M 2.565 Protokollierung sicherheitsrelevanter Ereignisse bei eingebetteten Systemen

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Grundsätzlich sind sicherheitsrelevante Ereignisse im Betrieb des eingebetteten Systems zu dokumentieren. Die technischen Möglichkeiten dazu können bei unterschiedlichen Arten eingebetteter Systeme und deren Umgebung stark variieren. Mögliche Ausprägungen, Funktionalitäten und Parameter sind:

Soweit möglich, sollten bei eingebetteten Systemen zumindest Sicherheitsverstöße protokolliert werden, wie versuchter und durchgeführter unautorisierter Zugang und Zugriff. Insbesondere sind die Aktivitäten von privilegierten Benutzern zu überwachen, wie z. B. Technikern und Administratoren. Dadurch kann zwar der Missbrauch von Rechten nicht verhindert werden, es ist aber die Voraussetzung, um gezielt Schwachstellen zu schließen. Daneben wirkt sich die Protokollierung, zumindest hinsichtlich des Risikos entdeckt zu werden, abschreckend auf potentielle Täter aus.

Ist eine elektronische Protokollierung wegen konzeptioneller Einschränkungen durch die begrenzten Ressourcen nicht oder nur sehr begrenzt realisierbar, sollten organisatorische Regelungen geschaffen werden. Zum einen sollten alle Arbeiten an einem eingebetteten System mit Angaben zu Ort, Zeit, Ausführendem sowie Art und Grund der Tätigkeit in einem Logbuch festgehalten werden. Zum anderen sollten alle Ausfälle, offensichtliche Zugangs- und Zugriffsverletzungen und sonstige Auffälligkeiten im Logbuch dokumentiert werden. Die Einträge sollten regelmäßig und anlassbezogen ausgewertet werden.

Sowohl automatisch erzeugte Protokolle als auch Aufzeichnungen durch das Personal sind gegen unerlaubte nachträgliche Veränderung zu schützen. Nur dezidiert Berechtigte dürfen auf die Protokolle zugreifen können. Soweit technisch möglich, sind Vorkehrungen zu treffen, dass die Protokolldaten auch nicht von privilegierten Nutzern gelöscht oder geändert werden können, z. B. durch Speicherung auf nicht wiederbeschreibbaren Datenträgern oder mittels elektronischer Signatur. Datenträger mit Protokolldaten sind sicher zu verwahren und die beteiligten Personen sind über den korrekten Umgang zu belehren.

Prüffragen: