G 5.176 Kompromittierung der Protokolldatenübertragung bei zentraler Protokollierung

Bei einer zentralen Speicherung der Protokolldaten werden die aufgezeichneten Informationen an einen Protokollierungsserver übermittelt, der sie verarbeitet und auswertet. Die übertragenen Protokollierungsereignisse können personenbezogene Informationen wie Benutzernamen enthalten, die sich einer konkreten Person zuordnen lassen. Werden die Protokolldaten über ungesicherte und nicht verschlüsselte Übertragungswege übermittelt, können sie abgehört und manipuliert werden.

Ausnutzen von In-Band-Verbindungen

Wenn IT-Systeme in einem unsicheren Netz betrieben werden, sind sie mit großer Wahrscheinlichkeit Angriffen aus diesem Netz ausgesetzt. Ein Beispiel ist ein Paketfilter in einem Sicherheitsgateway, der zwischen das öffentliche Netz und das Application-Level-Gateway geschaltet wird. Sollen Protokollinformationen des Paketfilters an einen zentralen Protokollierungsserver gesendet werden, ist eine Datenverbindung über das Application-Level-Gateway und über eventuell weitere Systeme zum zentralen Protokollierungsserver notwendig (In-Band). Die Möglichkeit dieser Verbindung könnte auch von einem Angreifer ausgenutzt werden, da von Außen initiierte Verbindungen in das interne Netz eine Schwachstelle darstellen. Bei einer Out-of-Band-Verbindung treten diese Probleme nicht auf, weil die Protokolldaten innerhalb eines eigenen, abgeschlossenen Netzes transportiert werden. Allerdings ist der dafür notwendige Aufwand deutlich höher. Es muss eine eigene Netzinfrastruktur aufgebaut sowie ein weiteres Netz administriert werden. Zudem können die möglichen Schäden gravierend sein, falls es einem Angreifer gelingen würde, das Out-of-Band-Netz zu kompromittieren.

Kompromittierung des zentralen Protokollierungsservers

Wird ein zentraler Protokollierungsserver, der nicht in einem eigenen Administrationsnetz platziert wurde, kompromittiert, erleichtert er aufgrund seiner zentralen Platzierung Angriffe auf weitere Komponenten. Weil er sowohl von IT-Systemen vor als auch hinter dem Sicherheitsgateway erreichbar sein muss, bietet er einem Angreifer die Möglichkeit, das Sicherheitsgateway eines Informationsverbundes zu umgehen. Dadurch könnten beispielsweise der Datenverkehr zwischen dem E-Mail-Server und dem Protokollierungsserver mit einem Netzanalyse-Tool aufgezeichnet und eventuelle personenbezogene Daten ausgelesen werden. Des Weiteren hat ein Angreifer dadurch die Möglichkeit, Protokolldaten einzusehen und diese zu manipulieren.

Manipulierte Protokolldaten

Manipuliert ein Angreifer Protokolldaten, sind deren Integrität und Vollständigkeit infrage gestellt und ihre Beweiskraft und Verlässlichkeit nicht mehr gewährleistet. Auch bei einem IT-Frühwarnsystem können manipulierte Protokollmeldungen zu großen Problemen führen, wenn kein vollständiges Lagebild erzeugt werden kann und dadurch beispielsweise Angriffe auf IT-Systeme oder Anwendungen unentdeckt bleiben. Ein Grund für unvollständige Protokolldaten kann der Einsatz von Netz-Protokollen wie dem User Datagram Protocol (UDP) sein, die keine Mechanismen vorsehen, um zu überprüfen, ob alle Pakete komplett übertragen wurden.

Bandbreitenengpässe

Durch die große Menge an Protokolldaten, die über das Netz zusätzlich zu den Nutzdaten übertragen werden, kann es bei Bandbreitenengpässen dazu kommen, dass die Übertragung der Protokollmeldungen die der Nutzdaten beeinträchtigt. Des Weiteren kann es passieren, dass durch die Bandbreitenengpässe die Protokollinformationen zeitverzögert weitergeleitet werden oder ganz verloren gehen. Dies führt bei einem IT -Frühwarnsystem unter Umständen zu erheblichen Problemen, weil nur durch die Summe der einzelnen Teilinformationen der verschiedenen IT-Systeme ein Gesamtbild des Informationsverbundes dargestellt werden kann.

Beispiel: