</strong>en?<br />
S<strong>ch</strong>neller Zugriff zur<br />
s<strong>ch</strong>nellen <strong>Best</strong>im -<br />
mung der Ursa<strong>ch</strong>e<br />
des Verstoßes<br />
erforderli<strong>ch</strong><br />
S<strong>ch</strong>neller Zugriff<br />
erforderli<strong>ch</strong>, um die<br />
Produktivität<br />
interner Auditores<br />
si<strong>ch</strong>erzustellen<br />
S<strong>ch</strong>neller Zugriff<br />
erforderli<strong>ch</strong>, um die<br />
Produktivität von<br />
Auditoren oder<br />
Guta<strong>ch</strong>tern<br />
si<strong>ch</strong>erzustellen und<br />
die Audit-Kosten zu<br />
minimieren<br />
Wie verfügbar<br />
müssen sie sein?<br />
Spiegelung der Produktivdaten ratsam Kein unmittelbarer<br />
Zugriff erforderli<strong>ch</strong>,<br />
aber Protokolle<br />
sollten in vernünftiger<br />
Weise verfügbar<br />
sein
Tabelle 3: Ar<strong>ch</strong>ivdaten<br />
Warum sind Proto -<br />
kolle notwendig?<br />
Protokollierung auf<br />
Basis von gesetzli<strong>ch</strong>en<br />
Anforderungen sowie<br />
<strong>für</strong> mögli<strong>ch</strong>e re<strong>ch</strong>tli<strong>ch</strong>e<br />
Ermittlungen und<br />
forensis<strong>ch</strong>e<br />
Untersu<strong>ch</strong>ungen<br />
Wann muss auf Proto kolle<br />
zugegriffen werden?<br />
– Mögli<strong>ch</strong>erweise<br />
Erstellung von<br />
Datensätzen zu jedem<br />
Zeitpunkt, um<br />
re<strong>ch</strong>tli<strong>ch</strong>en Anfragen,<br />
Ermittlungen oder<br />
Untersu<strong>ch</strong>ungen zu<br />
entspre<strong>ch</strong>en<br />
– Wahrs<strong>ch</strong>einli<strong>ch</strong> kein<br />
häufiger Zugriff erfor -<br />
derli<strong>ch</strong><br />
Aufbewahrung und Spei<strong>ch</strong>erung von Protokollen (Fortsetzung)<br />
Empfohlene <strong>Best</strong> <strong>Practices</strong><br />
III.1. Aufbewahrung von Protokollen in einer si<strong>ch</strong>eren, gut verwalteten<br />
Spei<strong>ch</strong>erinfrastruktur<br />
Ein vers<strong>ch</strong>lanktes, zentral verwaltetes Spei<strong>ch</strong>ersystem ist weniger<br />
komplex in der Verwaltung als eine unsystematis<strong>ch</strong>e<br />
Zusammenstellung von Spei<strong>ch</strong>ersubsystemen. Isolierte und<br />
ineffiziente Protokolldateninseln sind damit kein Thema mehr.<br />
Darüber hinaus vereinfa<strong>ch</strong>t die zentrale Verwaltung und<br />
Spei<strong>ch</strong>erung von Protokollen au<strong>ch</strong> den Zugriff auf protokollierte<br />
Daten im gesamten Unternehmen. Im Gegensatz zu einem eige -<br />
nen Protokollsystem <strong>für</strong> jeden Beteiligten bietet ein gut struktu -<br />
riertes <strong>Log</strong>-<strong>Management</strong>-System si<strong>ch</strong>eren, detaillierten, rollen- basierten Zugriff auf alle gespei<strong>ch</strong>erten Protokolle. So können alle<br />
Beteiligten auf alle notwendigen Daten zugreifen, während <strong>das</strong><br />
Unternehmen die Spei<strong>ch</strong>erung von Protokollen optimiert.<br />
III.2. Verwendung eines Ansatzes <strong>für</strong> <strong>das</strong> Lifecycle <strong>Management</strong><br />
von Informationen, bei dem protokollierte Daten abhängig<br />
von den Zugriffsanforderungen gespei<strong>ch</strong>ert werden<br />
Daten, auf die häufig oder spontan zugegriffen werden muss, z.B.<br />
Produktivdaten, sollten online verfügbar sein. Dem gegenüber<br />
Wie weit müssen die Daten zurückrei<strong>ch</strong>en?<br />
– Wie oben erwähnt, fordert PCI die Aufbewahrung von Protokollen über mindestens<br />
einem Jahr; in Anbetra<strong>ch</strong>t der Häufigkeit von<br />
Datens<strong>ch</strong>utzverletzungen bei Karteninhabern sollten Unternehmen jedo<strong>ch</strong><br />
längere Aufbewahrungsfristen in Betra<strong>ch</strong>t ziehen, um die Daten <strong>für</strong> forensis<strong>ch</strong>e<br />
Untersu<strong>ch</strong>ungen verfügbar zu halten.<br />
– Bei den meisten Ri<strong>ch</strong>tlinien ist kein vorges<strong>ch</strong>riebener Zeitraum <strong>für</strong> die lang -<br />
fristige Aufbewahrung von Protokollen vorgesehen. Vielmehr gibt es oft einen<br />
allgemeinen Aufbewahrungszeitraum, der als Anhaltspunkt <strong>für</strong> die Anforde run -<br />
gen an die langfristige Aufbewahrung von Protokollen verwendet werden kann.<br />
– SOX s<strong>ch</strong>reibt vor, Dokumente und Kommunikationsdaten in Bezug auf ein<br />
Audit <strong>für</strong> sieben Jahre aufzubewahren; Unternehmen bewahren jedo<strong>ch</strong> bestimmte<br />
Protokolle meist langfristig auf, z.B. sol<strong>ch</strong>e, die in direktem<br />
Zusammenhang mit dem Na<strong>ch</strong>weis der Integrität von Finanzberi<strong>ch</strong>ten stehen<br />
(z.B. Zugriffsprotokolle <strong>für</strong> wi<strong>ch</strong>tige Finanzanwendungen).<br />
– HIPAA verlangt die Aufbewahrung von Dokumenten zu Ri<strong>ch</strong>tlinien,<br />
Verfahren, Vorgängen, Aktivitäten oder Bewertungen über se<strong>ch</strong>s Jahre;<br />
Unternehmen bewahren jedo<strong>ch</strong> bestimmte Protokolle meist langfristig auf,<br />
z.B. Informationen über den Zugriff auf Patientendaten (z.B.<br />
Zugriffsprotokolle <strong>für</strong> Patientenakten).<br />
– Bei FISMA ist NIST der geltende Standard, der die Aufbewahrung von<br />
bestimmten Protokollen <strong>für</strong> drei Jahre vorsieht.<br />
– Gemäß NERC müssen Audit-Datensätze drei Jahre lang aufbewahrt werden.<br />
– Internationalen Datens<strong>ch</strong>utzbestimmungen zufolge müssen Unternehmen<br />
bei Datens<strong>ch</strong>utzverletzungen u.U. Beweise <strong>für</strong> den Zugriff auf persönli<strong>ch</strong>e<br />
Informationen erbringen, der mehrere Jahre zurückliegen kann.<br />
– Bei anderen re<strong>ch</strong>tli<strong>ch</strong>en Anfragen und Ermittlungen sollte die Aufbewah -<br />
rung von Protokollen mit den entspre<strong>ch</strong>enden Ri<strong>ch</strong>tlinien <strong>für</strong> Daten bzw.<br />
Datenaufbewahrung abgestimmt sein, die mehrere Jahre vorsehen können.<br />
– Unternehmen sollten bestimmte Protokolle längerfristig aufbewahren,<br />
damit sie im Fall einer Si<strong>ch</strong>erheitsverletzung <strong>für</strong> mögli<strong>ch</strong>e Untersu<strong>ch</strong>ungen<br />
zur Verfügung stehen.<br />
Wie verfügbar<br />
müssen sie sein?<br />
Der Zugriff muss<br />
ni<strong>ch</strong>t so s<strong>ch</strong>nell<br />
wie bei Produktiv -<br />
daten erfolgen<br />
und hängt au<strong>ch</strong><br />
vom Alter der<br />
Datensätze ab;<br />
der Zugriff sollte<br />
<strong>für</strong> aktuelle<br />
Protokolle besser<br />
sein als <strong>für</strong> ältere<br />
Daten<br />
sollten alle anderen Daten wie Si<strong>ch</strong>erungs- und Ar<strong>ch</strong>ivdaten in<br />
einem Nearline- oder Offline-Spei<strong>ch</strong>er abgelegt werden.<br />
III.3. Online-Aufbewahrung von Produktivdaten <strong>für</strong> ein Jahr und<br />
drei Monate = 15 Monate (min.)<br />
Der Online-Zugriff auf Produktivdaten ermögli<strong>ch</strong>t deren häufige<br />
Verwendung <strong>für</strong> die E<strong>ch</strong>tzeit-Überwa<strong>ch</strong>ung sowie laufende<br />
Prüfungen und Analysen. Im Falle einer Si<strong>ch</strong>erheitsverletzung<br />
kann s<strong>ch</strong>nell auf die Protokolle zugegriffen werden, damit<br />
Untersu<strong>ch</strong>ungsbeamte ras<strong>ch</strong> die Ursa<strong>ch</strong>en des Vorfalls oder die<br />
Quelle der Si<strong>ch</strong>erheitslücke finden können. Außerdem werden<br />
S<strong>ch</strong>äden am System und Si<strong>ch</strong>erheitsprobleme behoben (dur<strong>ch</strong><br />
s<strong>ch</strong>nellere Untersu<strong>ch</strong>ungen werden au<strong>ch</strong> die Täter s<strong>ch</strong>neller<br />
gefunden). Die Aufbewahrung von Protokollen über diesen<br />
Mindestzeitraum ist wi<strong>ch</strong>tig, um si<strong>ch</strong>erzustellen, <strong>das</strong>s die<br />
ri<strong>ch</strong>tigen Beweise zur Verfügung stehen.<br />
Des Weiteren stellt eine 15-monatige Online-Aufbewahrungs -<br />
periode si<strong>ch</strong>er, <strong>das</strong>s alle Protokolldatensätze <strong>für</strong> interne und<br />
externe Audits oder unabhängige Bewertungen verfügbar und<br />
spontan zugängli<strong>ch</strong> sind. Wie in der obigen Tabelle gezeigt,<br />
s<strong>ch</strong>reiben die meisten Ri<strong>ch</strong>tlinien einen Audit-Zyklus von einem<br />
Jahr vor. Für Unternehmen ist eine Aufbewahrungsdauer von<br />
einem Jahr plus einer weiteren, minimalen Aufbewahrungszeit von<br />
RSA White Paper 9
einem Quartal ratsam, um den einjährigen Audit-Zyklen zu<br />
entspre<strong>ch</strong>en. Dieses zusätzli<strong>ch</strong>e Quartal bietet einen notwendigen<br />
„Puffer“, da die Audit-Zyklen von Jahr zu Jahr und abhängig von<br />
den jeweils angewendeten Vorgaben variieren.<br />
Da <strong>für</strong> den Großteil der Unternehmen vers<strong>ch</strong>iedene Ri<strong>ch</strong>tlinien<br />
gelten, müssen die Protokolldaten zumeist <strong>für</strong> mehrere Audits<br />
oder Bewertungen pro Jahr bereitstehen. Dur<strong>ch</strong> die Online-<br />
Spei<strong>ch</strong>erung der Daten können Unternehmen die Audit-Prozesse<br />
proaktiv verwalten, die Produktivität der Auditoren erhöhen und<br />
den Zeit- und Kostenaufwand <strong>für</strong> Audits reduzieren.<br />
III.4. Aufbewahrung von Si<strong>ch</strong>erungsdaten im Nearline-Spei<strong>ch</strong>er<br />
über denselben Zeitraum wie Produktivdaten<br />
So wird si<strong>ch</strong>ergestellt, <strong>das</strong>s die Si<strong>ch</strong>erungsdaten au<strong>ch</strong> dann zur<br />
Verfügung stehen, wenn Produktivdaten manipuliert oder<br />
bes<strong>ch</strong>ädigt wurden o.ä. Die Verfügbarkeit muss ni<strong>ch</strong>t dieselbe wie<br />
<strong>für</strong> Produktivdaten sein.<br />
III.5. Aufbewahrung von Ar<strong>ch</strong>ivdaten <strong>für</strong> etwa 2-7 Jahre (min.) oder<br />
länger im Nearline-Spei<strong>ch</strong>er <strong>für</strong> aktuelle Daten (z.B. bis zu<br />
fünf Jahre), ans<strong>ch</strong>ließende Vers<strong>ch</strong>iebung einiger Daten in den<br />
Offline-Spei<strong>ch</strong>er (z.B. 5 Jahre oder länger)<br />
Wie in Tabelle 3 auf der vorherigen Seite bes<strong>ch</strong>rieben, beinhalten<br />
die meisten Ri<strong>ch</strong>tlinien keinen vorges<strong>ch</strong>riebenen Zeitraum <strong>für</strong> die<br />
Aufbewahrung von Audit-Protokollen. Na<strong>ch</strong> einem Audit-Zyklus<br />
bewahren Unternehmen bestimmte Protokolle übli<strong>ch</strong>erweise <strong>für</strong><br />
mehrere Jahre auf. Das gilt besonders <strong>für</strong> die Daten, die in<br />
direktem Zusammenhang mit dem Zugriff auf Anwendungen mit<br />
ges<strong>ch</strong>ützten Informationen stehen. Unternehmen müssen si<strong>ch</strong><br />
ni<strong>ch</strong>t nur an die Anforderungen von Ri<strong>ch</strong>tlinien halten, sondern<br />
au<strong>ch</strong> an andere Anforderungen <strong>für</strong> die langfristige Aufbewahrung<br />
von Protokolldaten, z.B. re<strong>ch</strong>tli<strong>ch</strong>e Ermittlungen und forensis<strong>ch</strong>e<br />
Untersu<strong>ch</strong>ungen.<br />
Da Ar<strong>ch</strong>ivdaten ni<strong>ch</strong>t oft verwendet werden, müssen sie ni<strong>ch</strong>t<br />
online verfügbar sein. Denno<strong>ch</strong> sollten Unternehmen die Daten<br />
verfügbar halten, damit die Reaktion auf re<strong>ch</strong>tli<strong>ch</strong>e Na<strong>ch</strong>fragen,<br />
die Erstellung von Datensätzen <strong>für</strong> re<strong>ch</strong>tli<strong>ch</strong>e Ermittlungen oder<br />
die Dur<strong>ch</strong>führung von Ermittlungen ni<strong>ch</strong>t unnötig viel Zeit in<br />
Anspru<strong>ch</strong> nimmt. Spei<strong>ch</strong>er mit adressierbarem Inhalt sollte au<strong>ch</strong><br />
<strong>für</strong> die längerfristige Aufbewahrung in Betra<strong>ch</strong>t gezogen werden,<br />
um die Integrität der Informationen au<strong>ch</strong> über einen langen<br />
Zeitraum hinweg zu s<strong>ch</strong>ützen.<br />
III.6. Ri<strong>ch</strong>tlinien <strong>für</strong> die Protokollaufbewahrung sollten in<br />
Abspra<strong>ch</strong>e mit einem Re<strong>ch</strong>tsbeistand entwickelt werden<br />
Das Hinzuziehen eines Re<strong>ch</strong>tsbeistands bei der Entwicklung von<br />
Anforderungen an die Protokollaufbewahrung ist unabdingbar,<br />
und diese Anforderungen müssen mit den allgemeinen<br />
Unternehmensri<strong>ch</strong>tlinien <strong>für</strong> die Datenauf bewahrung abgestimmt<br />
werden.<br />
III.7. Berücksi<strong>ch</strong>tigung der Aufbewahrung der Original-Protokolle<br />
Wenn Protokolle als elektronis<strong>ch</strong>e Beweisstücke zur Einhaltung<br />
10<br />
RSA White Paper<br />
von Vors<strong>ch</strong>riften, in Geri<strong>ch</strong>tsverfahren oder sogar zur Unter stüt -<br />
zung interner, personalbezogener Vorgänge benötigt werden,<br />
sollte ein ho<strong>ch</strong>wertiges <strong>Log</strong>-<strong>Management</strong>-System die Verwaltung<br />
und Ar<strong>ch</strong>ivierung der ursprüngli<strong>ch</strong>en Protokolldateien<br />
vereinfa<strong>ch</strong>en.<br />
III.8. Ni<strong>ch</strong>t mehr benötigte Protokolle sollten entsorgt werden<br />
Na<strong>ch</strong> Ablauf der erforderli<strong>ch</strong>en Aufbewahrungsdauer sollten<br />
Protokolle im Einklang mit den Unternehmensri<strong>ch</strong>tlinien zur<br />
Datenverni<strong>ch</strong>tung unbrau<strong>ch</strong>bar gema<strong>ch</strong>t werden.<br />
IV. Protokollanalyse<br />
In Anbetra<strong>ch</strong>t des Datenvolumens stellt die Überwa<strong>ch</strong>ung und<br />
Prüfung von Protokollen eine Herausforderung dar. Einige<br />
Unternehmen sammeln zwar Protokolle, prüfen sie aber ni<strong>ch</strong>t, da<br />
diese Aufgabe zu kompliziert ist. In anderen Unternehmen<br />
wiederum verbringen Administratoren sehr viel Zeit mit der<br />
Prüfung von Unmengen an Protokollen. Ohne eine gute Analyse<br />
ist der Wert von Protokollen jedo<strong>ch</strong> vers<strong>ch</strong>windend gering.<br />
Die moderne, dur<strong>ch</strong> Ri<strong>ch</strong>tlinien geprägte Umgebung und die<br />
rasante Zunahme der Si<strong>ch</strong>erheitsbedrohungen erfordern, <strong>das</strong>s<br />
Unternehmen ihre Protokolle sorgfältig überwa<strong>ch</strong>en, um<br />
unbere<strong>ch</strong>tigte Zugriffe zu erkennen und die Re<strong>ch</strong>ens<strong>ch</strong>aftspfli<strong>ch</strong>t<br />
von Benutzern dur<strong>ch</strong>zusetzen. <strong>Best</strong> <strong>Practices</strong> <strong>für</strong> die<br />
Protokollanalyse müssen auf die Notwendigkeit eingehen,<br />
Analysen zu vereinfa<strong>ch</strong>en und somit dem Unternehmen die<br />
Extrahierung der zahlrei<strong>ch</strong>en Informationen aus Protokollen zu<br />
ermögli<strong>ch</strong>en.<br />
Empfohlene <strong>Best</strong> <strong>Practices</strong><br />
IV.1. Regelmäßige Prüfung und Analyse von Protokollen<br />
Dur<strong>ch</strong> regelmäßige Prüfungen und Analysen können z.B.<br />
ungewöhnli<strong>ch</strong>e Ereignisse im Netzwerk oder im Benutzerverhalten<br />
erkannt werden, die außerhalb der zulässigen Vorgaben liegen. Je<br />
na<strong>ch</strong> Systemen, Risikoumgebung und anderen Anforderungen<br />
sollten Protokolle in E<strong>ch</strong>tzeit geprüft werden – tägli<strong>ch</strong>, monatli<strong>ch</strong><br />
oder alle 90 Tage. Einige Vors<strong>ch</strong>riften und Standards beinhalten<br />
besondere Anforderungen zur Prüfung von Protokollen (weitere<br />
Informationen hierzu finden Sie in Anhang 2 „Compliance-<br />
Anforderungen <strong>für</strong> <strong>das</strong> <strong>Log</strong>-<strong>Management</strong>“).<br />
IV.2. Protokollsammlungen mit zentral verwalteter Infrastruktur<br />
<strong>für</strong> <strong>das</strong> <strong>Log</strong>-<strong>Management</strong><br />
Dur<strong>ch</strong> <strong>das</strong> Sammeln von Protokollen wird die Analyse einfa<strong>ch</strong>er<br />
und zuverlässiger.<br />
IV.3. Automatisierung eines Großteils des<br />
Protokollanalyseprozesses<br />
Dur<strong>ch</strong> die Automatisierung kann die Analyse deutli<strong>ch</strong> verbessert<br />
werden, da sie viel weniger Zeit in Anspru<strong>ch</strong> nimmt und<br />
wertvollere Ergebnisse liefert. Die manuelle Analyse von
Protokolldaten wird von Administratoren oft als uninteressant und<br />
ineffizient wahrgenommen. Sie wird häufig als Aufgabe mit<br />
niedriger Priorität eingestuft und deshalb gar ni<strong>ch</strong>t oder aber<br />
mangelhaft und inkonsistent dur<strong>ch</strong>geführt. Sie sollte au<strong>ch</strong> die<br />
Verwendung automatisierter, interaktiver Systeme beinhalten, die<br />
aufzei<strong>ch</strong>nen, wel<strong>ch</strong>e Protokolle bereits geprüft wurden. Ein<br />
Prüfungsprozess mit höherem Automatisierungsgrad entbindet<br />
Mitarbeiter von der manuellen Prüfung, und sie können nun<br />
wertigere Aufgaben übernehmen.<br />
IV.4. Nutzung von Zuordnungs-Tools, um eine ganzheitli<strong>ch</strong>e Si<strong>ch</strong>t<br />
zu erlangen und die Anzahl der Fehlalarme zu reduzieren<br />
Der Großteil der Unternehmen setzt viele vers<strong>ch</strong>iedene Systeme<br />
<strong>für</strong> die Protokollerstellung ein, darunter au<strong>ch</strong> Si<strong>ch</strong>erheitssysteme,<br />
Betriebs- und Spei<strong>ch</strong>ersysteme und Anwendungen. Die separate<br />
Prüfung von Protokollen aus vielen Systemen ist s<strong>ch</strong>wierig,<br />
ineffizient und kann u.U. lückenhaft sein. Angriffe betreffen oft<br />
vers<strong>ch</strong>iedene Informationen. Werden nur bestimmte, isolierte<br />
Daten betra<strong>ch</strong>tet, ers<strong>ch</strong>eint eine einzige Aktivität mögli<strong>ch</strong>erweise<br />
ni<strong>ch</strong>t bedrohli<strong>ch</strong>. Zuordnungs-Tools su<strong>ch</strong>en über mehrere<br />
Systeme hinweg na<strong>ch</strong> Ereignismustern. Sie sind bei der<br />
Reduzierung von Fehlalarmen besonders hilfrei<strong>ch</strong>.<br />
IV.5. Verwendung automatis<strong>ch</strong>er Beri<strong>ch</strong>tsfunktionen zur<br />
Vereinfa<strong>ch</strong>ung der Protokollprüfung dur<strong>ch</strong> die Erstellung von<br />
Beri<strong>ch</strong>ten<br />
Ein Beri<strong>ch</strong>tsprozess sollte den Inhalt von Beri<strong>ch</strong>ten, die Häufigkeit<br />
ihrer Erstellung und den Erstellungszweck definieren.<br />
IV.6. Prüfungsverfahren sollten die E<strong>ch</strong>tzeitüberwa<strong>ch</strong>ung<br />
entspre<strong>ch</strong>ender <strong>Log</strong>-Events beinhalten<br />
Übli<strong>ch</strong>erweise werden die meisten Protokolle ni<strong>ch</strong>t in E<strong>ch</strong>tzeit<br />
analysiert, obwohl dies unabdingbar <strong>für</strong> die Erkennung von<br />
unbere<strong>ch</strong>tigten Zugriffsversu<strong>ch</strong>en und Aktivitäten sowie die<br />
Verhinderung oder zumindest Reduzierung dieser Vorfälle ist.<br />
IV.7. Erstellung eines Alarmsystems auf Basis von Prioritäten<br />
Mitarbeiter sollten wissen, was zu tun ist, wenn eine verdä<strong>ch</strong>tige,<br />
ni<strong>ch</strong>t normale Aktivität erkannt wird. Dabei ist zu bea<strong>ch</strong>ten, <strong>das</strong>s<br />
ni<strong>ch</strong>t <strong>für</strong> alle Ereignisse ein Alarm ausgelöst werden soll, da dies<br />
den Zweck der Sa<strong>ch</strong>e außer Kraft setzt und die Aufmerksamkeit<br />
der Mitarbeiter s<strong>ch</strong>ließli<strong>ch</strong> s<strong>ch</strong>windet. Priorisieren Sie, <strong>für</strong> wel<strong>ch</strong>e<br />
Ereignisse ein Alarm notwendig ist.<br />
IV.8. Entwicklung einer Basiszusammenstellung typis<strong>ch</strong>er<br />
Protokolleinträge, um ungewöhnli<strong>ch</strong>e oder unnormale<br />
Ereignisse oder Aktivitäten erkennen zu können<br />
Dur<strong>ch</strong> die Festlegung, wel<strong>ch</strong>e Protokolleinträge von Interesse sind<br />
und wel<strong>ch</strong>e ni<strong>ch</strong>t, lassen si<strong>ch</strong> ungewöhnli<strong>ch</strong>e bzw. unnormale<br />
Ereignisse lei<strong>ch</strong>ter erkennen, und man kann s<strong>ch</strong>neller auf sie<br />
reagieren.<br />
V. S<strong>ch</strong>utz und Si<strong>ch</strong>erheit von Protokollen<br />
<strong>Best</strong> <strong>Practices</strong> müssen die Vertrauli<strong>ch</strong>keit, Integrität und<br />
Verfügbarkeit von Protokollen über deren gesamten Lebenszyklus<br />
hinweg si<strong>ch</strong>erstellen. Das Unternehmen muss verhindern, <strong>das</strong><br />
Protokollierungsmethoden deaktiviert oder missbrau<strong>ch</strong>t werden.<br />
Zudem muss es si<strong>ch</strong>erstellen, <strong>das</strong>s Protokolldateien ni<strong>ch</strong>t<br />
bearbeitet oder gelös<strong>ch</strong>t werden können und darüber hinaus bei<br />
einem Vorfall die Business Continuity der Protokollierungsdienste<br />
gewährleisten.<br />
Protokolle, die bei der Spei<strong>ch</strong>erung oder Übertragung ni<strong>ch</strong>t<br />
ausrei<strong>ch</strong>end ges<strong>ch</strong>ützt sind, können lei<strong>ch</strong>t einer beabsi<strong>ch</strong>tigten<br />
oder unbeabsi<strong>ch</strong>tigten Änderung oder Zerstörung zum Opfer<br />
fallen. So bleiben mögli<strong>ch</strong>erweise betrügeris<strong>ch</strong>e Aktivitäten<br />
unbemerkt, und Beweise werden eventuell manipuliert, um die<br />
Identität der Betrüger zu vers<strong>ch</strong>leiern. Viele Rootkits sind z.B.<br />
speziell darauf ausgelegt, Protokolle zu verändern, um jegli<strong>ch</strong>e<br />
Beweise der Installation des Rootkits oder seiner Ausführung zu<br />
entfernen.<br />
Empfohlene <strong>Best</strong> <strong>Practices</strong><br />
V.1. S<strong>ch</strong>utz der Prozesse, die die Protokolleinträge erstellen<br />
Ni<strong>ch</strong>t autorisierte Benutzer sollten Protokollquellenprozesse,<br />
ausführbare Dateien, Konfigurationsdateien und andere<br />
Komponenten der Protokollquellen, die die Protokollerstellung<br />
beeinträ<strong>ch</strong>tigen könnten, ni<strong>ch</strong>t ändern dürfen. Die Verwaltung der<br />
Quellen <strong>für</strong> die Protokollerstellung sollte ebenfalls protokolliert<br />
werden und mittels genehmigter Ri<strong>ch</strong>tlinien und Verfahren <strong>für</strong> die<br />
Änderungskontrolle gesteuert werden.<br />
V.2. Begrenzter Zugriff auf Protokolldateien<br />
Im Allgemeinen sollten nur Administratoren und Auditoren zu<br />
Prüfungs- und Verwaltungszwecken Zugriff auf Protokolldateien<br />
erhalten. Die Zugriffe von bere<strong>ch</strong>tigten Benutzern (d.h.<br />
Administrator und Auditor) sollten protokolliert und von anderen<br />
Personen außerhalb dieser Benutzerdomäne häufig und<br />
eingehend geprüft werden.<br />
V.3. Implementierung si<strong>ch</strong>erer Me<strong>ch</strong>anismen <strong>für</strong> die Übertragung<br />
von Protokolldaten<br />
Viele Protokolle werden im Klartext übermittelt. Die Über tragung<br />
sollte mit Verfahren wie beispielsweise der Ver s<strong>ch</strong>lüsselung<br />
ges<strong>ch</strong>ützt werden (z.B. IPSec, SFTP oder SSL).<br />
V.4. S<strong>ch</strong>utz <strong>für</strong> gespei<strong>ch</strong>erte Protokolldateien<br />
Dazu zählt die Zugriffsbes<strong>ch</strong>ränkung auf Spei<strong>ch</strong>er me<strong>ch</strong>anismen<br />
<strong>für</strong> autorisierte Benutzer, die Bereitstellung einer ausrei<strong>ch</strong>enden<br />
Spei<strong>ch</strong>erkapazität und der Einsatz von WORM-Te<strong>ch</strong>nologien.<br />
V.5. S<strong>ch</strong>utz der Vertrauli<strong>ch</strong>keit und Integrität von Protokolldateien<br />
Dazu können Message Digest, Vers<strong>ch</strong>lüsselung oder digitale<br />
Signaturen verwendet werden.<br />
RSA White Paper 11
V.6. Angemessener physikalis<strong>ch</strong>er S<strong>ch</strong>utz <strong>für</strong><br />
Protokollierungsmethoden und gespei<strong>ch</strong>erte Protokolle<br />
Dieser S<strong>ch</strong>utz beinhaltet die Verhinderung von unerlaubten<br />
physikalis<strong>ch</strong>en Zugriffen und den Einsatz geeigneter<br />
Steuerme<strong>ch</strong>anismen <strong>für</strong> die Umgebung.<br />
V.7. Beibehaltung der Business Continuity <strong>für</strong><br />
Protokollierungsdienste<br />
Unterbre<strong>ch</strong>ungen der Ges<strong>ch</strong>äftsaktivitäten sollte entgegengewirkt<br />
werden. Dazu muss si<strong>ch</strong>ergestellt sein, <strong>das</strong>s die<br />
Protokollierungsdienste bei einem Systemausfall oder<br />
Computerfehler zeitnah anhand von redundanten Protokollservern<br />
wiederhergestellt werden können.<br />
Zusammenfassung<br />
Die Entwicklung von <strong>Best</strong> <strong>Practices</strong> <strong>für</strong> <strong>das</strong> <strong>Log</strong>-<strong>Management</strong> ist<br />
keine einfa<strong>ch</strong>e Aufgabe. Sie erfordert erhebli<strong>ch</strong>e Ressourcen und<br />
einen hohen Aufwand. Dur<strong>ch</strong> die umfassenden <strong>Best</strong> <strong>Practices</strong>, die<br />
alle wi<strong>ch</strong>tigen Komponenten des <strong>Log</strong>-<strong>Management</strong> abdecken,<br />
sollte dieses Whitepaper die Entwicklung des <strong>Log</strong>-<strong>Management</strong><br />
deutli<strong>ch</strong> vereinfa<strong>ch</strong>en. Die dur<strong>ch</strong> Ri<strong>ch</strong>tlinien geprägte Umgebung<br />
und die rasante Zunahme der Si<strong>ch</strong>erheitsbedrohungen verlangen<br />
na<strong>ch</strong> einer immer intensiveren Protokollierung und einer längeren<br />
Aufbewahrung und Spei<strong>ch</strong>erung von Protokolldateien als die<br />
meisten Unternehmen leisten können. Die Einhaltung von<br />
Compliance- und Si<strong>ch</strong>erheitsanforderungen muss zudem mit den<br />
Ges<strong>ch</strong>äftszielen in Einklang gebra<strong>ch</strong>t werden. Darüber hinaus<br />
sorgt ein leistungsstarkes <strong>Log</strong>-<strong>Management</strong> au<strong>ch</strong> <strong>für</strong> eine<br />
gesteigerte Produktivität und Effizienz und ermögli<strong>ch</strong>t<br />
Kosteneinsparungen in vers<strong>ch</strong>iedenen Berei<strong>ch</strong>en im gesamten<br />
Unternehmen – und in der Folge einen gesunden Return-on-<br />
Investment.<br />
Lösungen <strong>für</strong> die Implementierung von <strong>Best</strong> <strong>Practices</strong><br />
Die Einführung von <strong>Best</strong> <strong>Practices</strong> im <strong>Log</strong>-<strong>Management</strong> liefert die<br />
Grundlage <strong>für</strong> eine umfassende Verwaltung von<br />
Si<strong>ch</strong>erheitsinformationen und -ereignissen (SIEM). RSA stellt Endto-End-Lösungen<br />
bereit, mit denen Unternehmen eine zentral<br />
verwaltete Infrastruktur speziell <strong>für</strong> diesen Zweck einri<strong>ch</strong>ten<br />
können. Die RSA enVision SIEM-Plattform sammelt Protokolle aus<br />
dem gesamten Unternehmen und wandelt diese Informationen in<br />
nutzbare Daten <strong>für</strong> Compliance- und Si<strong>ch</strong>erheitsziele um. Dur<strong>ch</strong><br />
den gemeinsamen Einsatz von RSA enVision und<br />
Netzwerkspei<strong>ch</strong>erlösungen können Unternehmen den gesamten<br />
Lebenszyklus von Protokollinformationen mit einem<br />
mehrs<strong>ch</strong>i<strong>ch</strong>tigen Spei<strong>ch</strong>eransatz verwalten. Dabei werden die<br />
Protokolle auf vers<strong>ch</strong>iedenen Spei<strong>ch</strong>erressourcen abgelegt,<br />
abhängig vom Alter und vom Verwendungsbedarf der<br />
Protokolldaten.<br />
12<br />
RSA White Paper<br />
Die RSA enVision-Plattform arbeitet nahtlos mit den EMC-<br />
Spei<strong>ch</strong>erlösungen Celerra®, Clariion®, Symmetrix® und<br />
Centera® zusammen, um eine e<strong>ch</strong>te End-to-End-Lösung <strong>für</strong> <strong>das</strong><br />
Lebenszyklusmanagement von Protokolldaten bereitzustellen. Mit<br />
dieser Lösung können Unternehmen die enormen<br />
Protokolldatenmengen von der Erstellung bis zur Lös<strong>ch</strong>ung<br />
verwalten, um die Anforderungen von gesetzli<strong>ch</strong>en Vors<strong>ch</strong>riften,<br />
Si<strong>ch</strong>erheitsabteilungen und Ges<strong>ch</strong>äftsabläufen einzuhalten.<br />
Weitere Informationen zu RSA enVision erhalten Sie unter<br />
www.rsa.com. Weitere Informationen zu EMC-Spei<strong>ch</strong>erlösungen<br />
eins<strong>ch</strong>ließli<strong>ch</strong> EMC Celerra, Clariion, Symmetrix und Centera<br />
finden Sie unter www.emc.com.
Anhang 1: Quellen und Inhalte von Protokollen<br />
Si<strong>ch</strong>erheitssysteme und Software<br />
Anti-Malware – Anti-Viren-Software, Anti-Spyware und Rootkit-<br />
Erkennungssoftware<br />
Systeme zur Erkennung und Verhinderung von unerwüns<strong>ch</strong>tem<br />
Eindringen<br />
Systeme <strong>für</strong> den Remote- und Wireless-Zugriff – z.B. Virtual<br />
Private Networks (VPN)<br />
Web-Proxy-Server – aufgerufene URLs<br />
Software zur Verwaltung von S<strong>ch</strong>wa<strong>ch</strong>stellen – darunter Software<br />
<strong>für</strong> die Pat<strong>ch</strong>-Verwaltung und Bewertung von S<strong>ch</strong>wa<strong>ch</strong>stellen<br />
Authentifizierungsserver – Verzei<strong>ch</strong>nisserver und Single-Sign-On-<br />
Server<br />
Operative Systeme<br />
Beispiele <strong>für</strong> aufgezei<strong>ch</strong>nete Vorfälle und Aktivitäten<br />
– Vers<strong>ch</strong>iedene Fälle erkannter Malware<br />
– Versu<strong>ch</strong>e von Datei- und Systemdesinfektion<br />
– Dateiquarantäne<br />
– Scannen na<strong>ch</strong> Malware<br />
– Signaturen oder Software-Updates<br />
– Verdä<strong>ch</strong>tiges Verhalten<br />
– Erkannte Angriffe<br />
– Maßnahmen zur Verhinderung böswilliger Aktivitäten<br />
– Anmeldeversu<strong>ch</strong>e<br />
– In der Sitzung empfangene und versendete Datenmenge<br />
– Pat<strong>ch</strong>-Installationshistorie<br />
– S<strong>ch</strong>wa<strong>ch</strong>stellenstatus<br />
– Bekannte S<strong>ch</strong>wa<strong>ch</strong>stellen<br />
– Fehlende Software-Upgrades<br />
– Authentifizierungsversu<strong>ch</strong>e<br />
Router und Swit<strong>ch</strong>es – gesperrte Aktivitäten<br />
Firewalls – detaillierte Protokolle zur Netzwerkaktivität<br />
Netzwerk-Quarantäne-Server – Status der Host-Si<strong>ch</strong>erheitsprüfungen<br />
– Hosts in Quarantäne und Ursa<strong>ch</strong>en<br />
– z.B. <strong>für</strong> Server, Workstations und Netzwerkgeräte wie Router,<br />
Swit<strong>ch</strong>es, usw.<br />
Beispiele <strong>für</strong> aufgezei<strong>ch</strong>nete Vorfälle und Aktivitäten<br />
– Systemereignisse<br />
Herunterfahren des<br />
Systems<br />
Service-Start<br />
– Si<strong>ch</strong>erheitsereignisse<br />
Dateizugriffe<br />
Ri<strong>ch</strong>tlinienänderungen<br />
Anwendungen Beispiele <strong>für</strong> aufgezei<strong>ch</strong>nete Vorfälle und Aktivitäten<br />
– z.B. E-Mail-Server und -Clients, Webserver und Webbrowser,<br />
Dateiserver und Clients <strong>für</strong> <strong>das</strong> File Sharing, Datenbankserver und<br />
-clients sowie Ges<strong>ch</strong>äftsanwendungen (z.B. Supply Chain<br />
<strong>Management</strong>, Finanzmanagement, Bes<strong>ch</strong>affungssysteme,<br />
Enterprise Resource Planning, Customer Relationship <strong>Management</strong><br />
und benutzerspezifis<strong>ch</strong>e Anwendungen)<br />
– Client-Anfragen und Serverantwort<br />
– Authentifizierungsversu<strong>ch</strong>e<br />
– Kontenänderungen<br />
– Verwendung von Benutzerre<strong>ch</strong>ten<br />
– Anzahl und Größe der Transaktionen<br />
– Ereignisse im Betrieb<br />
Starten und Herunterfahren<br />
– Konfigurationsänderungen<br />
– Anwendungsspezifis<strong>ch</strong>e Ereignisse<br />
wie z.B.:<br />
E-Mail senden und empfangen<br />
Dateizugriff<br />
Service-Anfrage<br />
Transaktion<br />
Funktionsausführung (z.B. Lesen,<br />
S<strong>ch</strong>reiben, Ändern, Lös<strong>ch</strong>en)<br />
RSA White Paper 13
Anhang 2: Compliance-Anforderungen <strong>für</strong> <strong>das</strong> <strong>Log</strong>-<strong>Management</strong><br />
Hinweis: ni<strong>ch</strong>t vollständig, zu Darstellungszwecken vereinfa<strong>ch</strong>t<br />
Beispiele <strong>für</strong> Re<strong>ch</strong>te und Ri<strong>ch</strong>tlinien, die den S<strong>ch</strong>utz von Informationen<br />
vors<strong>ch</strong>reiben<br />
Relevanter<br />
Standard (falls<br />
zutreffend)<br />
Ges<strong>ch</strong>ützte<br />
Informatio nen<br />
14<br />
Sarbanes-<br />
Oxley (SOX)<br />
RSA White Paper<br />
Bran<strong>ch</strong>enspezifis<strong>ch</strong>er<br />
Datens<strong>ch</strong>utz 1<br />
COBIT NIST SP 800-<br />
66 <strong>für</strong> HIPAA,<br />
FFIEC <strong>für</strong><br />
GLBA<br />
Finanz-systeme<br />
und<br />
Informatio -<br />
nen zur<br />
Erstellung<br />
von Finanz -<br />
beri<strong>ch</strong>ten<br />
Z.B.<br />
ges<strong>ch</strong>ützte<br />
Patienten -<br />
daten, persönli<strong>ch</strong>e<br />
Finanzdaten<br />
von Kunden<br />
Federal<br />
Information<br />
Security<br />
<strong>Management</strong><br />
Act (FISMA)<br />
NIST SP 800<br />
(bes. SP 800-<br />
53)<br />
Informationen<br />
auf<br />
Bundesebene<br />
Anforderung – was wird protokolliert? (Beispiele)<br />
Individueller<br />
Benutzerzugriff<br />
auf ges<strong>ch</strong>ützte<br />
Informationen<br />
Administrative<br />
Vorgänge und<br />
Verwendung von<br />
Zugriffsre<strong>ch</strong>ten<br />
Ungültige Zu -<br />
griffsversu<strong>ch</strong>e<br />
Si<strong>ch</strong>erheitser -<br />
eignisse im<br />
System 10<br />
Zugriff auf Audit<br />
Trails<br />
Prüfung von<br />
Protokollen in<br />
bestimmten<br />
Zeitabständen<br />
Zusammenführun<br />
g von Protokollen,<br />
Zuordnung und<br />
Automatisierung<br />
von Audit-Proto -<br />
kollen<br />
Si<strong>ch</strong>erheit und<br />
S<strong>ch</strong>utz <strong>für</strong> pro -<br />
tokollierte<br />
Daten<br />
Zeitstempel<br />
bzw. Syn<strong>ch</strong>roni -<br />
sierung<br />
Legende<br />
k.A. = keine Angabe<br />
E = Erforderli<strong>ch</strong><br />
Globaler<br />
Datens<strong>ch</strong>utz²<br />
ISO<br />
17799/27001<br />
Persönli<strong>ch</strong>e<br />
Informatio -<br />
nen<br />
21 CFR Part<br />
11 (FDA)/<br />
Annex 11 (EU)<br />
ISO 17799/<br />
27001<br />
Elektronis<strong>ch</strong>e<br />
Daten <strong>für</strong> die<br />
Entwicklung<br />
und<br />
Herstellung<br />
von Medika -<br />
menten<br />
Bran<strong>ch</strong>en- und Informationssi<strong>ch</strong>erheitsstandards<br />
Payment Card<br />
Industry Data<br />
Security<br />
Standard (PCI<br />
DSS)<br />
Informationen<br />
von Karten -<br />
inhabern<br />
Internationale<br />
Organisation<br />
<strong>für</strong> Normung:<br />
„Code of<br />
Practice for<br />
Information<br />
Security<br />
<strong>Management</strong>“<br />
(ISO<br />
17799/27001)<br />
Standards <strong>für</strong><br />
Cyber Security<br />
der North<br />
American<br />
Electric<br />
Reliability<br />
Council<br />
(NERC)<br />
UNT Kritis<strong>ch</strong>e digitale<br />
Assets3,<br />
die die Zuver -<br />
lässigkeit von<br />
elektris<strong>ch</strong>en<br />
Hauptsystemen<br />
steuern oder<br />
diese beeinflussen<br />
könn ten<br />
Sonderausgaben<br />
des<br />
National<br />
Institute of<br />
Science and<br />
Te<strong>ch</strong>nology,<br />
800-er Serie<br />
(z.B. 800-53,<br />
61, 66 & 92)<br />
IT-Handbu<strong>ch</strong><br />
zur<br />
Informationssi<strong>ch</strong>erheit<br />
des<br />
Federal<br />
Financial<br />
Institutions<br />
Examination<br />
Council<br />
(FFIEC)<br />
UNT UNT UNT<br />
Control<br />
Objectives for<br />
Information<br />
Te<strong>ch</strong>nology<br />
(COBIT)<br />
k.A. Angebra<strong>ch</strong>t 4 Angebra<strong>ch</strong>t 5 Angebra<strong>ch</strong>t 6 E 7 E E E E E Angebra<strong>ch</strong>t 8<br />
k.A. k.A. k.A. k.A. k.A. E E E k.A. E k.A.<br />
k.A. Angebra<strong>ch</strong>t 9 k.A. k.A. k.A. E E E k.A. E k.A.<br />
k.A. k.A. k.A. k.A. k.A. E E E E E Angebra<strong>ch</strong>t 11<br />
k.A. k.A. k.A. k.A. k.A. E E k.A. E E k.A.<br />
k.A. HIPAA<br />
erfordert die<br />
regelmäßige<br />
Prüfung von<br />
Audit-Protokollen<br />
k.A. k.A. k.A. Tägli<strong>ch</strong>e<br />
Prüfung von<br />
Protokollen<br />
und 24/7-<br />
Überwa<strong>ch</strong>ung<br />
ni<strong>ch</strong>t autori -<br />
sierter<br />
Zugriffs -<br />
versu<strong>ch</strong>e<br />
Regelmäßige<br />
Prüfungen;<br />
mehr <strong>für</strong><br />
Benutzer -<br />
zugriffsre<strong>ch</strong>te<br />
Protokollprüfung<br />
mind.<br />
Alle 90 Tage<br />
und 24/7-<br />
Überwa<strong>ch</strong>ung<br />
ni<strong>ch</strong>t<br />
autorisierter<br />
Zugriffs -<br />
versu<strong>ch</strong>e<br />
Regelmäßige<br />
Prüfung von<br />
Audit-Proto -<br />
kollen erforderli<strong>ch</strong>;<br />
<strong>für</strong> HIPAA,<br />
800-66 erfor -<br />
dert die Proto -<br />
kollprüfung<br />
zweimal pro<br />
Wo<strong>ch</strong>e<br />
Regelmäßige u.<br />
re<strong>ch</strong>tzeitige<br />
Prü fung erfor -<br />
derli<strong>ch</strong>, z.B.<br />
tägli<strong>ch</strong>e Prü -<br />
fung eini ger<br />
Protokolle und<br />
E<strong>ch</strong>tzeit-Über -<br />
wa<strong>ch</strong>ung ande -<br />
rer Protokolle<br />
k.A. k.A. k.A. k.A. k.A. EMPF. EMPF. EMPF. EMPF. EMPF. EMPF.<br />
k.A. k.A. k.A. k.A. k.A. E E k.A. E E k.A.<br />
k.A. k.A. k.A. k.A. E E E E E E k.A.<br />
UNT = unternehmensdefiniert<br />
EMPF. = empfohlen<br />
k.A.<br />
– Fortsetzung
Aufbewahrung<br />
Angegebene<br />
Mindestdauer<br />
Benötigte<br />
Aufbewahrungs -<br />
dauer, um<br />
Audit-Zyklus zu<br />
entspre<strong>ch</strong>en<br />
(unabhängige<br />
Bewertung)<br />
Langfristige<br />
Aufbewahrung<br />
von Daten -<br />
sätzen, die<br />
Audit-Proto -<br />
kolle enthalten<br />
könnten<br />
k.A. k.A. k.A. k.A. k.A. Mind. 1 Jahr UNT Mind. 90 Tage UNT UNT UNT<br />
1 Jahr:<br />
Jährli<strong>ch</strong>e<br />
Bewertung<br />
interner<br />
Kontrollen<br />
1 Jahr:<br />
Regelmäßige<br />
Si<strong>ch</strong>erheitsprüfung<br />
vor -<br />
ges<strong>ch</strong>rieben:<br />
übli<strong>ch</strong>er<br />
Zyklus<br />
beträgt ein<br />
Jahr 12<br />
7 Jahre 15 6 Jahre <strong>für</strong><br />
HIPAA; k.A.<br />
<strong>für</strong> GLBA 16<br />
Hinweise zur Tabelle in Anhang 2<br />
1 Jahr:<br />
Jährli<strong>ch</strong>e<br />
Auswertung<br />
von Si<strong>ch</strong>er -<br />
heitsmaß -<br />
nahmen<br />
erforderli<strong>ch</strong><br />
1-3 Jahre:<br />
Audits oder<br />
Bewertungen<br />
alle ein bis<br />
drei Jahre<br />
erforderli<strong>ch</strong> 13<br />
Variiert:<br />
Unterliegt<br />
regelmäßiger<br />
Prüfung<br />
dur<strong>ch</strong> Regu -<br />
lierungs -<br />
behörde<br />
k.A. k.A. Abhängig von<br />
besonderen<br />
Regeln zur<br />
Aufbewahrung<br />
betroffener<br />
elektronis<strong>ch</strong>er<br />
Datensätze;<br />
können viele<br />
Jahre sein 17<br />
1 Jahr:<br />
Jährli<strong>ch</strong>e<br />
Eigenbewer -<br />
tung oder<br />
Vor-Ort-Audit<br />
Keine Angabe,<br />
obwohl<br />
erforderli<strong>ch</strong>e<br />
Aufbewah -<br />
rungsdauer<br />
mindestens<br />
1 Jahr beträgt<br />
01 z.B. der Health Insurance Portability and Accountability Act (HIPAA) und der Gramm-Lea<strong>ch</strong>-Bliley Act (GLBA)<br />
k.A. 1 Jahr: Zeit -<br />
rahmen <strong>für</strong><br />
Compliance-<br />
Prüfung<br />
beträgt 1 Jahr;<br />
Ni<strong>ch</strong>t-Vorhan -<br />
densein von<br />
Lücken in Pro -<br />
to kollen muss<br />
über ein Jahr<br />
na<strong>ch</strong>weisbar<br />
sein<br />
k.A. Audit-Auf -<br />
zei<strong>ch</strong> nungen<br />
müssen <strong>für</strong><br />
3 Jahre aufbewahrt<br />
werden<br />
k.A. Auf Basis der<br />
Risikoanalyse:<br />
Vierteljähr -<br />
li<strong>ch</strong>e interne<br />
Audits und<br />
jährli<strong>ch</strong>e<br />
unabhängige<br />
Audits empfohlen<br />
<strong>Best</strong>immte<br />
Protokolle<br />
sollten <strong>für</strong><br />
3 Jahre aufbewahrt<br />
werden<br />
k.A. k.A.<br />
02 z.B. die EU-Datens<strong>ch</strong>utzri<strong>ch</strong>tlinie (EU DPD), der Japan Personal Information Protection Act (PIPA) und der Canada Personal Information Protection and Electronic Documents Act (PIPEDA)<br />
03 Computer, Software und Kommunikationsnetzwerke<br />
04 Die Art der zu sammelnden Audit-Protokolle ist ni<strong>ch</strong>t angegeben, aber die Protokollierung des persönli<strong>ch</strong>en Zugriffs auf Daten wird sowohl im HIPAA als au<strong>ch</strong> im GLBA auf Basis der<br />
Anforderungen <strong>für</strong> die Zugriffssteuerung vorges<strong>ch</strong>rieben, die individuelle Benutzer und Audit-Kontrollen identifiziert, um die Systemaktivität zu überwa<strong>ch</strong>en und zu prüfen, z.B.<br />
Zugriffsberi<strong>ch</strong>te.<br />
05 FISMA gibt die Art der zu sammelnden Audit-Protokolle ni<strong>ch</strong>t an, berücksi<strong>ch</strong>tigt jedo<strong>ch</strong> die Protokollierung des individuellen Zugriffs auf Daten, da diese Daten allgemein vor unbefugtem<br />
Zugriff ges<strong>ch</strong>ützt werden müssen, und zwar mithilfe von geeigneten Informationssi<strong>ch</strong>erheitsstufen. Es ist s<strong>ch</strong>wierig bis unmögli<strong>ch</strong>, Daten vor unbefugtem Zugriff zu s<strong>ch</strong>ützen, es sei denn,<br />
die Zugriffe auf diese Informationen werden protokolliert.<br />
06 Obwohl globale Datens<strong>ch</strong>utzbestimmungen die Art der zu sammelnden Audit-Protokolle ni<strong>ch</strong>t angeben, berücksi<strong>ch</strong>tigen alle <strong>Best</strong>immungen jedo<strong>ch</strong> die Protokollierung des individuellen<br />
Zugriffs auf Daten, da diese Daten allgemein dur<strong>ch</strong> vernünftige und geeignete Maßnahmen vor unbefugtem Zugriff ges<strong>ch</strong>ützt werden müssen. Es ist s<strong>ch</strong>wierig bis unmögli<strong>ch</strong>, Daten vor<br />
unbefugtem Zugriff zu s<strong>ch</strong>ützen, es sei denn, die Zugriffe auf diese Informationen werden protokolliert.<br />
07 Part 11 fordert den einges<strong>ch</strong>ränkten Systemzugriff <strong>für</strong> einzelne, autorisierte Benutzer und die Verwendung si<strong>ch</strong>erer, computergenerierter Audit-Trails mit Zeitstempel, um Datum und<br />
Zeitpunkt von Benutzereinträgen sowie Vorgänge, die elektronis<strong>ch</strong>e Datensätze erstellen, ändern oder lös<strong>ch</strong>en, separat aufzuzei<strong>ch</strong>nen.<br />
08 COBIT s<strong>ch</strong>reibt die Protokollierung des individuellen Benutzerzugriffs auf Daten ni<strong>ch</strong>t vor, erfordert jedo<strong>ch</strong> Kontrollen zur eindeutigen Benutzerauthentifizierung und die Protokollierung<br />
von Si<strong>ch</strong>erheitsaktivitäten auf System-, Anwendungs- und Datenbankebene.<br />
09 „Verfahren <strong>für</strong> die Überwa<strong>ch</strong>ung von Anmeldeversu<strong>ch</strong>en und Bena<strong>ch</strong>ri<strong>ch</strong>tigungen über Abwei<strong>ch</strong>ungen“ sind eine adressierbare Implementierungsspezifikation unter HIPAA.<br />
10 Kann vers<strong>ch</strong>iedene Protokolle von Si<strong>ch</strong>erheitssystemen enthalten, z.B. Anti-Malware, Firewalls, Systeme zur Erkennung und Verhinderung von unerwüns<strong>ch</strong>tem Eindringen, Virtual Private<br />
Networks, Software zur Verwaltung von S<strong>ch</strong>wa<strong>ch</strong>stellen und Authentifizierungsserver.<br />
11 COBIT erfordert <strong>das</strong> Vorhandensein und die Verwendung geeigneter Si<strong>ch</strong>erheitsmaßnahmen, darunter Firewalls, Systeme zur Erkennung von Eindringlingen und die Bewertung von<br />
S<strong>ch</strong>wa<strong>ch</strong>stellen, um den unerlaubten Zugriff über öffentli<strong>ch</strong>e Netzwerke zu verhindern.<br />
12 Die meisten Unternehmen führen eine jährli<strong>ch</strong>e Prüfung der Si<strong>ch</strong>erheitsmaßnahmen dur<strong>ch</strong> (gemäß GLBA muss der Vorstand einmal pro Jahr die Si<strong>ch</strong>erheit prüfen).<br />
13 Der Prozess der EU-Datens<strong>ch</strong>utzri<strong>ch</strong>tlinie „Safe Harbor“ s<strong>ch</strong>reibt jährli<strong>ch</strong>e Audits vor; der gültige Standard ist ISO 17799/27001 und erfordert na<strong>ch</strong> der ersten Zertifizierung alle drei Jahre<br />
eine erneute Zertifizierung.<br />
14 Gemäß COBIT müssen Daten zu Systemereignissen ausrei<strong>ch</strong>end lange aufbewahrt werden, um <strong>ch</strong>ronologis<strong>ch</strong>e Informationen liefern zu können und anhand von Protokollen die Prüfung<br />
und Rekonstruktion der Datenverarbeitung zu ermögli<strong>ch</strong>en.<br />
15 SOX s<strong>ch</strong>reibt vor, Dokumente und Kommunikationsdaten in Bezug auf ein Audit <strong>für</strong> sieben Jahre aufzubewahren; die Aufbewahrungsdauer von Protokollen wird ni<strong>ch</strong>t erwähnt.<br />
Unternehmen bewahren jedo<strong>ch</strong> bestimmte Protokolle meist langfristig auf, z.B. sol<strong>ch</strong>e, die in direktem Zusammenhang mit dem Na<strong>ch</strong>weis der Integrität von Finanzberi<strong>ch</strong>ten stehen (z.B.<br />
Zugriffsprotokolle <strong>für</strong> wi<strong>ch</strong>tige Finanzanwendungen).<br />
16 HIPAA erfordert die Aufbewahrung von Dokumenten zu Ri<strong>ch</strong>tlinien, Verfahren, Vorgängen, Aktivitäten oder Bewertungen über se<strong>ch</strong>s Jahre, beinhaltet aber keine Angaben zur<br />
Aufbewahrungsdauer von Protokollen; Unternehmen bewahren jedo<strong>ch</strong> bestimmte Protokolle meist langfristig auf, z.B. Informationen über den Zugriff auf Patientendaten (z.B.<br />
Zugriffsprotokolle <strong>für</strong> Patientenakten).<br />
17 Part 11 zufolge muss die Dokumentation von Audit-Trails mindestens so lange aufbewahrt werden wie die betroffenen elektronis<strong>ch</strong>en Datensätze. Sie müssen Behörden zur Prüfung und<br />
Kopie zur Verfügung stehen.<br />
RSA und RSA Security sind eingetragene Warenzei<strong>ch</strong>en von RSA Security Inc. in den Vereinigten Staaten<br />
oder anderen Ländern. EMC, Celerra, Clariion, Symmetrix und Centera sind Warenzei<strong>ch</strong>en oder<br />
eingetragene Warenzei<strong>ch</strong>en der EMC Corporation. Alle weiteren hier angeführten Produkte und Services<br />
sind Warenzei<strong>ch</strong>en ihrer jeweiligen Inhaber. ©2007 RSA Security Inc. Alle Re<strong>ch</strong>te vorbehalten.<br />
LMBP WP 0707<br />
Ausrei<strong>ch</strong>ende<br />
Aufbewahrung<br />
erforderli<strong>ch</strong> 14<br />
RSA White Paper 15