23. Dezember 2009 - Protokollierung

Damit das Logging Daten schützt und nicht gefährdet

Die Protokollierung von Systemaktivitäten durch Logging-Systeme ist eine wesentliche Grundlage der Datenschutzkontrolle. Doch viele Unternehmen scheuen ein zentrales Log-Management aus Kostengründen und verlieren sich in einem Protokoll-Dickicht. Eine Alternative ist das Open-Source-System Cyberoam iView: Es spart nicht nur Lizenzkosten. Auch die Logging-Auswertungen lassen sich auf das notwendige Maß zurückstutzen.

damit-das-logging-daten-schutzt-und-nicht-gefahrdet.jpeg
Logging-Systeme: Protokolle verschiedener Geräte und Standorte werden kombiniert (Quelle: www.cyberoam-iview.org)

Die Anforderungen an ein Logging-System zur Steigerung der Datensicherheit sind sehr hoch.

Um externe und interne Datenrisiken rechtzeitig erkennen und abwehren zu können, müssen Logging-Systeme sämtliche sicherheitsrelevanten Systemkomponenten rund um die Uhr in Echtzeit überwachen, auf bekannte und unbekannte Gefahren reagieren, die Logdateien automatisch auswerten und die zuständigen Stellen über verdächtige Vorkommnisse sofort informieren.

Die Protokollierung ist nicht ausreichend standardisiert

Dabei stellt gerade die Integration aller kritischen Systemkomponenten in die Überwachung eine echte Herausforderung dar. Denn die Protokolldateien der verschiedenen Software- und Hardwarelösungen sind mangels durchgehender Standardisierung kaum unter einen Hut zu bekommen.

Und es lauern weitere Stolpersteine bei Logging-Systemen

Damit nicht genug, sehen sich die Anwender von Logging-Systemen weiteren Hürden gegenüber:

  • Oftmals ist der Umfang der Protokollierung so hoch, dass eine Auswertung aus Zeitgründen kaum noch möglich ist.
  • Mitunter sind die Protokolle aber auch lückenhaft.
  • Auswertungswerkzeuge für Protokolle liefern für den DSB oft schwer verständliche Berichte.

Auch der DSB braucht die Protokolle

Dabei braucht der Datenschutzbeauftragte für seine Prüfungen

  • die Protokolle zur Erkennung von Verstößen beim Login oder von Passwortverletzungen (Zugangskontrolle),
  • die Protokollierung der Benutzer und ihrer Aktivitäten in den IT-Sys-temen (Zugriffskontrolle) und
  • die Protokollierung der Daten-übermittlung und ihrer Empfänger (Weitergabekontrolle).

Empfehlen Sie eine Anpassung

Deshalb sollten Sie auf eine Logging-Lösung hinwirken, die

  • hilfreiche und flexible Werkzeuge für die Auswertung passend zu den Protokollformaten, die in Ihrem Unternehmen vorkommen, liefert und
  • eine Erweiterbarkeit oder Beschränkung der Protokollierung ermöglicht. Denn es gilt auch, den Datenmissbrauch auf Basis von Protokollen zu verhindern, indem die Einhaltung der Datenschutz-rechtlichen Zweckbindung der Systemprotokolle (§ 31 BDSG) sichergestellt wird.

Eine Auswertung der Systemprotokolle z.B. für eine Leistungs- und Verhaltenskontrolle der Mitarbeiter ist nicht zulässig. Prüfen Sie deshalb das geplante Logging und die Umsetzung in der Praxis nach den in der Tabelle genannten Kriterien.

Damit das Logging nicht zur Täuschung wird

Auch wenn die Auswertung des Loggings entscheidend für die Datenschutz-Kontrolle ist, nutzen gerade kleine und mittlere Unternehmen aus Kostengründen unzureichende Logging-Systeme, die zwar umfangreiche Protokolle, aber nicht die wirklich wichtigen Daten liefern.

Ein Logging, das bestimmte Teilbereiche des Netzwerks nicht umfasst oder nicht die notwendigen Auswertungen liefern kann, bringt keinen Gewinn für die Datensicherheit. Es führt vielmehr zur Selbsttäuschung.

Prüfen Sie die Logging-Alternative Open Source

Ein Open-Source-System wie Cyber-oam iView verringert nicht nur das Kostenproblem. Es lässt sich auch an die speziellen Bedürfnisse eines Unternehmens und die Anforderung des Datenschutzes besser anpassen als manches kostspielige proprietäre Protokoll-System.

Cyberoam iView bietet sich als Logging- und Reporting-Lösung auch dann an, wenn Ihr Unternehmen über Netzwerkkomponenten verschiedener Anbieter und über verteilte Standorte verfügt. Die verschiedenen Log-Dateien lassen sich in einer Übersicht (Dashboard) zusammenführen und präsentieren. Zudem können verschiedene Berichtstypen verdichtet und auf einer Seite gleichzeitig dargestellt werden.

Auswertungen über Geräte- und Herstellergrenzen hinweg

So lassen sich über verschiedene Netzwerkbestandteile und Standorte hinweg oder für einzelne Netzwerkgeräte oder Standorte der erlaubte und blockierte Netzwerkverkehr, der Internetverkehr, der Mail-Verkehr, der FTP-Verkehr, entdeckte Schadsoftware und Spams, aufgespürte Angriffe und Firewall-Reaktionen sowie blockierte Inhalte aus dem Web protokollieren und auswerten.

Log-Dateien verschiedener Geräte können nicht nur zentral gesammelt, verdichtet und ausgewertet, sondern auch archiviert und nach Zweckerfüllung gelöscht werden.

Begrenzung der Berichte ist wichtig

Aber Cyberoam iView verfolgt auch einen sogenannten identitätsbasierten Berichtsansatz. Dabei werden Benutzer besonders erwähnt, die gegen Richtlinien verstoßen, Schadsoftware erhalten oder unerlaubte Zugriffe versucht haben. Dies ist zur Vermeidung von Datenverlust und Datendiebstahl wichtig und kann helfen, begründete Verdachtsmomente zu überprüfen.

Allerdings könnte mit Cyberoam iView auch berichtet werden, welcher Nutzer z.B. besonders viel Zeit im Internet verbringt oder welche Webinhalte von wem bevorzugt aufgerufen werden. Hier sollten Sie den Administratoren aufzeigen, wo die Grenzen der Protokollierung liegen und die Gefährdung personenbezogener Daten anfängt. Maßstab ist hier v.a. § 31 BDSG (Zweckbindung). Cyberoam iView erlaubt es aber, unerwünschte Berichte zu deaktivieren.

Die Zahl der unterstützten Geräte ist noch beschränkt, soll aber zunehmen

Bislang lassen sich mit Cyberoam iView Protokolle von Open-Source-Lösungen wie der Linux-Firewall Iptables/netfilter oder dem HTTP-Proxy Squid sowie von kommerziellen UTM-Firewall-Lösungen auswerten. Die Open-Source-Community plant, in Zukunft weitere verbreitete Netzwerk-Geräte, Server, Datenbanken und Betriebssysteme zu unterstützen.

Bis dahin bleiben die Vorteile eines zentralen Loggings durch Cyberoam iView zwar noch beschränkt. Aber die Erweiterbarkeit der Lösung (Download unter sourceforge.net/projects/cyberoamiview/) und die Konfigurierbarkeit der Berichte macht dieses System zu einem spannenden Ansatz in der Frage der Protokollauswertung für mehr Sicherheit und Datenschutz.

Die folgende Checkliste listet Prüfungskriterien für den Einsatz von Logging-Systemen. Diese Checkliste finden Abonnenten als Word-Datei kostenlos auch im Download-Bereich.

Prüfungskriterium  Ja Nein
Sind die Protokolle zweckgebunden?
Sind die Protokolle erforderlich (Datensparsamkeit!)?
Gibt es eine ausreichende Zugriffsbeschränkung (Verschlüsselung)?
Sind die Berichte aussagekräftig und verständlich?
Findet die Auswertung nach dem Vier-Augen-Prinzip statt?
Existiert eine automatische Alarmfunktion bei Verdacht?
Ist der Umfang begrenzt, um eine sinnvolle und zeitnahe Auswertung zu ermöglichen?
Sind ein sicherer Speicherort und eine Archivierungsfunktion vorhanden?
Ist die Manipulationssicherheit garantiert, um auch die Tätigkeit der Administratoren prüfen zu können?
Ist die Protokollierung zwangsläufig (Abschaltung muss Spuren hinterlassen)?
Werden die Protokolle nach Zweckerfüllung gelöscht?
Wurden die Mitarbeitervertretung und der Datenschutzbeauftragte vor Aufbau des Logging-Systems eingeschaltet?
Wurden die Mitarbeiter über die geplanten Protokollierungen unterrichtet?

 


Oliver Schonschek

 

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln