G 2.22 Fehlende Auswertung von Protokolldaten
Die meisten IT -Systeme und Anwendungen bieten Funktionalitäten an, um die Nutzung der Operationen, ihre Reihenfolge und ihre Auswirkungen zu protokollieren.
Im Lebenszyklus eines IT-Systems kommen verschiedene Protokollierungskonzepte zum Einsatz. Während der Entwicklungsphase werden ausführliche Protokolle erstellt, um im Fehlerfall die Protokolldaten für eine detaillierte Problemanalyse heranziehen zu können und die Fehlerbehebung zu erleichtern.
In der Einführungsphase werden Protokolle genutzt, um unter anderem die Performance des IT-Systems in der Produktivumgebung zu optimieren oder um die Wirksamkeit des Sicherheitskonzepts erstmals in der Praxis zu überprüfen.
In der Produktivphase werden Protokolle hauptsächlich auf die Sicherstellung des ordnungsgemäßen Betriebs bezogen. Protokolldaten dienen dann dem Zweck, nachträglich feststellen zu können, ob Sicherheitsverletzungen im IT-System stattgefunden haben oder ob ein Angriffsversuch unternommen wurde. Protokolldaten werden für die Fehleranalyse im Schadensfall und zur Ursachenermittlung bzw. zur Integritätsprüfung genutzt. Die Protokollierung kann auch der Täterermittlung und damit auch der Abschreckung von potenziellen Tätern dienen. Durch regelmäßige Auswertung der Protokolldaten können vorsätzliche Angriffe auf ein IT-System unter Umständen frühzeitig erkannt werden. Findet die Auswertung der Protokolldaten nicht oder nur unzureichend statt, können diese nicht für Präventivmaßnahmen genutzt werden.
Bei einigen IT-Systemen oder Anwendungen fehlen ausreichende Protokollierungsmöglichkeiten. Häufig ist es mit systemeigenen Mitteln nicht oder nur schwer möglich, bei der Protokollierung nach der Art der Ereignisse zu differenzieren. Teilweise ist überhaupt keine Protokollierung vorgesehen.
Beispiele:
- Ein nicht autorisierter Benutzer versucht, Zugriff auf einen Datenbank-Server zu erlangen, indem er zu bekannten Benutzernamen die entsprechenden Passwörter rät. Die erfolglosen Authentisierungsversuche werden im System protokolliert. Aufgrund fehlender Auswertung der Protokolldateien werden die Angriffsversuche nicht erkannt. Der unautorisierte Benutzer kann unerkannt den Angriffsversuch gegebenenfalls bis zum Erfolg fortsetzen.
- Auf einem nicht vernetzten Windows 95-Rechner gibt es keine Möglichkeit, die Aktivitäten eines oder mehrerer Benutzer benutzerspezifisch zu protokollieren. Es ist daher nicht festzustellen, ob Sicherheitsverletzungen im IT-System stattgefunden haben oder ob ein solcher Versuch unternommen wurde.