M 2.497 Erstellung eines Sicherheitskonzepts für die Protokollierung

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter, Leiter IT

Damit die Protokollierung in einem sicheren Rahmen erfolgen kann, muss ein Sicherheitskonzept erstellt werden. Darin werden alle Aspekte festgeschrieben, die den sicheren Einsatz der Protokollierung betreffen, zum Beispiel welche Daten erfasst und wie lange diese gespeichert werden sollen, wie die Auswertung erfolgen muss und wie die Protokolldaten bei einer zentralen Protokollierung über das Netz verschickt werden.

Die folgende Aufzählung nennt einige wichtige Bereiche, die im Konzept geregelt werden sollten. Sie ist aber nicht vollständig und muss den Einsatzszenarien in der Institution entsprechend angepasst, ausgestaltet und erweitert werden. Detailinformationen zu den angesprochenen Aspekten finden sich in den einzelnen Maßnahmen von B 1.0 Sicherheitsmanagement.

In einem Sicherheitskonzept wird geregelt, wie, wo und was bei welchem Schutzbedarf protokolliert werden soll. Darunter fällt auch die Entscheidung, ob lokal oder zentral protokolliert werden soll, siehe auch M 3.90 Allgemeine Grundlagen für die zentrale Protokollierung. Es ist in der Regel einfacher, einen Überblick über die sicherheitsrelevanten Vorkommnisse im Informationsverbund zu gewinnen, wenn ein zentraler Protokollierungsserver eingesetzt wird, der die unterschiedlichen Protokolldaten zusammenführt, diese analysiert und überwacht. Dabei sind unter anderem die folgenden Aspekte relevant:

Es muss entschieden werden, welche IT-Systeme, Netze und Anwendungen im Sicherheitskonzept für die Protokollierung berücksichtigt werden sollen. Generell sollten alle sicherheitsrelevanten Ereignisse von IT-Systemen wie Servern, Clients, Netzkoppelelementen und Sicherheitsgateways protokolliert und ausgewertet werden, wie in M 4.430 Analyse von Protokolldaten beschrieben ist. Dazu können folgende Fragen sinnvoll sein:

Damit alle Funktionen und Sicherheitsmerkmale der Protokollierung optimal genutzt werden können, ist es wichtig, die Administratoren entsprechend zu schulen, siehe auch M 3.89 Schulung zur Administration der Protokollierung. In den Schulungen sollten Informationen über Einrichtung und Betrieb der Komponenten eines Protokollierungsservers sowie Kenntnisse über die Administration vermittelt werden. Wichtig sind unter anderem die aufgelisteten Punkte:

Die gesammelten Protokollinformationen können lokal oder an einem zentralen Protokollierungsserver ausgewertet werden. Das wird in M 4.431 Auswahl und Verarbeitung relevanter Informationen für die Protokollierung näher beschrieben. Im Fall der zentralen Analyse müssen die Protokollinformationen über das Netz an einen zentralen Server übertragen werden. Hierbei ist die Kommunikation zwischen den beteiligten IT-Systemen ausreichend abzusichern, siehe M 5.171 Sichere Kommunikation zu einem zentralen Protokollierungsserver. Dazu sollten die folgenden Aspekte beachtet werden:

Treten bestimmte Ereignisse ein oder werden Schwellwerte überschritten, sollte ein Alarm beispielsweise per E-Mail oder SMS ausgelöst werden. Um eine sinnvolle Alarmierung durchführen zu können, ist es beispielsweise wichtig, die Anzahl der Fehlalarme zu reduzieren und die relevanten Personen schnell zu informieren. Nähere Informationen sind in M 6.151 Alarmierungskonzept für die Protokollierung zu finden. Dazu können die folgenden Fragen hilfreich sein:

Bei der Protokollierung spielt der Datenschutz eine wichtige Rolle, da er zum einen Vorgaben macht, was zu protokollieren ist und zum anderen, was nicht protokolliert werden darf und wie mit den protokollierten Daten umzugehen ist (siehe M 2.110 Datenschutzaspekte bei der Protokollierung).

Das Sicherheitskonzept zur Protokollierung muss mit dem übergreifenden Sicherheitskonzept der Institution abgestimmt sein. Außerdem ist es regelmäßig zu aktualisieren und an Änderungen der Technik genauso anzupassen wie an Änderungen innerhalb der Institution.

Prüffragen: