Logfile-Management für die Rechtssicherheit
Wege aus der Log-Datenflut
Die Bedeutung des Sicherheitsmanagements nimmt durch verschärfte gesetzliche Vorschriften weiter zu. Die Folge: Ohne ein strategisches Log-Management wächst die Menge der sicherheitsrelevanten Daten unkontrollierbar. Welche Informationen müssen tatsächlich gesammelt werden und wie sieht ein Log-Management aus, das Unternehmen auf die rechtlich sichere Seite bringt?
In den letzten Jahren haben Finanzskandale, Betrügereien und Diebstähle mit persönlichen,
privaten oder Kundendaten zur Einführung von gesetzlichen und Branchenvorschriften geführt. Diese
verlangen von Unternehmen, sensible Daten zu schützen und den Zugang zu Informationen und
Applikationen zu sichern. Das zunehmend komplexe Regelwerk, an dessen Spitze für viele der im Jahre
2002 vom US-Kongress verabschiedete Sarbanes-Oxley Act (SOX) steht, zwingt Unternehmen zur
sorgfältigen und sicheren Aufbewahrung nicht nur der Daten ihrer Mitarbeiter, sondern auch der
Daten von Kunden, Partnern und Auftraggebern. Doch ist dies bei weitem nicht die einzige
Compliance-Hürde, mit der sich Unternehmen konfrontiert sehen. Für viele amerikanische Firmen gilt
es, sich parallel zu SOX unter anderem mit der Einhaltung des USA Patriot Act, den
Börsenaufsichts-regulierungen nach SEC 17a-3 und 17a-4 oder dem Health Insurance Portability and
Accountability Act (HIPAA) zu befassen.
Auch in Europa ist SOX nur eine von vielen Herausforderungen: So hat das Gros der
börsennotierten EU-Unternehmen gerade die seit 2005 vorgeschriebene Rechnungslegung nach den
International Financial Reporting Standards (IFRS) eingeführt. Banken müssen die neuen Richtlinien
zur Kreditvergabe nach Basel II erfüllen, während die voraussichtlich ab 2010 geltenden EU-Vorgaben
Solvency II der Versicherungsbranche neue Regeln zum Risikomanagement auferlegen. Diese
gesetzlichen Auflagen zwingen die Unternehmen, in die Vertrauenswürdigkeit ihrer
Sicherheitsmaßnahmen zu investieren, um Strafen zu entgehen und ihre Glaubwürdigkeit gegenüber
ihren Kunden zu beweisen.
Entstanden ist ein Markt für Software, den das Analystenhaus IDC als "Security Compliance and
Control" (SCC) definiert hat. SCC umfasst Compliance-relevante Produkte in den folgenden Sparten:
Content-Kontrolle, Identity- und Access-Management, Security- und Vulnerability-Management sowie
Security-Compliance-Services. SCC-Lösungen spielen damit eine Schlüsselrolle in Compliance- und
Sicherheitsfragen. IDC geht davon aus, dass die Einhaltung von gesetzlichen und
branchenspezifischen Regularien einen immer größeren Stellenwert innerhalb der Corporate-
Governance- und Risiko-Management-Strategien einnehmen wird.
Sicherheit, Compliance und Logfiles
Eine Folge der Sicherheitsvorschriften und gesetzlichen Vorschriften ist, dass Firmen ihre
sicherheitsrelevanten Informationen aufbewahren, archivieren und schützen müssen. Gesammelt werden
die Daten in Logfiles. Sie gehören damit zu den unternehmenskritischen Daten, die eine besondere
Handhabung verlangen. Das Sammeln und die Konsolidierung von Logfiles sollten deshalb in den
Vorschriften (Policies) eines Unternehmens festgehalten sein und auf gleicher Stufe mit dem Sammeln
und Schützen von Stammdaten oder kritischen Bewegungsdaten gestellt sein. Dem Logfile-Management
kommt dabei die Aufgabe zu, herauszufiltern, welche Logfiles überhaupt gesammelt werden
sollten.
In größeren Unternehmen mit komplexen Strukturen haben Logs einen Umfang angenommen, der seit
Langem jenseits der manuellen Auswertbarkeit liegt. So produziert allein die Firewall der
Stadtwerke München täglich Logfiles, die eine Größe von über 100 MByte haben. Fast jede Technik
erstellt heute Logfiles: Betriebssysteme, Webserver, Applikationen, Router oder Switches zeichnen
Ereignisse auf und speichern sie ab. Das grundlegende Problem, das dabei auftritt, ist die
Entscheidung, welche Logfiles zur späteren Analyse gespeichert werden und welche nicht.
Logfile-Generierung und -Speicherung können zudem durch verschiedene Faktoren kompliziert werden:
Neben der hohen Anzahl von Logfiles gehören dazu auch inkonsistente Log-Inhalte, Formate und
Zeitstempel bei den verschiedenen Quellen. Log-Management beinhaltet auch, die
Vertrauenswürdigkeit, Integrität und Verfügbarkeit von Logs zu schützen.
Der Erfolg des Logfile-Managements hängt von der Entwicklung standardisierter Prozesse ab.
Bereits in der Planungsphase muss das Unternehmen die Ziele festlegen. Darauf basierend sollte es
Grundsätze entwickeln, die verbindliche Vorgaben und Erfordernisse für Log-Managementaktivitäten
definieren. Darin enthalten sind die Generierung, Übertragung, Speicherung, Analyse und Beseitigung
der Logfiles. Dabei sollte das Unternehmen die Grundsätze und Vorgehensweise sowie die Vorgaben und
Erfordernisse einbeziehen. Außerdem sollte das Top-Management selbst das Log-Management
vorantreiben.
Ein ganz wesentlicher Punkt ist die Erhaltung der Originale. Viele Unternehmen schicken
Log-Kopien von Netzwerkereignissen zu zentralen Laufwerken und benutzen Tools, die den
Netzwerkverkehr analysieren und interpretieren. Falls Logs als Beweisstücke vor Gericht fungieren
müssen, sollten diese Originale unbedingt verfügbar sein, um die Glaubwürdigkeit der Kopien und
Interpretationen zu untermauern. Die Aufbewahrung von Logs, die eventuell als Beweisstücke dienen
können, muss natürlich entsprechend sicher erfolgen, sodass Manipulationen etwa durch
Systemadministratoren ausgeschlossen sind. Die typischen Hauptaufgaben des Log-Management umfassen
das Konfigurieren der Log-Quellen, das Erstellen von Log-Analysen, das Veranlassen von
Rückmeldungen, das Anfertigen forensischer Analysen und die Langzeitspeicherung. Administratoren
haben zudem noch andere Verantwortlichkeiten wie die Überwachung des Logging-Status aller
Log-Quellen, die Archivierung, Upgrade-Checks und Einspielung von Patches der Logging-Software,
Synchronisation der Logging-Host-Uhr mit einer einheitlichen Quelle, das Überprüfen von Anomalien
in Log-Einstellungen und das Überwachen von Konfigurationen und Prozessen. Ein weiterer wichtiger
Punkt ist die Log-Rotation. Darunter versteht man das periodische Sichern von Logfiles, indem alle
Systemereignisse gespeichert, täglich gesichert und dann gelöscht – sprich: neu begonnen – werden.
Auf diese Weise kann der Administrator aktuelle Logfiles schneller durchsuchen und alte Logfiles
komprimieren. Eine übliche Vorgehensweise ist, schnell wachsende Logfiles täglich und langsam
wachsende Logfiles wöchentlich oder monatlich zu rotieren.
Automatisiertes Log-Management
Das Sammeln und Konsolidieren von Logfiles verlangt heutzutage mehr als Backup-Programme oder
hierarchische Speicherungsapplikationen. Diese Systeme sind zur Sicherung und Archivierung von
Daten ausgelegt und erledigen ihre Aufgaben regelmäßig wöchentlich oder täglich. Nur in seltenen
Fällen können sie Ereignisse innerhalb von Stunden oder Minuten aufzeichnen. Zusätzlich lässt diese
Backup-Form kaum eine Analyse zu – und wenn doch, dann nur mit erheblichem Aufwand. Deshalb ist es
unerlässlich, das Sammeln und Konsolidieren der Logfiles zu automatisieren. Dadurch spart die
IT-Abteilung nicht nur Zeit, sondern minimiert auch das Verlustrisiko. Mithilfe geeigneter Software
wie dem "Security Manager" von Netiq lässt sich dies in den Griff bekommen.
Die Applikationen sammeln, konsolidieren und archivieren die sicherheits- und
Compliance-relevanten Daten und analysieren sie. So genannte Softwareagenten – kleine Programme,
die auf jeder Logfile-Quelle installiert sein können – zentralisieren die Einträge, sodass ein
einheitliches Bild aus den Ereignissen der Log-Quellen entsteht. Die Agenten können neben anderen
wichtigen Funktionen auch Warnungen an den zentralen Computer senden. Neben dieser Basistätigkeit
stellen sie die Übermittlung der Ereignisse sicher, und zwar in zweierlei Hinsicht: Sie garantieren
einerseits die Übertragung an sich und andererseits, dass die Übertragung sicher, das heißt nicht
manipulierbar ist. Außerdem komprimieren sie die Ereignisse so, dass der zentrale Datenspeicher
nicht überquillt, und ermöglichen Schutz und Reaktion in Echtzeit, wie es der Prozess verlangt.
Es gibt allerdings auch Szenarien, bei denen es nicht möglich oder erwünscht ist, Agenten zu
platzieren. Dies kann bei Servern oder Controllern der Fall sein. Hier konsolidiert der zentrale
Computer die Ereignisse mittels eines gemeinsamen Protokolls wie beispielsweise Syslog oder SNMP
oder eines speziellen APIs für dieses Laufwerk. Laufwerküberwachungen ohne installierte Agenten
umfassen Router, Switches, Firewalls, Netzwerkanwendungen, Windows-Server sowie
Intrusion-Detection- und Intrusion-Prevention-Systeme (IDS/IPS).
Bei der Konsolidierung der Daten tritt jedoch ein weiteres, nicht ganz unerhebliches Problem
auf: Jedes Logfiles produzierende Endgerät formatiert die Einträge je nach Technologie und
Hersteller unterschiedlich. Die Folge: Wenn alle Einträge von allen Geschäftstechnologien in einem
zentralen Computer sicher und komprimiert gesammelt sind, heißt das noch lange nicht, dass sie
miteinander vergleichbar sind. Ziel ist daher, eine Normalisierung zu finden, also eine
einheitliche, gemeinsame "Sprache", die Logfiles lesbar und vergleichbar macht und somit eine
sinnvolle Analyse erst ermöglicht. Eines der am weitesten akzeptierten einheitlichen Formate ist
das Intrusion Detection Message Exchange Format (IDMEF), ein Vorschlag der Internet Engineering
Task Force (IETF).
Logfiles enthalten sensible Daten wie Benutzernamen, Kennwörter oder Finanzdaten. Diese Daten
müssen geschützt und für Dritte unzugänglich sein. Da sie zusätzlich die Prüfungsinstanzen der
IT-Welt sind, müssen die Unternehmen ihre Integrität bewahren. Um Logfile-Daten in einer
heterogenen oder Best-of-Breed-Systemlandschaft sicher zu übermitteln und zu speichern, müssen drei
Faktoren gewährleistet sein:
der Nachweis, dass eine Handlung tatsächlich ausgeführt wurde und wer diese
Handlung ausgeführt hat,
Belege für die Glaubwürdigkeit und Eindeutigkeit eines Objekts und
schließlich
ein Nachweis, dass Transaktionen und Ereignisse zu einem späteren Zeitpunkt
nachvollziehbar sind.
Dazu müssen alle Daten über einen verschlüsselten Kanal übertragen werden. Sind die Daten
übermittelt, werden sie in ein einheitliches Format übersetzt und dann idealerweise in einem
zentralen "Behälter" gespeichert, der dann wiederum vor dem Zugriff durch Dritte gesichert sein
muss. Dieser Prozess gewährleistet die forensische Qualität der Events und Log-Daten. Eine
regelmäßige Analyse von Sicherheitsereignissen ist die Grundlage für die Einschätzung und Anpassung
von Gefahrenquellen, um die Effizienz von Logfile-Analysen zu steigern und auftretende
Sicherheitsfälle und -lücken zu erkennen. In der Tat kann eine Trendanalyse die Effektivität eines
Sicherheitssystems feststellen und daraus Verbesserungen ableiten. Wenn der IT-Verantwortliche
zeigen kann, dass die Warnungen des IDS in den letzten sechs Monaten zugenommen haben, könnte er
aufgrund dieser Tatsache beispielsweise die Sicherheit seiner Firewall überprüfen.
Grundsätzlich unterscheidet man drei verschiedene Report-Arten: Zusammenfassende Reports sind
eine Reihe von Standard-Reports, die Log-Daten zusammenfassen. Sie bieten eine Vielzahl
verschiedener Überblicke über Sicherheitsereignisse von der Unternehmenssicht bis hinunter zu
einzelnen Servern.
Sinnvoll ist beispielsweise die Zusammenfassung aller System-Log-Einträge, an denen das
Netzwerk-IDS in den letzten 24 Stunden mittels eines Port-Scans zwei oder mehrere gescheiterte
Login-Versuche registriert und dokumentiert hat; oder alle Ereignisse in allen Systemen innerhalb
der letzten 30 Tage, die aufdecken, dass sich gelöschte Benutzer anmelden wollten.
Ebenfalls nützlich ist der Vergleich aller IDS-Ereignisse, die Trojaner enthalten, mit allen
Ereignissen zum Abschätzen oder Bewerten von Schwachstellen, in denen die Quelle Trojaner vermutet.
Dadurch lässt sich einschätzen, ob ein Trojaner eine Schwachstelle durchdringen kann. Des Weiteren
können alle Lösch-Log-Ereignisse mit derselben Benutzer-ID in allen Systemen angezeigt werden, die
nach Betriebsschluss oder an Wochenenden in den letzten zwei Wochen auftraten.
Die zweite Report-Art ist die bereits erwähnte Trend-Report-Analyse. Ein bestimmter Trend lässt
sich durch den Vergleich diverser Ereignisse über einen bestimmten Zeitraum ablesen. Mithilfe der
Datensammlung und einer Online-Analytical-Processing-Analyse (OLAP) kann die Log-Trendanalyse eine
hocheffektive Methode zur Erforschung von Ereignisdaten sein.
Der forensische Report ist die dritte Möglichkeit. Hier geht es nicht nur darum, exakt zu
verstehen, was passiert ist, sondern der forensische Report muss auch eventuell als Beweismittel
vor Gericht brauchbar sein. Mittels eines forensischen Reports, der auf der Analyse von Logfiles
beruht, sollen insbesondere folgende Fragen beantwortet werden: Was ist geschehen? Wann ist es
geschehen? Wo ist es geschehen? Was war der Grund, weshalb es geschah? Wer ist noch darin
verwickelt?
Fazit
Mithilfe moderner Software lässt sich das komplexe Logfile-Problem in den Griff bekommen, wenn
Unternehmen wissen, welche Vorschriften zur Sicherung ihrer Daten zum Tragen kommen. Allerdings
macht es die unüberschaubare Flut der Logfile-Einträge bereits notwendig, eine Compliance- und
sicherheitsrelevante Auswahl zu treffen. Alle Logfiles zu sammeln, ohne entsprechende
Analysemöglichkeiten zu haben, ist ebenso sinnlos wie keine zu sammeln. Log-Management leistet
einen wichtigen Beitrag, wenn es darum geht, die Ziele eines Unternehmens zu erreichen.
Lesen Sie mehr zum Thema
