M 5.171 Sichere Kommunikation zu einem zentralen Protokollierungsserver

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsbeauftragter

Verantwortlich für Umsetzung: Administrator

Bei der zentralen Protokollierung werden die Informationen der überwachten IT-Systeme und Anwendungen über das Netz zu einem zentralen Protokollierungsserver übertragen, um sie zu sammeln, auszuwerten und zu speichern. Da die Protokolldaten auch personenbezogene Informationen enthalten können, müssen diese vor unberechtigtem Zugriff (einsehen, verändern oder löschen) geschützt werden.

Um zu verhindern, dass die Protokolldaten während der Übertragung auf den zentralen Protokollierungsserver abgehört oder manipuliert werden, lassen sie sich entweder verschlüsselt oder über ein eigenes Administrationsnetz (Out-of-Band) übertragen. Auf diese Weise wird auch die Integrität und Vertraulichkeit der Protokollmeldungen erhöht.

Vertraulichkeit für sensitive Informationen

Einige Datenquellen generieren Protokollmeldungen, die eine konkrete Zuordnung zu einer Person ermöglichen. Es ist daher wichtig, die Vertraulichkeit von Protokolldaten auch während der Übertragung sicherstellen zu können, beispielsweise durch Absichern der Verbindung mit Hilfe von SSL (siehe M 5.66 Clientseitige Verwendung von SSL/TLS) oder durch Verschlüsseln der Daten. Auch ein eigenes Administrationsnetz (Out-of-Band) kann helfen, die Daten während der Übertragung zu schützen.

Integrität und Vollständigkeit der Protokolldaten

Wenn Protokollinformationen im Zusammenhang mit IT-Frühwarnung und im Bereich der Computer-Forensik verwendet werden sollen, ist es wichtig, dass weder Beweise für Sicherheitsvorfälle noch die Beweiskraft der gesammelten Informationen verloren gehen. Des Weiteren sollte eine Authentisierung zwischen dem Protokollierungsserver und dem IT-System stattfinden, das die Protokolldaten liefert. So lassen sich Man-in-the-Middle-Angriffe erschweren und Daten werden nicht versehentlich an nicht-autorisierte Stellen versendet. Daher sind Mechanismen zur Verfügung zu stellen, um die Integrität und Authentizität der übertragenen und gespeicherten Informationen zu schützen.

Protokolldaten müssen richtig und vollständig sein. Das ist sowohl für die Beweiskraft als auch aus technischer Sicht notwendig.

Da in größeren Informationsverbünden oft viele Protokolldaten anfallen, muss dafür gesorgt werden, dass die Bandbreite ausreicht, um die Protokollinformationen zu übertragen und dass keine Protokollinformationen durch temporäre Bandbreitenengpässe verloren gehen. Ebenso ist sicherzustellen, dass die Übertragung der Protokolldaten nicht die Übertragung der Nutzdaten behindert. Die Protokollmeldungen könnten über ein getrenntes Administrationsnetz (Out-of-Band) statt über das eigentliche Datennetz (In-Band) übertragen werden. In Abhängigkeit des Schutzbedarfs sollte abgewogen werden, ob es sinnvoll und technisch realisierbar ist, eine logische oder eine physikalische Trennung von Protokoll- und Nutzdaten vorzunehmen.

Beispiele einer sicheren Kommunikation

Die folgenden Maßnahmen zeigen, wie sich Verfügbarkeit, Integrität und Vertraulichkeit während der Übertragung von Protokolldaten gewährleisten lassen. Die Empfehlungen können sowohl einzeln als auch in Kombination eingesetzt werden.

Prüffragen: