Best Practices für das Log-Management - Comprosec.ch

White paper
Best Practices für das
Log-Management
Die Grundlage für eine umfassende Verwaltung von
Sicherheitsinformationen und -ereignissen

Executive Summary
Log-Management bezeichnet die Erfassung, Analyse (in
Echtzeit oder vergangenheitsbezogen), Speicherung und
Verwaltung von Protokoll-Daten aus verschiedenen
Quellen im gesamten Unternehmen. Dies liefert die
Grundlage für eine umfassende Verwaltung von
Sicherheitsinformationen und -ereignissen (SIEM).
Unternehmen, die Best Practices für das Log-Management
entwickeln, erhalten eine zeitnahe Analyse ihres
Sicherheitsprofils für die Sicherheitsabteilungen. Sie
stellen sicher, dass Protokolle ausreichend detailliert über
einen angemessenen Zeitraum gespeichert werden, um
den Audit- und Compliance-Anforderungen gerecht zu
werden. Darüber hinaus verfügen diese Unternehmen über
zuverlässige Beweise, die auch in rechtlichen Verfahren
Bestand haben.
Unternehmen stehen vor zahlreichen Herausforderungen,
durch die Best Practices im Log-Management als Teil der
IT-Sicherheitsstrategie für das gesamte Unternehmen
immer mehr Bedeutung erhalten. Dazu zählen die
Steuerung der enormen Datenmengen, die von immer
mehr Systemen generiert werden, die steigenden
Anforderungen der modernen, durch Gesetze und
Inhalt
Definition von Log-Management Seite 1
Bedeutung von Protokollen für Sicherheit und Compliance Seite 1
Log-Management als Lösung für Herausforderungen Seite 1
Der Geschäftswert von Best Practices im Log-Management Seite 3
Vorschläge für die Best Practices in Ihrem Unternehmen Seite 4
Empfohlene Best Practices Seite 5
I. Richtlinien, Verfahren und Technologien für Protokolle Seite 5
II. Erstellung und Erfassung von Protokollen Seite 6
III. Aufbewahrung und Speicherung von Protokollen Seite 7
IV. Protokollanalyse Seite 10
V. Schutz und Sicherheit von Protokollen Seite 11
Lösungen für die Implementierung von Best Practices Seite 12
Anhänge
Anhang 1 – Quellen und Inhalte von Protokollen Seite 13
Anhang 2 – Compliance-Anforderungen für das Log-Management Seite 14
Richtlinien bestimmten Umgebung und die immer
ausgereifteren Angriffe auf Unternehmensnetzwerke.
Durch Best Practices im Log-Management können IT-
Führungskräfte einen deutlichen Mehrwert für ihr
Unternehmen schaffen, da die Kosten sinken, während die
Effizienz in Bereichen wie Compliance, Risikomanagement,
Recht, Forensik oder Speicherung und im laufenden Betrieb
steigt. Als Basis für Best Practices im Log-Management
empfehlen sich die Anforderungen der geltenden
Richtlinien und Standards sowie rechtliche Beratung,
geschäftliche und operative Ziele und Risikoanalysen.
Best Practices sollten zwar von jedem Unternehmen auf
Basis der jeweiligen Umgebung individuell entwickelt
werden, aber es gibt auch einige allgemeine
Vorgehensweisen, die sich universell anwenden lassen.
Dieses Whitepaper soll Unternehmen bei der Entwicklung
eigener umfassender Best Practices unterstützen. Es zeigt
40 empfohlene Best Practices für folgende
Protokollaspekte: Richtlinien, Verfahren und Technologien,
Generierung und Erfassung, Aufbewahrung und
Speicherung, Analyse sowie Schutz und Sicherheit.

Definition von Log-Management
In einem Protokoll werden die Ereignisse oder Aktivitäten aus den
Systemen oder Netzwerken eines Unternehmens aufgezeichnet.
Beispiele: eine Firewall gewährt oder verweigert den Zugriff auf
eine Netzwerkressource, ein Administrator ändert die
Konfiguration des Betriebssystems, ein System wird beendet oder
gestartet, ein Benutzer meldet sich an einer Anwendung an, oder
eine Anwendung gewährt oder verweigert den Zugriff auf eine
Datei. Weitere Beispiele für Ereignisse oder Aktivitäten finden Sie
in Anhang 1 „Quellen und Inhalte von Protokollen“.
Log-Management bezeichnet die Erfassung, Analyse (in Echtzeit
oder vergangenheitsbezogen), Speicherung und Verwaltung von
Protokollen aus verschiedenen Quellen im gesamten
Unternehmen, darunter Sicherheitssysteme, Netzwerkgeräte,
Betriebssysteme und Anwendungen.
Log-Management liefert die Grundlage für eine umfassende
Verwaltung von Sicherheitsinformationen und -ereignissen
(SIEM), die folgenden Zwecken dient:
– Erkennung und Abwehr von Bedrohungen in Echtzeit
– Vorfallsuntersuchungen und Forensik
– Einhaltung von Vorschriften und Standards
– Kapazitätsplanung, Leistung und Betriebszeit
– Beweise für Gerichtsverfahren
– Erkennung und Vermeidung von IP-Diebstahl
– Behebung von System- und Netzwerkproblemen
– Überprüfung und Durchsetzung von IT-Sicherheitsrichtlinien
Bedeutung von Protokollen für Sicherheit und Compliance
Ohne eine ausreichende Zusammenstellung, regelmäßige Prüfung
und langfristige Aufbewahrung von Protokollen kann Ihr
Unternehmen keine Compliance mit gesetzlichen Vorgaben
erreichen und seine wertvollen Informationen nicht richtig
schützen. Protokolle stellen eine Möglichkeit für die Überwachung
von Systemen dar und zeichnen Sicherheitsereignisse,
Informationszugriffe und Benutzeraktivitäten auf.
Die moderne, durch Gesetze und Richtlinien geprägte Umgebung
und eine neue Generation immer ausgereifterer Angriffe machen
das Log-Management zu einer immer bedeutenderen Komponente
Ihrer IT-Sicherheitsstrategie. Das Log-Management versetzt Sie in
die Lage, nicht autorisierte Aktivitäten in Echtzeit zu erkennen und
sicherzustellen, dass protokollierte Daten für Audits und
rechtliche Untersuchungen zur Verfügung stehen und über ihren
gesamten Lebenszyklus hinweg gespeichert werden.
Das fehlende Log-Management ist eine der Hauptursachen,
warum Unternehmen die Vorgaben von Compliance-Audits nicht
einhalten können. Sarbanes-Oxley-Auditoren nennen z.B. die
unzulängliche Prüfung von Audit-Protokollen als einen der fünf
häufigsten Schwachpunkte der IT-Kontrolle. Unzureichende
Protokollierung ist nach Aussage von PCI-Auditoren auch eine der
drei ersten Ursachen der Nichteinhaltung des Payment Card
Industry Data Security Standard (PCI DSS).
Mangelnde Kompetenz beim Log-Management zählt auch zu den
Hauptursachen für die Gefährdung von Daten. Forensische
Untersuchungen von MasterCard zeigen beispielsweise, dass eine
fehlende Sicherheitsüberwachung in Echtzeit einer der fünf
wichtigsten Gründe für Hacker-Angriffe auf Handelsunternehmen
ist. Untersuchungen der US-amerikanischen Handelsaufsicht
Federal Trade Commission (FTC) bei bereits vom Datenmissbrauch
betroffenen Unternehmen haben gezeigt, dass fehlende
Maßnahmen zur Erkennung von nicht autorisierten Zugriffen eine
der Hauptursachen für diesen Missbrauch waren.
Ohne ein geeignetes Log-Management können Unternehmen
aufgetretene Sicherheitsverletzungen nur schwer untersuchen
und sich von den Folgen erholen. Datenmissbrauch im großen Stil
war in den vergangenen Jahren oft in den Schlagzeilen. In vielen
Fällen haben die betroffenen Unternehmen nicht alle Protokolle
aufbewahrt, die bis zum Zeitpunkt des ersten Eindringens in das
Unternehmensnetzwerk zurückreichen. Dadurch war es nahezu
unmöglich, die genaue Vorgehensweise des Angriffs zu
bestimmen.
Gesetzliche Vorgaben haben inzwischen dazu geführt, dass
Aufbewahrungsfristen verlängert wurden. Um beispielsweise die
Integrität von Finanzdaten belegen zu können, verlangen
gesetz liche Vorschriften von Unternehmen die Aufbewahrung von
Audit-Protokollen über viele Jahre. Richtlinien zum Datenschutz
sehen die jahrelange Aufbewahrung von Zugriffsprotokollen vor,
um die Offenlegung persönlicher Informationen nachweisen zu
können.
Unternehmen, die Best Practices im Log-Management entwickeln,
erhalten eine zeitnahe Analyse ihres Sicherheitsprofils für die
Sicherheitsabteilungen. Sie stellen sicher, dass Protokolle
ausreichend detailliert über einen angemessenen Zeitraum
gespeichert werden, um Audit- und Compliance-Anforderungen
gerecht zu werden, und verfügen über zuverlässige Beweise zur
Verwendung in rechtlichen Untersuchungen.
Log-Management als Lösung für Herausforderungen
Unternehmen stehen vor zahlreichen Herausforderungen,
durch die Best Practices im Log-Management als Teil der
IT-Sicher heitsstrategie für das gesamte Unternehmen immer
mehr Bedeutung erhalten.
RSA White Paper 1

1. Vielzahl unterschiedlicher Systeme für die Protokollerstellung
In den vergangenen Jahren haben Unternehmen als Antwort auf
zunehmende Sicherheitsbedrohungen zahlreiche
Sicherheitssysteme entwickelt, darunter Systeme zur Erkennung
von Eindringlingen, Patch-Management- und Antiviren-Systeme.
Im Zuge der wachsenden Automatisierung von
Geschäftsprozessen besteht die Unternehmensumgebung aus
immer mehr Netzwerkgeräten, Servern, Speicher-Subsystemen
und Anwendungen. Die Folge sind immer größere und
komplexere, unterschiedliche Systeme, die ebenso vielfältige
Protokolle erstellen. Siehe Anhang 1 „Quellen und Inhalte von
Protokollen“.
Bei so vielen unterschiedlichen Protokollquellen ist es schwierig,
den Überblick zu behalten. Es erweist sich als Herausforderung,
das gesamte Sicherheitsprofil zu bestimmen oder ein vollständi -
ges Bild über Informationszugriff und Benutzeraktivitäten zu
erlangen. So müssen Auditoren möglicherweise stapelweise
Ausdrucke aus vielen verschiedenen Systemen lesen, um
nachzuweisen, dass nur autorisierte Benutzer auf geschützte
Informationen zugreifen. Aufgrund dieser Tätigkeiten werden
Audits zu einer kostspieligen Angelegenheit.
Ohne geeignete Aufbewahrungsrichtlinien werden Protokolle aus
so vielen verschiedenen Quellen wahrscheinlich nicht korrekt
gespeichert. Oder aber es werden unwichtige Protokolle aus
einigen Quellen gespeichert, während wichtige Aufzeichnungen
aus anderen Quellen überhaupt nicht gesichert werden.
2. Datenvolumen von Protokollen
Global 2000-Unternehmen generieren monatlich mindestens
10 TB allein an Protokollen. Bei diesen Datenmengen ist es nicht
verwunderlich, dass viele Unternehmen die gespeicherten
Protokolle nicht analysieren, da diese Aufgabe einfach zu
schwierig wäre. Selbst wenn Vorgehensweisen zur Prüfung der
Protokolle vorhanden sind, werden sie oftmals nicht zuverlässig
genug eingehalten, da die manuelle Bearbeitung so vieler
Protokolle sehr mühsam ist. Daher müssen Unternehmen eigene
Best Practices für die Analyse und Berichterstellung entwickeln,
um diese wichtigen Informationen sinnvoll zu nutzen. Darüber
hinaus ist es wichtig, Strategien für die Aufbewahrung bzw. das
Abrufen zu bestimmen. So können Auditoren und
Untersuchungsbeamte aus riesigen Datenbeständen einfach die
benötigten Informationen herausfiltern.
3. Immer neue Bedrohungen
Die heutigen Bedrohungen sind nicht einfach nur lästige Angriffe
wie z.B. der I LOVE YOU-Virus oder Denial-of-Service-Angriffe. Sie
sind sehr zielgerichtet und ausgereift und werden von
organisierten Verbrechern auf bestimmte wertvolle Informationen
über längere Zeiträume ausgeübt. In einem aktuellen,
hochkarätigen Fall waren die Systeme eines großen Händlers über
18 Monate hinweg unbemerkt von Eindringlingen betroffen.
2
RSA White Paper
Diese Umgebung verlangt nach effizienter Überwachung in
Echtzeit, um Eindringlinge besser erkennen zu können, sowie
nach detaillierten Protokollinformationen, die im Falle einer
Sicherheitsverletzung eine wichtige Rolle spielen. Diese
Protokolle müssen über einen Zeitraum von mehreren Monaten
oder gar Jahren zurückreichen, um Beweise zusammenzustellen.
Im Zuge der neuen Entwicklungen muss die Aufbewahrungsdauer
von Protokollen in Unternehmen unbedingt angepasst werden.
Protokolldaten müssen vollständig und jederzeit abrufbar sein,
um bei der Untersuchung von Sicherheitsverletzungen von Nutzen
zu sein.
4. Strengere gesetzliche Vorschriften
In den letzten Jahren gab es weltweit eine Flut an Richtlinien und
Gesetzen, die den Schutz von Informationen vorschreiben.
Unternehmen sind nun rechtlich verpflichtet, Informationen zu
schützen, und müssen belegen, dass ihre Sicherheitsmaßnahmen
dazu geeignet sind.
Die Protokollierung erfüllt im Hinblick auf Compliance zwei
Funktionen. Sie ist ein zentrales Standbein jedes
Sicherheitsprogramms und daher für den Schutz von
Informationen unabdingbar. Wenn Unternehmen ihren rechtlichen
Verpflichtungen zum Schutz von Informationen nachkommen
möchten, darf die Protokollierung nicht deaktiviert werden bzw.
müssen alle Protokolle einer eingehenden Prüfung unterzogen
werden.
Des Weiteren stellen Protokolle das wichtigste Beweismittel für
Compliance und Richtlinienkonformität dar. Ohne Protokolle ist
die Beantwortung der Fragen, ob Finanzdaten ohne geeignete
Autorisierung geändert oder Patientendaten ohne Genehmigung
veröffentlicht wurden bzw. ob der Zugriff auf Karteninhaberdaten
nur Personen gewährt wurde, die ihn aus Geschäftsgründen
benötigen, schwierig, wenn nicht gar unmöglich.
In der neuen, durch Richtlinien geprägten Umgebung gelten für
die meisten Unternehmen zahlreiche Vorgaben aus mehreren
Bereichen. Darüber hinaus gibt es regelmäßig interne oder
unabhängige Audits der Informationssysteme, um die Eignung der
Sicherheitsmaßnahmen zu prüfen. Protokolle müssen ausreichend
detailliert zusammengestellt werden, um eine Überprüfung zu
ermöglichen. Außerdem müssen sie dem Auditor jederzeit zu
Prüfungszwecken zur Verfügung gestellt werden können.
Ist ein Audit abgeschlossen, muss das Unternehmen bestimmte
Protokolle oft über Jahre hinweg aufbewahren für den Fall, dass
diese Protokolle von Regulierungsbehörden oder Gerichten als
Beweismittel angefordert werden. Anforderungen an die
Aufbewahrung von Protokollen sind nun durch die Notwendigkeit
geprägt, die richtigen Informationen parat zu halten, um Audit-
Zyklen zu entsprechen. Anschließend erfolgt die langfristige
Aufbewahrung, mit der die rechtlichen Anforderungen an die
Datenarchivierung erfüllt werden.

5. Wachsende Anzahl an Beteiligten
Längst benötigen nicht mehr nur Sicherheits- und Netzwerk -
abteilungen die Informationen aus Protokolldaten. Auch andere
Gruppen im gesamten Unternehmen müssen darauf zugreifen,
z.B. die Personal- und Rechtsabteilung, die interne Auditierung,
die Finanzabteilung, das Engineering, der Kundenservice sowie
Vertrieb und Marketing. Die Personalabteilung benötigt die Daten
beispielsweise für die Bearbeitung von Problemen mit Mitarbei -
tern, um ggf. erhobene Vorwürfe von Fehlverhalten der Ange -
stellten auch belegen zu können. Die Rechtsabteilung, interne
Auditierung und Finanzabteilung verwenden diese Informationen
für Compliance-Initiativen. Best Practices für das Log-Manage -
ment sollten allen Beteiligten im Unternehmen einen sicheren,
raschen und zuverlässigen Zugang zu den benötigten
Informationen ermöglichen.
6. Unwägbarkeiten künftiger Rechtsvorschriften
Weltweit nimmt die Zahl der rechtlichen Vorgaben zu. In den USA
wird z.B. eine umfassende Gesetzgebung zum Datenschutz disku -
tiert, andere Länder wie Indien und China prüfen die Einführung
neuer Gesetze. Es lässt sich keine Aussage treffen, welche
Protokolle in Zukunft erforderlich sein werden, um Rechtssicher -
heit zu erlangen. Rechtsstreitigkeiten aufgrund von Sicherheitsund
Datenschutzverletzungen gibt es bereits. Prognosen zufolge
werden solche Verletzungen eine neue Welle an Sammelklagen
auslösen. Befindet sich ein Unternehmen aufgrund einer
Sicherheitsverletzung im Prozess, muss es möglicherweise
Beweismaterial über den Zugriff auf Informationen vorlegen.
Ein weiterer Trend, der für Unsicherheit sorgt, ist die zunehmende
Anzahl an Geschäftspartnerverträgen mit bestimmten Regelungen
zur Informationssicherheit, einschließlich des Rechts auf
Auditierung. Es lässt sich nur schwer voraussagen, welche
Protokolle ein Geschäftspartner im Rahmen eines Sicherheits-
Audits anfordern könnte. Daher müssen Unternehmen Best
Practices für das Log-Management entwickeln, die auf diese
Unwägbarkeiten (welche Protokolle sind zu welchem Zeitpunkt
erforderlich) vorbereitet sind.
Der Geschäftswert von Best Practices für das Log-
Management
Die meisten Unternehmen haben noch keine Best Practices für
das Log-Management entwickelt und implementiert. Da diese
Funktionalität jedoch immer mehr an Bedeutung gewinnt, rückt
sie bei zahlreichen CIOs und CISOs auf der Tagesordnung weiter
nach oben. Einer kürzlich vom Branchenanalysten ThelnfoPro
durchgeführten Studie zufolge zählt die Verwaltung von
Sicherheitsinformationen und -ereignissen für Fortune 1000-
Unternehmen mittlerweile zu den Top 5-Projekten für
Informationssicherheit.
Durch die Einrichtung von Best Practices für das Log-Management
können IT-Führungskräfte einen deutlichen Mehrwert für ihr
Unternehmen in folgenden Bereichen schaffen:
Compliance
– Durch eine ausreichende Zusammenstellung und
Aufbewahrung von Protokollen können durch Nichteinhaltung
von Vorschriften entstehende Kosten wie z.B. Geldstrafen vermieden
werden.
– Senkung laufender Audit-Kosten durch geringeren Zeitaufwand
für die Fertigstellung eines Audits
– Sofortige Verfügbarkeit der richtigen Protokolldaten und
Berichte für Auditoren
– Schneller Beleg der Einhaltung von Anforderungen
Risikomanagement
– Die kontinuierliche Prüfung und Echtzeit-Überwachung von
Protokollen hilft bei der Erkennung und Vermeidung von
unberechtigten Zugriffen und senkt das Risiko von
Sicherheitsverletzungen
– Schutz für Marken, Kundenbeziehungen und den Ruf des
Unternehmens
– Vermeidung von Anwalts- und Gerichtskosten
– Keine Geldstrafen und Prozesskosten
Recht
– Vollständige Protokolle und effiziente Zusammenstellung von
Beweisen senken die Anwalts- und Gerichtskosten
Vorlegen von Beweisen wie z.B. Protokollen von
Benutzeraktivitäten für gerichtliche Streitfälle bei
Kündigungsschutzklagen
– Vorlegen von Beweisen wie z.B. Protokollen zur Offenlegung
von Informationen für Prozesse wegen
Datenschutzverletzungen
– Vorlegen von Beweisen wie z.B. Zugriffsprotokollen der
Softwareentwicklung für Prozesse wegen Diebstahl geistigen
Eigentums
Forensik
– Im Missbrauchsfall sorgt der schnelle Zugriff auf die richtigen
Protokolle für Kosteneinsparungen, da die Zusammenstellung
von Beweisen rascher und einfacher ist
– Schnellere und einfachere Erkennung und Behebung der
Ursache
– Blockierung von Angriffen verhindert schlimme Folgen und
spart so Kosten
– Umkomplizierte und schnelle Systemwiederherstellung und
Schadensbeseitigung nach Sicherheitsverletzungen
– Bessere Chancen zur Ergreifung der Täter
Speicher
– Kostensenkung durch Speichern der richtigen Protokolle über
einen geeigneten Zeitraum und ständige Abrufmöglichkeit
RSA White Paper 3

– Unterstützung bei der Klassifizierung von Informationen
– Verwendung des kostengünstigsten Speichers auf Basis der
Anforderungen für die jeweiligen Daten
Betrieb
– Effizientere Protokollanalyse senkt Kosten für die
Überwachung, z.B. Personalkosten
– Mitarbeiter können produktivere Aufgaben übernehmen
– Effizientere Überwachung reduziert Ausfallzeiten und erhöht
die Effizienz, indem der Fokus auf die richtigen Bedrohungen
gelenkt wird (weniger Fehlalarme)
Vorschläge für die Best Practices in Ihrem Unternehmen
Best Practices sollten auf den Anforderungen der geltenden
Richtlinien und Standards sowie auf Rechtsberatung,
geschäftlichen und betrieblichen Zielen und auf einer
Risikoanalyse aufbauen.
1. Anforderungen durch Richtlinien und Standards
Es gibt zahlreiche Richtlinien und Branchenstandards, die den
Schutz von Informationen vorschreiben, darunter:
– Sarbanes-Oxley (SOX)
– Health Insurance Portability and Accountability Act (HIPAA)
– Gramm-Leach-Bliley-Act (GLBA)
– Federal Information Security Management Act (FISMA)
– Internationale Datenschutzbestimmungen1 – US-Gesetze auf Bundesstaatebene zur Benachrichtigung über
Sicherheitsverstöße (z.B. SB 1386) 2
– 21 CFR Part 11 (Part 11) 3 der US-amerikanischen Food and Drug
Administration
– Payment Card Industry Data Security Standard (PCI DSS)
– Standards für digitale Sicherheit des North American Electric
Reliability Council (NERC)
Die meisten Gesetze und Regulierungsvorgaben beinhalten keine
spezifischen Anforderungen, sondern verlangen von Unternehmen
die Implementierung von „vernünftigen und geeigneten
Maßnahmen“ zum Schutz von Informationen nach Maßgabe der
Anforderungen von Standards zur Informationssicherheit wie z.B.:
– Control Objectives for Information Technology (COBIT)
– Sonderausgaben des National Institute of Science and
Technology, 800-er Serie (NISTSP 800)
– IT-Handbuch zur Informationssicherheit des Federal Financial
Institutions Examination Council (FFIEC)
– Internationale Organisation für Normung: „Code of Practice for
Information Security Management“ (ISO 17799/27001)
1 Beispielsweise die EU-Datenschutzrichtlinie (EU DPD), der Japan Personal Information Protection Act (PIPA) und der Canada Personal Information Protection and Electronic Documents Act (PIPEDA)
2 Etwa 40 Bundesstaaten haben nun Gesetze, die Unternehmen vorschreiben, eine Person zu benachrichtigen, wenn es Grund zur Annahme gibt, dass die Sicherheit der persönlichen Daten dieser
Person beeinträchtigt wurde. Diese Gesetze hatten immense Auswirkungen auf Unternehmen in aller Welt. Sie verfügen über keine direkten Anforderungen für das Log-Management, obwohl
Protokolle eine wichtige Möglichkeit darstellen, eine Sicherheitsverletzung zu erkennen oder aber Beweise zu erbringen, dass es keinen Grund gibt, eine solche Verletzung zu vermuten.
3 In der EU ist die entsprechende Richtlinie „Good Manufacturing Practices (GMP) Annex 11 (Annex 11)“
4
RSA White Paper
Für bestimmte Compliance-Anforderungen zum Log-Management
müssen Unternehmen jedoch über die in den Richtlinien
festgeschriebenen Informationen hinausgehen und auch die
geltenden Standards zur Informationssicherheit berücksichtigen.
Weitere Informationen zu den speziellen Anforderungen einiger
Richtlinien und Branchenstandards an das Log-Management
finden Sie in Anhang 2 „Compliance-Anforderungen für das Log-
Management“.
Da für die meisten Unternehmen zahlreiche Vorgaben aus
mehreren Bereichen gelten, deren Anzahl ständig zunimmt, sind
Unternehmen gezwungen, einen ganzheitlichen Ansatz zur
Entwicklung von Best Practices für das Log-Management zu
verfolgen. Im Gegensatz zu einem unsystematischen Ansatz, bei
dem die Anforderungen jeder Richtlinie einzeln erfüllt werden,
zielt ein ganzheitlicher Ansatz darauf ab, die Bemühungen zu
kombinieren und Best Practices zu schaffen, die möglichst die
Anforderungen verschiedener Richtlinien und Normen erfüllen und
darüber hinaus eine proaktive Planung für die künftige
Rechtsgestaltung vorsehen.
2. Beratung durch Rechtsbeistände
Bei der Entwicklung von Best Practices für das Log-Management
sollte ein Rechtsbeistand hinzugezogen werden, der insbesondere
bei der Entwicklung von Richtlinien beratend zur Seite steht. Er
gibt nicht nur Rat zu den geltenden Anforderungen, sondern auch
zu anderen rechtlichen Themen oder vertraglichen
Verpflichtungen wie Vereinbarungen mit Geschäftspartnern, die
das Recht auf Audits beinhalten können und daher schnellen
Zugriff auf Audit-Protokolle erfordern. Protokolle werden
möglicherweise auch als Beweismittel für künftige Prozesse oder
Untersuchungen benötigt. Des Weiteren kann ein Rechtsbeistand
dabei helfen, dass die Richtlinien zur Aufbewahrung von
Protokollen innerhalb der allgemeinen Datenaufbewahrungs -
vorschriften des Unternehmens konsistent sind.
3. Geschäftliche und betriebliche Ziele
Best Practices für das Log-Management sollten die Ziele des
Unternehmens widerspiegeln, u.a. auch den Umgang mit
bestimmten Parametern wie verfügbare Zeit, Ressourcen und
Budget. Die betrieblichen Ziele könnten auch eine Effizienz -
steigerung der Protokollprüfung, die Sicherstellung der
ausreichenden Überwachung bestimmter Systeme zur
frühen Problemerkennung und Senkung der Ausfallzeiten
oder die Aufbewahrung bestimmter Protokolle über einen
bestimmten Zeitraum zur möglichen forensischen Verwendung
beinhalten.
4. Risikobewertung
Die Risikobewertung stellt eine bedeutende Komponente bei der
Entwicklung von Kompetenzen im Log-Management dar. Wie

zuvor erwähnt, beinhalten weder Gesetze noch Normen
spezifische Anforderungen. Stattdessen müssen viele Entschei -
dun gen vom Unternehmen selbst getroffen werden. Bei diesen
Entscheidungen spielt die Bewertung der Risikofaktoren des
Unternehmens eine Schlüsselrolle. Durch die Risiko bewertung
lassen sich verschiedene Anforderungen bestimmen, z.B. wie oft
Protokolle geprüft und wie lange bestimmte Protokolle aufbe -
wahrt werden. Zugriffsprotokolle für regulierte oder andere
vertrauliche bzw. geschützte Informationen erfordern z.B. eine
genauere Prüfung und längere Aufbewahrung als andere
Protokolle.
Empfohlene Best Practices
Umfassende Best Practices für das Log-Management beinhalten
die folgenden Kategorien:
– Richtlinien, Verfahren und Technologien für Protokolle
– Erstellung und Erfassung von Protokollen
– Aufbewahrung und Speicherung von Protokollen
– Protokollanalyse
– Schutz und Sicherheit von Protokollen
Best Practices sollten zwar von jedem Unternehmen auf Basis der
jeweiligen Umgebung individuell entwickelt werden, aber es gibt
auch einige allgemeine Vorgehensweisen, die sich universell
anwenden lassen. RSA hat eine Liste mit 40 empfohlenen Best
Practices für alle Kategorien entwickelt. Diese Best Practices sind
im Folgenden aufgeführt.
I. Richtlinien, Verfahren und Technologien für Protokolle
Richtlinien regeln die Verwaltung der Log-Management-
Aktivitäten und sollten vorgeschriebene Anforderungen für die
Erstellung, Analyse, Aufbewahrung, Speicherung und Sicherheit
von Protokollen klar definieren. Sie sollten in Verbindung mit
einem Plan für die Verfahren und Technologien erstellt werden,
die für die Implementierung und Durchsetzung der Richtlinien
benötigt werden.
Empfohlene Best Practices
I.1. Unterstützung der Führungsebene in Bezug auf Richtlinien
Die nötige Priorisierung innerhalb des Unternehmens und die für
das Log-Management nötigen Ressourcen sollten hier
berücksichtigt werden.
I.2. Vollständige Dokumentation der Richtlinien und Durchführung
regelmäßiger Prüfungen und Aktualisierungen von Richtlinien
je nach Bedarf
Beispiel: Aktualisierung der Richtlinien und Verfahren auf Basis
der Ergebnisse von Audits, Änderungen von Compliance-
Anforderungen und Feedback von Administratoren. Richtlinien
sollten mindestens einmal jährlich geprüft und aktualisiert
werden.
I.3. Definition von Rollen und Verantwortlichkeiten und geeigneter
Support für Mitarbeiter
Aufgaben im Log-Management sollten im gesamten Unternehmen
verteilt werden. Zur Ausführung dieser Aufgaben sollten
geeignete Schulungen, Tools und Dokumentation bereitgestellt
werden.
I.4. Anpassung von Richtlinien für das Log-Management und zugehörigen
Richtlinien und Verfahren
Beispiel: Richtlinien zur Protokollaufbewahrung sollten mit
allgemeinen Richtlinien zur Datenaufbewahrung in Einklang
gebracht werden. Anforderungen im Log-Management sollten z.B.
bei Softwareanschaffung und Anwendungsentwicklung
berücksichtigt werden.
I.5. Umsetzung der Separation of Duties
Beispiel: Die Prüfung der systembezogenen Protokolle erfolgt
nicht durch den Systemadministrator, sondern durch eine andere
Person, um die Nachvollziehbarkeit der Tätigkeiten des
Systemadministrators zu gewährleisten.
I.6. Umsetzung von Standard-Arbeitsverfahren für das Log-
Management zur Unterstützung und Einhaltung der Richtlinien
Einige gängige Verfahren beinhalten beispielsweise die
Konfiguration von Protokollquellen, die Durchführung von
Protokollanalysen, die Initiierung von Reaktionen auf erkannte
Vorfälle und die Verwaltung des Langzeitspeichers.
I.7. Planung und Implementierung einer speziellen Infrastruktur
für das Log-Management zur Unterstützung und Einhaltung
der Richtlinien
Diese Infrastruktur sollte eine spezielle Plattform für das Log-
Management und einen Speicher für Protokolldaten beinhalten.
Durch die Implementierung einer speziellen Log-Management-
Umgebung können alle Beteiligten leichter auf sämtliche Daten
zugreifen, gründliche Analysen durchführen, starke Sicherheit
garantieren und protokollierte Daten zuverlässig und konsistent
über die entsprechenden Zeiträume hinweg speichern. Ohne eine
zentrale Infrastruktur für das Log-Management würden die
Beteiligten wahrscheinlich auf einzelne Punktlösungen
zurückgreifen, die zu Ineffizienz, Redundanz und einem erhöhten
Verwaltungsaufwand mit unnötiger Komplexität führen.
Unternehmen müssen aktuelle, aber auch künftige Anforderungen
in ihrer Planung berücksichtigen, darunter das Datenvolumen von
Protokollen, Speicherkapazität, Sicherheitsanforderungen sowie
Zeit und Ressourcen, die Mitarbeiter für die Analyse der
Protokolle und die Verwaltung der Infrastruktur benötigen.
RSA White Paper
5

I.8. Kein Alleingang: Hinzuziehen eines Branchenexperten bzw.
Beraters
Die Entwicklung umfassender Best Practices für das Log-
Management bringt große Vorteile, aber auch komplexe Aufgaben
mit sich. Dazu zählen die Implementierung von Richtlinien,
Verfahren und Technologien, wie diese Kategorie von Best
Practices zeigt. Viele Unternehmen verfügen intern nicht über das
nötige Know-how oder qualifizierte Fachkräfte und sollten einen
Branchenexperten bzw. Berater als Unterstützung hinzuziehen.
II. Erstellung und Erfassung von Protokollen
Die Zusammenstellung einer ausreichenden Datenmenge zur
Erfüllung der Anforderungen von Richtlinien sowie für mögliche
Untersuchungen von Vorfällen und rechtlichen Problemen ist mit
sehr viel Aufwand verbunden. Datenschutzbestimmungen
schreiben z.B. vor, dass Unternehmen sämtliche Zugriffe auf
persönliche Daten aufzeichnen müssen. Der PCI-Standard fordert
von Unternehmen die Nachverfolgung und Überwachung aller
Zugriffe auf Netzwerkressourcen und Daten von Karteninhabern.
Zur Einhaltung der von der Unternehmensführung vorgegebenen
Richtlinien müssen Unternehmen ausreichend Vorgangsdaten
aufzeichnen und speichern, um die Prüfung, Auswertung und
Rekonstruktion der Datenverarbeitung zu ermöglichen, die als
Grundlage für Finanzberichte dient. Für die Untersuchung von
Vorfällen benötigen Unternehmen vollständige Aufzeichnungen
der Aktivitäten im Netzwerk sowie in Systemen und
Anwendungen. Vor Gericht oder bei Problemen mit Mitarbeitern
müssen Unternehmen die richtigen Beweise über die Verwendung
von Informationen oder den Systemzugriff zur Hand haben, um
ihre Aussagen zu untermauern.
Daten müssen aus zahlreichen Quellen zusammengestellt werden,
darunter Sicherheitssysteme, Betriebs- und Speichersysteme
sowie Anwendungen. Eine Liste mit gängigen Quellen und
Protokollinhalten finden Sie in Anhang 1 „Quellen und Inhalte von
Protokollen“.
Empfohlene Best Practices
II.1. Sicherstellung, dass die Protokollierung für Sicherheits sys -
teme, Netzwerkinfrastrukturgeräte, Speicherinfrastruktur,
Betriebssysteme sowie kommerzielle und speziell entwickelte
Anwendungen aktiviert ist
In Anbetracht der Vielzahl an Systemen, Geräten und Anwendun -
gen ist es wichtig, dass die Audit-Protokollierung tatsächlich für
alle diese Quellen im gesamten Unternehmen aktiviert ist.
Administratoren haben möglicherweise Vorbehalte, das Auditing
zu aktivieren, da sie eine Beeinträchtigung der Leistungsfähigkeit
fürchten. Bei den meisten Systemen ist der Einfluss jedoch nur
minimal, wenn die Konfiguration richtig auf eine leistungsfähige
6 RSA White Paper
Plattform für das Log-Management abgestimmt wurde. Das
Aktivieren und Deaktivieren von Audit-Kontrollsystemen sollte
selbst auch protokolliert und ein Alarm an Administratoren
gesendet werden.
II.2. Keine Filterung der Protokolle an der Quelle
Es ist sehr schwer, wenn nicht sogar unmöglich, vorauszusagen,
was in einer heutigen Umgebung nützlich sein kann und was
nicht. Falsche Entscheidungen können Audits oder
Untersuchungen negativ beeinflussen. Daher ist es sinnvoller, alle
Daten zu sammeln und erst dann zu prüfen, welche Daten nicht
gebraucht werden, statt erst gar keine Daten zusammenzustellen.
Ein gut konzipiertes System für das Log-Management lässt sich
skalieren, um auch große Mengen an Protokolldaten erfassen,
analysieren und verwalten zu können. So können alle Daten
erfasst und intelligent ausgewertet werden, um dann nicht
benötigte Daten zu löschen.
II.3. Die erfassten Daten sollten alle wichtigen Vorgangs- und
Aktivitätsprotokolle enthalten, die laut Richtlinien erforderlich
sind, z.B. alle:
– individuellen Benutzerzugriffe
– verweigerten Zugriffsversuche auf Systeme, Anwendungen,
Dateien oder Daten sowie andere fehlgeschlagene Vorgänge
– autorisierten, administrativen oder Root-Zugriffe
– Verwendungen von Identifizierungs- und
Authentifizierungsmethoden
– Remote- und Wireless-Zugriffe
– Änderungen der System- oder Anwendungskonfiguration
– Änderungen der Zugriffsrechte
– Verwendungen von System-Dienstprogrammen
– Aktivierungen und Deaktivierungen des Sicherheitssystems
– Zugriffe auf Audit-Protokolle
II.4. Für Ereignisse und Aktivitäten erfasste Details sollten den
Anforderungen der Standards entsprechen, z.B.:
– Art der Aktivität oder des Ereignisses (z.B. Anmeldeversuch,
Dateizugriff usw.)
– Benutzeridentifizierung
– Sitzungs-ID bzw. Terminal-ID
– Netzwerkadressen
– Datum und Uhrzeit
– Erfolgreiche und fehlerhafte Vorgänge
– Identität oder Name der betroffenen Daten, Systemkomponente
oder Ressource
II.5. Einzelne Benutzer sollten sich nachverfolgen lassen, indem
für alle Vorgänge eindeutige Informationen zur
Benutzeridentifizierung erfasst werden
Besonders bei Systemen mit geschützten oder Richtlinien
unterliegenden Informationen muss es möglich sein, den
Informationszugriff einzelner Benutzer nachzuweisen.

II.6. Testen der Protokollierungsfunktionen
Es muss sichergestellt werden, dass wirklich alle Daten erfasst
werden und die Daten in den Protokollen vollständig und präzise
sind.
II.7. Synchronisieren von Zeitstempeln
Protokollquellen referenzieren üblicherweise eine interne Uhr,
wenn ein Protokolleintrag mit einem Zeitstempel versehen wird.
Daher sollten alle internen Uhren der Protokollquellen mit einem
vertrauenswürdigen, genauen Zeitserver synchronisiert werden.
Ein hochwertiges Log-Management-System versieht die Protokolle
auch beim Empfang mit einem Zeitstempel und sollte ebenfalls
mit einem Zeitserver synchronisiert werden.
II.8. Besonderer Schutz für vertrauliche Daten
Bei der Protokollierung können (absichtlich oder versehentlich)
vertrauliche Informationen erfasst werden, für die besondere
Datenschutz- oder Sicherheitsbestimmungen gelten, z.B.
Passwörter oder die Inhalte von E-Mails. Vertrauliche Daten in
Protokollen könnten von Protokollprüfern oder von Personen, die
sich unberechtigt Zugriff verschaffen, eingesehen werden.
Hochwertige Log-Management-Systeme bieten eine flexible und
umfassende Sicherheit bei der Übertragung und Speicherung der
Protokolldaten und ermöglichen einen detaillierten,
rollenbasierten Zugriff, um den korrekten und autorisierten Zugriff
auf vertrauliche Daten sicherzustellen.
II.9. Berücksichtigung von Datenschutzbestimmungen bei der
Einrichtung der Protokollierung von Benutzeraktivitäten
Bei der Überwachung von Mitarbeitern und anderen Benutzern
sollte ein Rechtsbeistand hinzugezogen werden. Die Vorschriften
unterscheiden sich je nach Rechtsprechung erheblich.
III. Aufbewahrung und Speicherung von Protokollen
Bei der Bestimmung der Anforderungen an die Aufbewahrung und
Speicherung von Protokollen sollten die verschiedenen
Protokolldatenarten berücksichtigt werden.
Protokolldatenarten
1. Produktivdaten – Diese Daten werden aktiv für Analysen in
Echtzeit, laufende Prüfungen und regelmäßige Audits und
Bewertungen verwendet.
2. Sicherungsdaten – Diese Daten sind gespiegelte Images der
Produktivdaten, die benötigt werden, wenn die eigentlichen
Produktivdaten manipuliert oder beschädigt wurden.
3. Archivdaten – Diese Daten sind eine Teilmenge der
Produktivdaten, die längerfristig im Rahmen der
Datenarchivierung auf Basis von gesetzlichen Anforderungen
sowie für mögliche rechtliche Ermittlungen und forensische
Untersuchungen gespeichert werden.
Berücksichtigt werden sollte auch, wie die Daten gespeichert
werden. Es gibt verschiedene Speicherarten, die unterschied -
liche Zugangsebenen bieten, z.B.:
Speicherarten
1. Online-Speicher – Die Daten werden auf hochleistungsfähigem
Network Attached Storage (NAS) oder in Storage Area Networks
(SAN) gespeichert. Die Zugriffszeiten betragen einige wenige
Millisekunden und bieten zahlreichen Benutzern eine ständige
Verfügbarkeit.
2. Nearline-Speicher – Die Daten werden in einem
Speichersubsystem mit Zugriffszeiten von wenigen Sekunden
gespeichert. Sie bieten einigen wenigen, zuvor festgelegten
Benutzern über lange Zeiträume hinweg eine unregelmäßige
Verfügbarkeit.
3. Offline-Speicher – Die Daten werden auf Festplatten und
Bändern gespeichert, die in einer Datenbibliothek verwaltet
werden und erst nach dem Herstellen einer
Laufwerksverbindung über einen Computer eingesehen werden
können.
Unternehmen sollten bei der Festlegung von Zeiträumen für die
Datenaufbewahrung und von Speicherarten folgende Punkte
berücksichtigen:
1. Warum werden die Protokolle benötigt?
2. Wann muss auf Protokolle zugegriffen werden?
3. Wie weit müssen die Daten zurückreichen?
4. Wie verfügbar müssen sie sein?
Die drei folgenden Tabellen beleuchten diese Themen für jede der
drei Arten: Produktiv-, Sicherungs- und Archivdaten.
RSA White Paper
7

Tabelle 1: Produktivdaten
Warum sind Proto -
kolle notwendig?
Protokollprüfungen
und -analysen
Forensische
Untersuchungen
8 RSA White Paper
Wann muss auf Protokolle zugegriffen werden?
Sehr oft (z.B. Echtzeit, täglich, wöchentlich, monatlich
usw.)
– Sicherheitsverstöße und -lücken usw. können jederzeit
vorkommen, daher können auch Untersuchungen jeder -
zeit erforderlich sein
– Protokolle erfordern wahrscheinlich regelmäßigen
Zugriff (möglicherweise auch häufig)
Wie weit müssen die Daten
zurückreichen?
Wie verfügbar
müssen sie sein?
Bis zur letzten Prüfung Schneller Zugriff zur
Vereinfachung
rascher Analysen
erforderlich
– Angriffe können über einen langen
Zeitraum verübt werden (wie z.B. in einem
aktuellen, hochkarätigen Fall über einen
Zeitraum von 18 Monaten)
– Möglicherweise ist die Einsicht bestimm -
ter Protokolle nötig, die ein Jahr alt oder
älter sind
Interne Audits – Häufigkeit des Zugriffs hängt von der Länge der Audit- – Bis zu einem Audit-Zyklus und mindestens
Zyklen ab
ein Quartal, um sicherzustellen, dass alle
– Unterscheidet sich je nach Branche
aufgezeichneten Protokolle für den Audit-
Zyklus zur Verfügung stehen
– Typische interne Audit-Zyklen für große Unternehmen
können 3 Monate (z.B. Finanzdienstleistungen) bis 6
Monate (z.B. Einzelhandel) betragen
– Einige Bereiche mit hohem Risiko werden u.U. öfter als
die üblichen Audit-Zyklen geprüft
– Üblicherweise 6-9 Monate
Externe Audits/
unabhängige
Bewertungen
Tabelle 2: Sicherungsdaten
Warum sind Proto -
kolle notwendig?
Wenn Produktivdaten
manipuliert oder
beschädigt wurden
usw.
– Abhängig von der Länge des Audit-Zyklus
– Für viele Richtlinien betragen externe Audit-Zyklen ein
Jahr, z.B.:
– SOX: jährliche Bewertung
– GLBA: Vorstandsprüfung von Sicherheitsmaßnahmen
einmal pro Jahr
– FISMA: jährliche Prüfung
– PCI: jährliche Eigenbewertung oder Vor-Ort-Audit
– NERC: besondere Compliance-Prüfung innerhalb eines
Jahres
– EU-Datenschutzrichtlinie „Safe Harbor“: jährliches
Audit
– Bei einigen globalen Datenschutzbestimmungen können
Audit-Zyklen u.U. länger sein, z.B. erfordert die ISO
17799/27001 alle drei Jahre eine erneute Zertifizierung
– Part 11/Annex 11: abhängig von besonderen Regeln in
Bezug auf Prüfungen
– FTC: unabhängige Audits einmal alle zwei Jahre
Wann muss auf Protokolle zugegriffen werden?
– Daten können jederzeit manipuliert oder beschädigt
werden
– Wahrscheinlich kein häufiger Zugriff erforderlich
– Bis zu einem Audit-Zyklus und mindestens
ein Quartal, um sicherzustellen, dass alle
aufgezeichneten Protokolle für den Audit-
Zyklus zur Verfügung stehen
– Für die meisten Richtlinien heißt das ein
Jahr + 3 Monate = 15 Monate
– Die meisten Richtlinien beinhalten keine
besonderen Aufbewahrungszeiträume von
Protokollen für Audit-Zyklen mit
Ausnahme von:
– PCI: Ein Audit-Trail muss mindestens ein
Jahr aufbewahrt werden und mindestens
drei Monate online verfügbar sein
– NERC: Unternehmen müssen nachweisen
können, dass es über den Zeitraum eines
Jahres keine Lücken in der Überwachung
und Protokollierung gab (steht im
Gegensatz zu einer anderen Anforderung
an die Datenarchivierung, die besagt,
dass Protokolle mindestens 90 Tage aufbewahrt
werden müssen)
Wie weit müssen die Daten
zurückreichen?
Schneller Zugriff zur
schnellen Bestim -
mung der Ursache
des Verstoßes
erforderlich
Schneller Zugriff
erforderlich, um die
Produktivität
interner Auditores
sicherzustellen
Schneller Zugriff
erforderlich, um die
Produktivität von
Auditoren oder
Gutachtern
sicherzustellen und
die Audit-Kosten zu
minimieren
Wie verfügbar
müssen sie sein?
Spiegelung der Produktivdaten ratsam Kein unmittelbarer
Zugriff erforderlich,
aber Protokolle
sollten in vernünftiger
Weise verfügbar
sein

Tabelle 3: Archivdaten
Warum sind Proto -
kolle notwendig?
Protokollierung auf
Basis von gesetzlichen
Anforderungen sowie
für mögliche rechtliche
Ermittlungen und
forensische
Untersuchungen
Wann muss auf Proto kolle
zugegriffen werden?
– Möglicherweise
Erstellung von
Datensätzen zu jedem
Zeitpunkt, um
rechtlichen Anfragen,
Ermittlungen oder
Untersuchungen zu
entsprechen
– Wahrscheinlich kein
häufiger Zugriff erfor -
derlich
Aufbewahrung und Speicherung von Protokollen (Fortsetzung)
Empfohlene Best Practices
III.1. Aufbewahrung von Protokollen in einer sicheren, gut verwalteten
Speicherinfrastruktur
Ein verschlanktes, zentral verwaltetes Speichersystem ist weniger
komplex in der Verwaltung als eine unsystematische
Zusammenstellung von Speichersubsystemen. Isolierte und
ineffiziente Protokolldateninseln sind damit kein Thema mehr.
Darüber hinaus vereinfacht die zentrale Verwaltung und
Speicherung von Protokollen auch den Zugriff auf protokollierte
Daten im gesamten Unternehmen. Im Gegensatz zu einem eige -
nen Protokollsystem für jeden Beteiligten bietet ein gut struktu -
riertes Log-Management-System sicheren, detaillierten, rollen- basierten Zugriff auf alle gespeicherten Protokolle. So können alle
Beteiligten auf alle notwendigen Daten zugreifen, während das
Unternehmen die Speicherung von Protokollen optimiert.
III.2. Verwendung eines Ansatzes für das Lifecycle Management
von Informationen, bei dem protokollierte Daten abhängig
von den Zugriffsanforderungen gespeichert werden
Daten, auf die häufig oder spontan zugegriffen werden muss, z.B.
Produktivdaten, sollten online verfügbar sein. Dem gegenüber
Wie weit müssen die Daten zurückreichen?
– Wie oben erwähnt, fordert PCI die Aufbewahrung von Protokollen über mindestens
einem Jahr; in Anbetracht der Häufigkeit von
Datenschutzverletzungen bei Karteninhabern sollten Unternehmen jedoch
längere Aufbewahrungsfristen in Betracht ziehen, um die Daten für forensische
Untersuchungen verfügbar zu halten.
– Bei den meisten Richtlinien ist kein vorgeschriebener Zeitraum für die lang -
fristige Aufbewahrung von Protokollen vorgesehen. Vielmehr gibt es oft einen
allgemeinen Aufbewahrungszeitraum, der als Anhaltspunkt für die Anforde run -
gen an die langfristige Aufbewahrung von Protokollen verwendet werden kann.
– SOX schreibt vor, Dokumente und Kommunikationsdaten in Bezug auf ein
Audit für sieben Jahre aufzubewahren; Unternehmen bewahren jedoch bestimmte
Protokolle meist langfristig auf, z.B. solche, die in direktem
Zusammenhang mit dem Nachweis der Integrität von Finanzberichten stehen
(z.B. Zugriffsprotokolle für wichtige Finanzanwendungen).
– HIPAA verlangt die Aufbewahrung von Dokumenten zu Richtlinien,
Verfahren, Vorgängen, Aktivitäten oder Bewertungen über sechs Jahre;
Unternehmen bewahren jedoch bestimmte Protokolle meist langfristig auf,
z.B. Informationen über den Zugriff auf Patientendaten (z.B.
Zugriffsprotokolle für Patientenakten).
– Bei FISMA ist NIST der geltende Standard, der die Aufbewahrung von
bestimmten Protokollen für drei Jahre vorsieht.
– Gemäß NERC müssen Audit-Datensätze drei Jahre lang aufbewahrt werden.
– Internationalen Datenschutzbestimmungen zufolge müssen Unternehmen
bei Datenschutzverletzungen u.U. Beweise für den Zugriff auf persönliche
Informationen erbringen, der mehrere Jahre zurückliegen kann.
– Bei anderen rechtlichen Anfragen und Ermittlungen sollte die Aufbewah -
rung von Protokollen mit den entsprechenden Richtlinien für Daten bzw.
Datenaufbewahrung abgestimmt sein, die mehrere Jahre vorsehen können.
– Unternehmen sollten bestimmte Protokolle längerfristig aufbewahren,
damit sie im Fall einer Sicherheitsverletzung für mögliche Untersuchungen
zur Verfügung stehen.
Wie verfügbar
müssen sie sein?
Der Zugriff muss
nicht so schnell
wie bei Produktiv -
daten erfolgen
und hängt auch
vom Alter der
Datensätze ab;
der Zugriff sollte
für aktuelle
Protokolle besser
sein als für ältere
Daten
sollten alle anderen Daten wie Sicherungs- und Archivdaten in
einem Nearline- oder Offline-Speicher abgelegt werden.
III.3. Online-Aufbewahrung von Produktivdaten für ein Jahr und
drei Monate = 15 Monate (min.)
Der Online-Zugriff auf Produktivdaten ermöglicht deren häufige
Verwendung für die Echtzeit-Überwachung sowie laufende
Prüfungen und Analysen. Im Falle einer Sicherheitsverletzung
kann schnell auf die Protokolle zugegriffen werden, damit
Untersuchungsbeamte rasch die Ursachen des Vorfalls oder die
Quelle der Sicherheitslücke finden können. Außerdem werden
Schäden am System und Sicherheitsprobleme behoben (durch
schnellere Untersuchungen werden auch die Täter schneller
gefunden). Die Aufbewahrung von Protokollen über diesen
Mindestzeitraum ist wichtig, um sicherzustellen, dass die
richtigen Beweise zur Verfügung stehen.
Des Weiteren stellt eine 15-monatige Online-Aufbewahrungs -
periode sicher, dass alle Protokolldatensätze für interne und
externe Audits oder unabhängige Bewertungen verfügbar und
spontan zugänglich sind. Wie in der obigen Tabelle gezeigt,
schreiben die meisten Richtlinien einen Audit-Zyklus von einem
Jahr vor. Für Unternehmen ist eine Aufbewahrungsdauer von
einem Jahr plus einer weiteren, minimalen Aufbewahrungszeit von
RSA White Paper 9

einem Quartal ratsam, um den einjährigen Audit-Zyklen zu
entsprechen. Dieses zusätzliche Quartal bietet einen notwendigen
„Puffer“, da die Audit-Zyklen von Jahr zu Jahr und abhängig von
den jeweils angewendeten Vorgaben variieren.
Da für den Großteil der Unternehmen verschiedene Richtlinien
gelten, müssen die Protokolldaten zumeist für mehrere Audits
oder Bewertungen pro Jahr bereitstehen. Durch die Online-
Speicherung der Daten können Unternehmen die Audit-Prozesse
proaktiv verwalten, die Produktivität der Auditoren erhöhen und
den Zeit- und Kostenaufwand für Audits reduzieren.
III.4. Aufbewahrung von Sicherungsdaten im Nearline-Speicher
über denselben Zeitraum wie Produktivdaten
So wird sichergestellt, dass die Sicherungsdaten auch dann zur
Verfügung stehen, wenn Produktivdaten manipuliert oder
beschädigt wurden o.ä. Die Verfügbarkeit muss nicht dieselbe wie
für Produktivdaten sein.
III.5. Aufbewahrung von Archivdaten für etwa 2-7 Jahre (min.) oder
länger im Nearline-Speicher für aktuelle Daten (z.B. bis zu
fünf Jahre), anschließende Verschiebung einiger Daten in den
Offline-Speicher (z.B. 5 Jahre oder länger)
Wie in Tabelle 3 auf der vorherigen Seite beschrieben, beinhalten
die meisten Richtlinien keinen vorgeschriebenen Zeitraum für die
Aufbewahrung von Audit-Protokollen. Nach einem Audit-Zyklus
bewahren Unternehmen bestimmte Protokolle üblicherweise für
mehrere Jahre auf. Das gilt besonders für die Daten, die in
direktem Zusammenhang mit dem Zugriff auf Anwendungen mit
geschützten Informationen stehen. Unternehmen müssen sich
nicht nur an die Anforderungen von Richtlinien halten, sondern
auch an andere Anforderungen für die langfristige Aufbewahrung
von Protokolldaten, z.B. rechtliche Ermittlungen und forensische
Untersuchungen.
Da Archivdaten nicht oft verwendet werden, müssen sie nicht
online verfügbar sein. Dennoch sollten Unternehmen die Daten
verfügbar halten, damit die Reaktion auf rechtliche Nachfragen,
die Erstellung von Datensätzen für rechtliche Ermittlungen oder
die Durchführung von Ermittlungen nicht unnötig viel Zeit in
Anspruch nimmt. Speicher mit adressierbarem Inhalt sollte auch
für die längerfristige Aufbewahrung in Betracht gezogen werden,
um die Integrität der Informationen auch über einen langen
Zeitraum hinweg zu schützen.
III.6. Richtlinien für die Protokollaufbewahrung sollten in
Absprache mit einem Rechtsbeistand entwickelt werden
Das Hinzuziehen eines Rechtsbeistands bei der Entwicklung von
Anforderungen an die Protokollaufbewahrung ist unabdingbar,
und diese Anforderungen müssen mit den allgemeinen
Unternehmensrichtlinien für die Datenauf bewahrung abgestimmt
werden.
III.7. Berücksichtigung der Aufbewahrung der Original-Protokolle
Wenn Protokolle als elektronische Beweisstücke zur Einhaltung
10
RSA White Paper
von Vorschriften, in Gerichtsverfahren oder sogar zur Unter stüt -
zung interner, personalbezogener Vorgänge benötigt werden,
sollte ein hochwertiges Log-Management-System die Verwaltung
und Archivierung der ursprünglichen Protokolldateien
vereinfachen.
III.8. Nicht mehr benötigte Protokolle sollten entsorgt werden
Nach Ablauf der erforderlichen Aufbewahrungsdauer sollten
Protokolle im Einklang mit den Unternehmensrichtlinien zur
Datenvernichtung unbrauchbar gemacht werden.
IV. Protokollanalyse
In Anbetracht des Datenvolumens stellt die Überwachung und
Prüfung von Protokollen eine Herausforderung dar. Einige
Unternehmen sammeln zwar Protokolle, prüfen sie aber nicht, da
diese Aufgabe zu kompliziert ist. In anderen Unternehmen
wiederum verbringen Administratoren sehr viel Zeit mit der
Prüfung von Unmengen an Protokollen. Ohne eine gute Analyse
ist der Wert von Protokollen jedoch verschwindend gering.
Die moderne, durch Richtlinien geprägte Umgebung und die
rasante Zunahme der Sicherheitsbedrohungen erfordern, dass
Unternehmen ihre Protokolle sorgfältig überwachen, um
unberechtigte Zugriffe zu erkennen und die Rechenschaftspflicht
von Benutzern durchzusetzen. Best Practices für die
Protokollanalyse müssen auf die Notwendigkeit eingehen,
Analysen zu vereinfachen und somit dem Unternehmen die
Extrahierung der zahlreichen Informationen aus Protokollen zu
ermöglichen.
Empfohlene Best Practices
IV.1. Regelmäßige Prüfung und Analyse von Protokollen
Durch regelmäßige Prüfungen und Analysen können z.B.
ungewöhnliche Ereignisse im Netzwerk oder im Benutzerverhalten
erkannt werden, die außerhalb der zulässigen Vorgaben liegen. Je
nach Systemen, Risikoumgebung und anderen Anforderungen
sollten Protokolle in Echtzeit geprüft werden – täglich, monatlich
oder alle 90 Tage. Einige Vorschriften und Standards beinhalten
besondere Anforderungen zur Prüfung von Protokollen (weitere
Informationen hierzu finden Sie in Anhang 2 „Compliance-
Anforderungen für das Log-Management“).
IV.2. Protokollsammlungen mit zentral verwalteter Infrastruktur
für das Log-Management
Durch das Sammeln von Protokollen wird die Analyse einfacher
und zuverlässiger.
IV.3. Automatisierung eines Großteils des
Protokollanalyseprozesses
Durch die Automatisierung kann die Analyse deutlich verbessert
werden, da sie viel weniger Zeit in Anspruch nimmt und
wertvollere Ergebnisse liefert. Die manuelle Analyse von

Protokolldaten wird von Administratoren oft als uninteressant und
ineffizient wahrgenommen. Sie wird häufig als Aufgabe mit
niedriger Priorität eingestuft und deshalb gar nicht oder aber
mangelhaft und inkonsistent durchgeführt. Sie sollte auch die
Verwendung automatisierter, interaktiver Systeme beinhalten, die
aufzeichnen, welche Protokolle bereits geprüft wurden. Ein
Prüfungsprozess mit höherem Automatisierungsgrad entbindet
Mitarbeiter von der manuellen Prüfung, und sie können nun
wertigere Aufgaben übernehmen.
IV.4. Nutzung von Zuordnungs-Tools, um eine ganzheitliche Sicht
zu erlangen und die Anzahl der Fehlalarme zu reduzieren
Der Großteil der Unternehmen setzt viele verschiedene Systeme
für die Protokollerstellung ein, darunter auch Sicherheitssysteme,
Betriebs- und Speichersysteme und Anwendungen. Die separate
Prüfung von Protokollen aus vielen Systemen ist schwierig,
ineffizient und kann u.U. lückenhaft sein. Angriffe betreffen oft
verschiedene Informationen. Werden nur bestimmte, isolierte
Daten betrachtet, erscheint eine einzige Aktivität möglicherweise
nicht bedrohlich. Zuordnungs-Tools suchen über mehrere
Systeme hinweg nach Ereignismustern. Sie sind bei der
Reduzierung von Fehlalarmen besonders hilfreich.
IV.5. Verwendung automatischer Berichtsfunktionen zur
Vereinfachung der Protokollprüfung durch die Erstellung von
Berichten
Ein Berichtsprozess sollte den Inhalt von Berichten, die Häufigkeit
ihrer Erstellung und den Erstellungszweck definieren.
IV.6. Prüfungsverfahren sollten die Echtzeitüberwachung
entsprechender Log-Events beinhalten
Üblicherweise werden die meisten Protokolle nicht in Echtzeit
analysiert, obwohl dies unabdingbar für die Erkennung von
unberechtigten Zugriffsversuchen und Aktivitäten sowie die
Verhinderung oder zumindest Reduzierung dieser Vorfälle ist.
IV.7. Erstellung eines Alarmsystems auf Basis von Prioritäten
Mitarbeiter sollten wissen, was zu tun ist, wenn eine verdächtige,
nicht normale Aktivität erkannt wird. Dabei ist zu beachten, dass
nicht für alle Ereignisse ein Alarm ausgelöst werden soll, da dies
den Zweck der Sache außer Kraft setzt und die Aufmerksamkeit
der Mitarbeiter schließlich schwindet. Priorisieren Sie, für welche
Ereignisse ein Alarm notwendig ist.
IV.8. Entwicklung einer Basiszusammenstellung typischer
Protokolleinträge, um ungewöhnliche oder unnormale
Ereignisse oder Aktivitäten erkennen zu können
Durch die Festlegung, welche Protokolleinträge von Interesse sind
und welche nicht, lassen sich ungewöhnliche bzw. unnormale
Ereignisse leichter erkennen, und man kann schneller auf sie
reagieren.
V. Schutz und Sicherheit von Protokollen
Best Practices müssen die Vertraulichkeit, Integrität und
Verfügbarkeit von Protokollen über deren gesamten Lebenszyklus
hinweg sicherstellen. Das Unternehmen muss verhindern, das
Protokollierungsmethoden deaktiviert oder missbraucht werden.
Zudem muss es sicherstellen, dass Protokolldateien nicht
bearbeitet oder gelöscht werden können und darüber hinaus bei
einem Vorfall die Business Continuity der Protokollierungsdienste
gewährleisten.
Protokolle, die bei der Speicherung oder Übertragung nicht
ausreichend geschützt sind, können leicht einer beabsichtigten
oder unbeabsichtigten Änderung oder Zerstörung zum Opfer
fallen. So bleiben möglicherweise betrügerische Aktivitäten
unbemerkt, und Beweise werden eventuell manipuliert, um die
Identität der Betrüger zu verschleiern. Viele Rootkits sind z.B.
speziell darauf ausgelegt, Protokolle zu verändern, um jegliche
Beweise der Installation des Rootkits oder seiner Ausführung zu
entfernen.
Empfohlene Best Practices
V.1. Schutz der Prozesse, die die Protokolleinträge erstellen
Nicht autorisierte Benutzer sollten Protokollquellenprozesse,
ausführbare Dateien, Konfigurationsdateien und andere
Komponenten der Protokollquellen, die die Protokollerstellung
beeinträchtigen könnten, nicht ändern dürfen. Die Verwaltung der
Quellen für die Protokollerstellung sollte ebenfalls protokolliert
werden und mittels genehmigter Richtlinien und Verfahren für die
Änderungskontrolle gesteuert werden.
V.2. Begrenzter Zugriff auf Protokolldateien
Im Allgemeinen sollten nur Administratoren und Auditoren zu
Prüfungs- und Verwaltungszwecken Zugriff auf Protokolldateien
erhalten. Die Zugriffe von berechtigten Benutzern (d.h.
Administrator und Auditor) sollten protokolliert und von anderen
Personen außerhalb dieser Benutzerdomäne häufig und
eingehend geprüft werden.
V.3. Implementierung sicherer Mechanismen für die Übertragung
von Protokolldaten
Viele Protokolle werden im Klartext übermittelt. Die Über tragung
sollte mit Verfahren wie beispielsweise der Ver schlüsselung
geschützt werden (z.B. IPSec, SFTP oder SSL).
V.4. Schutz für gespeicherte Protokolldateien
Dazu zählt die Zugriffsbeschränkung auf Speicher mechanismen
für autorisierte Benutzer, die Bereitstellung einer ausreichenden
Speicherkapazität und der Einsatz von WORM-Technologien.
V.5. Schutz der Vertraulichkeit und Integrität von Protokolldateien
Dazu können Message Digest, Verschlüsselung oder digitale
Signaturen verwendet werden.
RSA White Paper 11

V.6. Angemessener physikalischer Schutz für
Protokollierungsmethoden und gespeicherte Protokolle
Dieser Schutz beinhaltet die Verhinderung von unerlaubten
physikalischen Zugriffen und den Einsatz geeigneter
Steuermechanismen für die Umgebung.
V.7. Beibehaltung der Business Continuity für
Protokollierungsdienste
Unterbrechungen der Geschäftsaktivitäten sollte entgegengewirkt
werden. Dazu muss sichergestellt sein, dass die
Protokollierungsdienste bei einem Systemausfall oder
Computerfehler zeitnah anhand von redundanten Protokollservern
wiederhergestellt werden können.
Zusammenfassung
Die Entwicklung von Best Practices für das Log-Management ist
keine einfache Aufgabe. Sie erfordert erhebliche Ressourcen und
einen hohen Aufwand. Durch die umfassenden Best Practices, die
alle wichtigen Komponenten des Log-Management abdecken,
sollte dieses Whitepaper die Entwicklung des Log-Management
deutlich vereinfachen. Die durch Richtlinien geprägte Umgebung
und die rasante Zunahme der Sicherheitsbedrohungen verlangen
nach einer immer intensiveren Protokollierung und einer längeren
Aufbewahrung und Speicherung von Protokolldateien als die
meisten Unternehmen leisten können. Die Einhaltung von
Compliance- und Sicherheitsanforderungen muss zudem mit den
Geschäftszielen in Einklang gebracht werden. Darüber hinaus
sorgt ein leistungsstarkes Log-Management auch für eine
gesteigerte Produktivität und Effizienz und ermöglicht
Kosteneinsparungen in verschiedenen Bereichen im gesamten
Unternehmen – und in der Folge einen gesunden Return-on-
Investment.
Lösungen für die Implementierung von Best Practices
Die Einführung von Best Practices im Log-Management liefert die
Grundlage für eine umfassende Verwaltung von
Sicherheitsinformationen und -ereignissen (SIEM). RSA stellt Endto-End-Lösungen
bereit, mit denen Unternehmen eine zentral
verwaltete Infrastruktur speziell für diesen Zweck einrichten
können. Die RSA enVision SIEM-Plattform sammelt Protokolle aus
dem gesamten Unternehmen und wandelt diese Informationen in
nutzbare Daten für Compliance- und Sicherheitsziele um. Durch
den gemeinsamen Einsatz von RSA enVision und
Netzwerkspeicherlösungen können Unternehmen den gesamten
Lebenszyklus von Protokollinformationen mit einem
mehrschichtigen Speicheransatz verwalten. Dabei werden die
Protokolle auf verschiedenen Speicherressourcen abgelegt,
abhängig vom Alter und vom Verwendungsbedarf der
Protokolldaten.
12
RSA White Paper
Die RSA enVision-Plattform arbeitet nahtlos mit den EMC-
Speicherlösungen Celerra®, Clariion®, Symmetrix® und
Centera® zusammen, um eine echte End-to-End-Lösung für das
Lebenszyklusmanagement von Protokolldaten bereitzustellen. Mit
dieser Lösung können Unternehmen die enormen
Protokolldatenmengen von der Erstellung bis zur Löschung
verwalten, um die Anforderungen von gesetzlichen Vorschriften,
Sicherheitsabteilungen und Geschäftsabläufen einzuhalten.
Weitere Informationen zu RSA enVision erhalten Sie unter
www.rsa.com. Weitere Informationen zu EMC-Speicherlösungen
einschließlich EMC Celerra, Clariion, Symmetrix und Centera
finden Sie unter www.emc.com.

Anhang 1: Quellen und Inhalte von Protokollen
Sicherheitssysteme und Software
Anti-Malware – Anti-Viren-Software, Anti-Spyware und Rootkit-
Erkennungssoftware
Systeme zur Erkennung und Verhinderung von unerwünschtem
Eindringen
Systeme für den Remote- und Wireless-Zugriff – z.B. Virtual
Private Networks (VPN)
Web-Proxy-Server – aufgerufene URLs
Software zur Verwaltung von Schwachstellen – darunter Software
für die Patch-Verwaltung und Bewertung von Schwachstellen
Authentifizierungsserver – Verzeichnisserver und Single-Sign-On-
Server
Operative Systeme
Beispiele für aufgezeichnete Vorfälle und Aktivitäten
– Verschiedene Fälle erkannter Malware
– Versuche von Datei- und Systemdesinfektion
– Dateiquarantäne
– Scannen nach Malware
– Signaturen oder Software-Updates
– Verdächtiges Verhalten
– Erkannte Angriffe
– Maßnahmen zur Verhinderung böswilliger Aktivitäten
– Anmeldeversuche
– In der Sitzung empfangene und versendete Datenmenge
– Patch-Installationshistorie
– Schwachstellenstatus
– Bekannte Schwachstellen
– Fehlende Software-Upgrades
– Authentifizierungsversuche
Router und Switches – gesperrte Aktivitäten
Firewalls – detaillierte Protokolle zur Netzwerkaktivität
Netzwerk-Quarantäne-Server – Status der Host-Sicherheitsprüfungen
– Hosts in Quarantäne und Ursachen
– z.B. für Server, Workstations und Netzwerkgeräte wie Router,
Switches, usw.
Beispiele für aufgezeichnete Vorfälle und Aktivitäten
– Systemereignisse
Herunterfahren des
Systems
Service-Start
– Sicherheitsereignisse
Dateizugriffe
Richtlinienänderungen
Anwendungen Beispiele für aufgezeichnete Vorfälle und Aktivitäten
– z.B. E-Mail-Server und -Clients, Webserver und Webbrowser,
Dateiserver und Clients für das File Sharing, Datenbankserver und
-clients sowie Geschäftsanwendungen (z.B. Supply Chain
Management, Finanzmanagement, Beschaffungssysteme,
Enterprise Resource Planning, Customer Relationship Management
und benutzerspezifische Anwendungen)
– Client-Anfragen und Serverantwort
– Authentifizierungsversuche
– Kontenänderungen
– Verwendung von Benutzerrechten
– Anzahl und Größe der Transaktionen
– Ereignisse im Betrieb
Starten und Herunterfahren
– Konfigurationsänderungen
– Anwendungsspezifische Ereignisse
wie z.B.:
E-Mail senden und empfangen
Dateizugriff
Service-Anfrage
Transaktion
Funktionsausführung (z.B. Lesen,
Schreiben, Ändern, Löschen)
RSA White Paper 13

Anhang 2: Compliance-Anforderungen für das Log-Management
Hinweis: nicht vollständig, zu Darstellungszwecken vereinfacht
Beispiele für Rechte und Richtlinien, die den Schutz von Informationen
vorschreiben
Relevanter
Standard (falls
zutreffend)
Geschützte
Informatio nen
14
Sarbanes-
Oxley (SOX)
RSA White Paper
Branchenspezifischer
Datenschutz 1
COBIT NIST SP 800-
66 für HIPAA,
FFIEC für
GLBA
Finanz-systeme
und
Informatio -
nen zur
Erstellung
von Finanz -
berichten
Z.B.
geschützte
Patienten -
daten, persönliche
Finanzdaten
von Kunden
Federal
Information
Security
Management
Act (FISMA)
NIST SP 800
(bes. SP 800-
53)
Informationen
auf
Bundesebene
Anforderung – was wird protokolliert? (Beispiele)
Individueller
Benutzerzugriff
auf geschützte
Informationen
Administrative
Vorgänge und
Verwendung von
Zugriffsrechten
Ungültige Zu -
griffsversuche
Sicherheitser -
eignisse im
System 10
Zugriff auf Audit
Trails
Prüfung von
Protokollen in
bestimmten
Zeitabständen
Zusammenführun
g von Protokollen,
Zuordnung und
Automatisierung
von Audit-Proto -
kollen
Sicherheit und
Schutz für pro -
tokollierte
Daten
Zeitstempel
bzw. Synchroni -
sierung
Legende
k.A. = keine Angabe
E = Erforderlich
Globaler
Datenschutz²
ISO
17799/27001
Persönliche
Informatio -
nen
21 CFR Part
11 (FDA)/
Annex 11 (EU)
ISO 17799/
27001
Elektronische
Daten für die
Entwicklung
und
Herstellung
von Medika -
menten
Branchen- und Informationssicherheitsstandards
Payment Card
Industry Data
Security
Standard (PCI
DSS)
Informationen
von Karten -
inhabern
Internationale
Organisation
für Normung:
„Code of
Practice for
Information
Security
Management“
(ISO
17799/27001)
Standards für
Cyber Security
der North
American
Electric
Reliability
Council
(NERC)
UNT Kritische digitale
Assets3,
die die Zuver -
lässigkeit von
elektrischen
Hauptsystemen
steuern oder
diese beeinflussen
könn ten
Sonderausgaben
des
National
Institute of
Science and
Technology,
800-er Serie
(z.B. 800-53,
61, 66 & 92)
IT-Handbuch
zur
Informationssicherheit
des
Federal
Financial
Institutions
Examination
Council
(FFIEC)
UNT UNT UNT
Control
Objectives for
Information
Technology
(COBIT)
k.A. Angebracht 4 Angebracht 5 Angebracht 6 E 7 E E E E E Angebracht 8
k.A. k.A. k.A. k.A. k.A. E E E k.A. E k.A.
k.A. Angebracht 9 k.A. k.A. k.A. E E E k.A. E k.A.
k.A. k.A. k.A. k.A. k.A. E E E E E Angebracht 11
k.A. k.A. k.A. k.A. k.A. E E k.A. E E k.A.
k.A. HIPAA
erfordert die
regelmäßige
Prüfung von
Audit-Protokollen
k.A. k.A. k.A. Tägliche
Prüfung von
Protokollen
und 24/7-
Überwachung
nicht autori -
sierter
Zugriffs -
versuche
Regelmäßige
Prüfungen;
mehr für
Benutzer -
zugriffsrechte
Protokollprüfung
mind.
Alle 90 Tage
und 24/7-
Überwachung
nicht
autorisierter
Zugriffs -
versuche
Regelmäßige
Prüfung von
Audit-Proto -
kollen erforderlich;
für HIPAA,
800-66 erfor -
dert die Proto -
kollprüfung
zweimal pro
Woche
Regelmäßige u.
rechtzeitige
Prü fung erfor -
derlich, z.B.
tägliche Prü -
fung eini ger
Protokolle und
Echtzeit-Über -
wachung ande -
rer Protokolle
k.A. k.A. k.A. k.A. k.A. EMPF. EMPF. EMPF. EMPF. EMPF. EMPF.
k.A. k.A. k.A. k.A. k.A. E E k.A. E E k.A.
k.A. k.A. k.A. k.A. E E E E E E k.A.
UNT = unternehmensdefiniert
EMPF. = empfohlen
k.A.
– Fortsetzung

Aufbewahrung
Angegebene
Mindestdauer
Benötigte
Aufbewahrungs -
dauer, um
Audit-Zyklus zu
entsprechen
(unabhängige
Bewertung)
Langfristige
Aufbewahrung
von Daten -
sätzen, die
Audit-Proto -
kolle enthalten
könnten
k.A. k.A. k.A. k.A. k.A. Mind. 1 Jahr UNT Mind. 90 Tage UNT UNT UNT
1 Jahr:
Jährliche
Bewertung
interner
Kontrollen
1 Jahr:
Regelmäßige
Sicherheitsprüfung
vor -
geschrieben:
üblicher
Zyklus
beträgt ein
Jahr 12
7 Jahre 15 6 Jahre für
HIPAA; k.A.
für GLBA 16
Hinweise zur Tabelle in Anhang 2
1 Jahr:
Jährliche
Auswertung
von Sicher -
heitsmaß -
nahmen
erforderlich
1-3 Jahre:
Audits oder
Bewertungen
alle ein bis
drei Jahre
erforderlich 13
Variiert:
Unterliegt
regelmäßiger
Prüfung
durch Regu -
lierungs -
behörde
k.A. k.A. Abhängig von
besonderen
Regeln zur
Aufbewahrung
betroffener
elektronischer
Datensätze;
können viele
Jahre sein 17
1 Jahr:
Jährliche
Eigenbewer -
tung oder
Vor-Ort-Audit
Keine Angabe,
obwohl
erforderliche
Aufbewah -
rungsdauer
mindestens
1 Jahr beträgt
01 z.B. der Health Insurance Portability and Accountability Act (HIPAA) und der Gramm-Leach-Bliley Act (GLBA)
k.A. 1 Jahr: Zeit -
rahmen für
Compliance-
Prüfung
beträgt 1 Jahr;
Nicht-Vorhan -
densein von
Lücken in Pro -
to kollen muss
über ein Jahr
nachweisbar
sein
k.A. Audit-Auf -
zeich nungen
müssen für
3 Jahre aufbewahrt
werden
k.A. Auf Basis der
Risikoanalyse:
Vierteljähr -
liche interne
Audits und
jährliche
unabhängige
Audits empfohlen
Bestimmte
Protokolle
sollten für
3 Jahre aufbewahrt
werden
k.A. k.A.
02 z.B. die EU-Datenschutzrichtlinie (EU DPD), der Japan Personal Information Protection Act (PIPA) und der Canada Personal Information Protection and Electronic Documents Act (PIPEDA)
03 Computer, Software und Kommunikationsnetzwerke
04 Die Art der zu sammelnden Audit-Protokolle ist nicht angegeben, aber die Protokollierung des persönlichen Zugriffs auf Daten wird sowohl im HIPAA als auch im GLBA auf Basis der
Anforderungen für die Zugriffssteuerung vorgeschrieben, die individuelle Benutzer und Audit-Kontrollen identifiziert, um die Systemaktivität zu überwachen und zu prüfen, z.B.
Zugriffsberichte.
05 FISMA gibt die Art der zu sammelnden Audit-Protokolle nicht an, berücksichtigt jedoch die Protokollierung des individuellen Zugriffs auf Daten, da diese Daten allgemein vor unbefugtem
Zugriff geschützt werden müssen, und zwar mithilfe von geeigneten Informationssicherheitsstufen. Es ist schwierig bis unmöglich, Daten vor unbefugtem Zugriff zu schützen, es sei denn,
die Zugriffe auf diese Informationen werden protokolliert.
06 Obwohl globale Datenschutzbestimmungen die Art der zu sammelnden Audit-Protokolle nicht angeben, berücksichtigen alle Bestimmungen jedoch die Protokollierung des individuellen
Zugriffs auf Daten, da diese Daten allgemein durch vernünftige und geeignete Maßnahmen vor unbefugtem Zugriff geschützt werden müssen. Es ist schwierig bis unmöglich, Daten vor
unbefugtem Zugriff zu schützen, es sei denn, die Zugriffe auf diese Informationen werden protokolliert.
07 Part 11 fordert den eingeschränkten Systemzugriff für einzelne, autorisierte Benutzer und die Verwendung sicherer, computergenerierter Audit-Trails mit Zeitstempel, um Datum und
Zeitpunkt von Benutzereinträgen sowie Vorgänge, die elektronische Datensätze erstellen, ändern oder löschen, separat aufzuzeichnen.
08 COBIT schreibt die Protokollierung des individuellen Benutzerzugriffs auf Daten nicht vor, erfordert jedoch Kontrollen zur eindeutigen Benutzerauthentifizierung und die Protokollierung
von Sicherheitsaktivitäten auf System-, Anwendungs- und Datenbankebene.
09 „Verfahren für die Überwachung von Anmeldeversuchen und Benachrichtigungen über Abweichungen“ sind eine adressierbare Implementierungsspezifikation unter HIPAA.
10 Kann verschiedene Protokolle von Sicherheitssystemen enthalten, z.B. Anti-Malware, Firewalls, Systeme zur Erkennung und Verhinderung von unerwünschtem Eindringen, Virtual Private
Networks, Software zur Verwaltung von Schwachstellen und Authentifizierungsserver.
11 COBIT erfordert das Vorhandensein und die Verwendung geeigneter Sicherheitsmaßnahmen, darunter Firewalls, Systeme zur Erkennung von Eindringlingen und die Bewertung von
Schwachstellen, um den unerlaubten Zugriff über öffentliche Netzwerke zu verhindern.
12 Die meisten Unternehmen führen eine jährliche Prüfung der Sicherheitsmaßnahmen durch (gemäß GLBA muss der Vorstand einmal pro Jahr die Sicherheit prüfen).
13 Der Prozess der EU-Datenschutzrichtlinie „Safe Harbor“ schreibt jährliche Audits vor; der gültige Standard ist ISO 17799/27001 und erfordert nach der ersten Zertifizierung alle drei Jahre
eine erneute Zertifizierung.
14 Gemäß COBIT müssen Daten zu Systemereignissen ausreichend lange aufbewahrt werden, um chronologische Informationen liefern zu können und anhand von Protokollen die Prüfung
und Rekonstruktion der Datenverarbeitung zu ermöglichen.
15 SOX schreibt vor, Dokumente und Kommunikationsdaten in Bezug auf ein Audit für sieben Jahre aufzubewahren; die Aufbewahrungsdauer von Protokollen wird nicht erwähnt.
Unternehmen bewahren jedoch bestimmte Protokolle meist langfristig auf, z.B. solche, die in direktem Zusammenhang mit dem Nachweis der Integrität von Finanzberichten stehen (z.B.
Zugriffsprotokolle für wichtige Finanzanwendungen).
16 HIPAA erfordert die Aufbewahrung von Dokumenten zu Richtlinien, Verfahren, Vorgängen, Aktivitäten oder Bewertungen über sechs Jahre, beinhaltet aber keine Angaben zur
Aufbewahrungsdauer von Protokollen; Unternehmen bewahren jedoch bestimmte Protokolle meist langfristig auf, z.B. Informationen über den Zugriff auf Patientendaten (z.B.
Zugriffsprotokolle für Patientenakten).
17 Part 11 zufolge muss die Dokumentation von Audit-Trails mindestens so lange aufbewahrt werden wie die betroffenen elektronischen Datensätze. Sie müssen Behörden zur Prüfung und
Kopie zur Verfügung stehen.
RSA und RSA Security sind eingetragene Warenzeichen von RSA Security Inc. in den Vereinigten Staaten
oder anderen Ländern. EMC, Celerra, Clariion, Symmetrix und Centera sind Warenzeichen oder
eingetragene Warenzeichen der EMC Corporation. Alle weiteren hier angeführten Produkte und Services
sind Warenzeichen ihrer jeweiligen Inhaber. ©2007 RSA Security Inc. Alle Rechte vorbehalten.
LMBP WP 0707
Ausreichende
Aufbewahrung
erforderlich 14
RSA White Paper 15