G 3.114 Fehlerhafte Administration bei der Protokollierung

Werden Protokollierungsserver fehlerhaft administriert und dadurch Sicherheitsvorfälle missachtet oder nicht entdeckt, kann die Sicherheit des gesamten Informationsverbundes beeinträchtigt sein. Als Gründe kommen Konfigurations- oder Bedienungsfehler infrage. Unter Umständen führen solche Administrationsfehler zusätzlich zu einem Vertraulichkeitsverlust von schutzbedürftigen Daten.

Zu den Konfigurationsfehlern zählen falsch oder nicht vollständig eingestellte Parameter und Optionen. Das kann ein zu hoher Grenzwert sein, ab dem eine Alarmierung erfolgt oder zu tolerante Einstellungen der Filter. Solche Fehlkonfigurationen können häufige Fehlalarme auslösen, die eine Frühwarnung erschweren.

Bedienungsfehler bei der zentralen Protokollierung können auftreten, wenn unzureichend oder nicht geschult wird. Das kann dazu führen, dass die Administratoren Analyseergebnisse von Protokolldaten falsch deuten und dadurch einen Sicherheitsvorfall übersehen. Die fehlerhafte Bedienung kann auch dazu führen, dass Protokolldaten versehentlich gelöscht oder verändert werden. Eine weitere potenzielle Gefahr für die Gesamtsicherheit geht von modifizierten Sicherheitseinstellungen und erweiterten Zugriffsrechten für das Protokollierungssystem aus. Diese könnten durch unbefugte Benutzer ausgenutzt werden, um Zugang zu den überwachten IT -Systemen zu erhalten.

Beispiele: