18. Oktober 2010 - Eingabekontrolle

Netzwerkprotokolle besser verstehen

Zwei der wichtigsten Maßnahmen der Eingabekontrolle sind die Prüfung der Protokollierung sowie die regelmäßige Auswertung der Log-Dateien. Als Datenschutzbeauftragter sollten Sie sich dabei auf bestimmte Meldungen konzentrieren. Wir stellen Ihnen wichtige Bestandteile der Netzwerkprotokollierung vor und erläutern die Bedeutung.

netzwerkprotokolle-besser-verstehen-1.jpeg
Zur Eingabekontrolle gehört die Auswertung der Log-Dateien (Bild: Thinkstock)

Log-Dateien sind eine zentrale Informationsquelle

Viele Fragen zur Datensicherheit lassen sich ohne Log-Dateien nur schwer oder gar nicht beantworten, zum Beispiel:

  • Hat es Versuche eines unerlaubten Zugriffs auf vertrauliche Systeme gegeben, wie Kundendatenbank, Buchhaltung oder Personaldaten?
  • Hat es Veränderungen bei Benutzerzugängen mit hohen Privilegien gegeben?
  • Gibt es ungewöhnlich viele Ereignisse in den Log-Dateien?
  • Werden die Log-Dateien vor unerlaubten Zugriffen geschützt?

Die Eingabekontrolle als Teil der Gebote aus der Anlage zu § 9 BDSG ist ebenso ohne Log-Dateien und Protokollierung nicht denkbar. Nehmen Sie sich deshalb Zeit für das Logging in Ihrem Netzwerk.

Verschaffen Sie sich eine Übersicht über die Log-Dateien

Bevor Sie im Rahmen der Eingabekontrolle die verschiedenen Log-Dateien und Protokolle überprüfen, sollten Sie sicherstellen, dass Sie alle relevanten Quellen für die Log-Dateien kennen.

Oftmals lassen sich Ereignisse im Netzwerk erst richtig verstehen, wenn man mehrere Protokolle vergleichen und die Meldungen in einen zeitlichen Zusammenhang bringen kann. Zudem sind bestimmte Vorkommnisse nur in speziellen Log-Dateien zu finden. Sie brauchen also eine Übersicht, welche Log-Dateien an welcher Stelle im Netzwerk zu finden sind.

Fragen Sie den Netzwerkadministrator

Die spezifische Netzwerksituation klären Sie am besten direkt mit dem Netzwerkadministrator. Dennoch ist es nützlich zu wissen, welche typischen Quellen es für Log-Dateien in einem Unternehmen gibt. Dazu gehören insbesondere

  • die Betriebssysteme der eingesetzten Server und Clients (darunter auch Notebooks und Smartphones),
  • die verschiedenen Sicherheitsprogramme in Ihrem Netzwerk (wie Firewall, Intrusion Detection and Prevention System (IDS, IPS) und Anti-Malware-Software) sowie
  • die Anwendungen auf den Servern und den Clients, die zusätzlich zum Betriebssystem Protokollierungen vornehmen.

Prüfen Sie, ob die Log-Dateien sicher gespeichert werden

Während sich für Sicherheits- und Fachanwendungen nicht pauschal sagen lässt, wo die Log-Dateien gespeichert werden, gibt es bei den Betriebssystemen sehr wohl übliche Speicherorte wie /var/log bei Linux-Systemen oder den Windows Event Log (Event-Viewer) bei Windows-Systemen.

Diese Speicherorte sind natürlich auch potenziellen Angreifern und Datendieben bekannt.

Kontrollieren Sie deshalb, wie der Zugriff auf die Log-Dateien geregelt ist und ob eine Verschlüsselung der Protokolle vorgesehen ist. Neben unerlaubten Einblicken in die Log-Dateien muss auch eine Manipulation der Protokolle ausgeschlossen werden. Andernfalls ist der Erfolg der Eingabekontrolle bedroht und damit die personenbezogenen Daten im Netzwerk.

Konzentrieren Sie sich auf bestimmte Ereignisse

Bei der Prüfung und Auswertung der verschiedenen Log-Dateien, aber auch bei der Sammlung der Log-Dateien können Ihnen bestimmte Log-Analyse- und Log-Management-Tools helfen. Bei der Vielzahl an Protokollen werden Sie gar nicht ohne ein solches Werkzeug wie zum Beispiel Syslog auskommen.

Auch wenn dadurch die Log-Analyse einfacher wird, sollten Sie sich auf bestimmte Punkte konzentrieren, um nicht den Durchblick zu verlieren.

Suchen Sie bestimmte Keywords in den Log-Dateien

Ansehen sollten Sie sich insbesondere Meldungen und Ereignisse (Events) wie

  • fehlerhafte Benutzeranmeldungen im Netzwerk,
  • Netzwerk-Service-Fehler und
  • Änderungen an Benutzerkonten.

Je nach Betriebssystem, Anwendung oder Netzwerk-Komponente lauten die entsprechenden Meldungen in den Protokollen jedoch anders.

Beispiele für entsprechende Meldungen finden Sie in dem Download Sicherheitsrelevante Meldungen und Ereignisse in Log-Dateien.

Am besten öffnen Sie die Log-Dateien zuerst in einem einfachen Editor und suchen dort nach den in der Arbeitshilfe angegebenen Keywords. Dabei hilft Ihnen bereits die einfache Suchfunktion der Editor-Programme. Damit finden Sie direkt die Stellen, die über sicherheitsrelevante Ereignisse berichten.

Nutzen Sie einen „Übersetzer“ für Sicherheitsmeldungen

Die „Übersetzungshilfe“ als Download hilft Ihnen bei einem tieferen Verständnis der Meldungen. Am besten verwenden Sie zusätzlich ein Log-Management-Programm, das die Log-Dateien nicht nur sammeln und zentral archivieren kann, sondern auch die verschiedenen Protokoll-Formate und Event-Definitionen übersetzt.

Machen Sie sich jedoch nicht abhängig von einem solchen Werkzeug, sondern verschaffen Sie sich ein Grundverständnis über die Sicherheitsmeldungen anhand unserer Arbeitshilfe.

Weitere Informationen über Netzwerke, Log-Management und Log-Systeme wie Syslog finden Sie im Kompendium „IT-Know-how für den Datenschutzbeauftragten“.


Oliver Schonschek
Oliver Schonschek ist Diplom-Physiker und Fachjournalist.

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln