Qgelm

Originalartikel

Backup

<html> <ul class=„toc“><li><a href=„https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKompendium/bausteine/OPS/DE/Themen/ITGrundschutz/ITGrundschutzKompendium/bausteine/OPS/OPS_1_1_5_Protokollierung.html;jsessionid=EC477C32A656FF46943FE1D078F5E17E.1_cid341?nn=10137168#doc10095814bodyText1“>1 Beschreibung</a> <ul><li><a href=„https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKompendium/bausteine/OPS/DE/Themen/ITGrundschutz/ITGrundschutzKompendium/bausteine/OPS/OPS_1_1_5_Protokollierung.html;jsessionid=EC477C32A656FF46943FE1D078F5E17E.1_cid341?nn=10137168#doc10095814bodyText2“>1.1 Einleitung</a></li> <li><a href=„https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKompendium/bausteine/OPS/DE/Themen/ITGrundschutz/ITGrundschutzKompendium/bausteine/OPS/OPS_1_1_5_Protokollierung.html;jsessionid=EC477C32A656FF46943FE1D078F5E17E.1_cid341?nn=10137168#doc10095814bodyText3“>1.2 Zielsetzung</a></li> <li><a href=„https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKompendium/bausteine/OPS/DE/Themen/ITGrundschutz/ITGrundschutzKompendium/bausteine/OPS/OPS_1_1_5_Protokollierung.html;jsessionid=EC477C32A656FF46943FE1D078F5E17E.1_cid341?nn=10137168#doc10095814bodyText4“>1.3 Abgrenzung</a></li> </ul></li> <li><a href=„https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKompendium/bausteine/OPS/DE/Themen/ITGrundschutz/ITGrundschutzKompendium/bausteine/OPS/OPS_1_1_5_Protokollierung.html;jsessionid=EC477C32A656FF46943FE1D078F5E17E.1_cid341?nn=10137168#doc10095814bodyText5“>2 Gef&#228;hrdungslage</a> <ul><li><a href=„https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKompendium/bausteine/OPS/DE/Themen/ITGrundschutz/ITGrundschutzKompendium/bausteine/OPS/OPS_1_1_5_Protokollierung.html;jsessionid=EC477C32A656FF46943FE1D078F5E17E.1_cid341?nn=10137168#doc10095814bodyText6“>2 1 Fehlende oder unzureichende Protokollierung</a></li> <li><a href=„https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKompendium/bausteine/OPS/DE/Themen/ITGrundschutz/ITGrundschutzKompendium/bausteine/OPS/OPS_1_1_5_Protokollierung.html;jsessionid=EC477C32A656FF46943FE1D078F5E17E.1_cid341?nn=10137168#doc10095814bodyText7“>2 2 Fehlerhafte Auswahl von relevanten Protokollierungsdaten</a></li> <li><a href=„https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKompendium/bausteine/OPS/DE/Themen/ITGrundschutz/ITGrundschutzKompendium/bausteine/OPS/OPS_1_1_5_Protokollierung.html;jsessionid=EC477C32A656FF46943FE1D078F5E17E.1_cid341?nn=10137168#doc10095814bodyText8“>2 3 Fehlende Zeitsynchronisation bei der Protokollierung</a></li> <li><a href=„https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKompendium/bausteine/OPS/DE/Themen/ITGrundschutz/ITGrundschutzKompendium/bausteine/OPS/OPS_1_1_5_Protokollierung.html;jsessionid=EC477C32A656FF46943FE1D078F5E17E.1_cid341?nn=10137168#doc10095814bodyText9“>2 4 Fehlplanung bei der Protokollierung</a></li> <li><a href=„https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKompendium/bausteine/OPS/DE/Themen/ITGrundschutz/ITGrundschutzKompendium/bausteine/OPS/OPS_1_1_5_Protokollierung.html;jsessionid=EC477C32A656FF46943FE1D078F5E17E.1_cid341?nn=10137168#doc10095814bodyText10“>2 5 Vertraulichkeits- und Integrit&#228;tsverlust von Protokollierungsdaten</a></li> <li><a href=„https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKompendium/bausteine/OPS/DE/Themen/ITGrundschutz/ITGrundschutzKompendium/bausteine/OPS/OPS_1_1_5_Protokollierung.html;jsessionid=EC477C32A656FF46943FE1D078F5E17E.1_cid341?nn=10137168#doc10095814bodyText11“>2 6 Falsch konfigurierte Protokollierung</a></li> <li><a href=„https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKompendium/bausteine/OPS/DE/Themen/ITGrundschutz/ITGrundschutzKompendium/bausteine/OPS/OPS_1_1_5_Protokollierung.html;jsessionid=EC477C32A656FF46943FE1D078F5E17E.1_cid341?nn=10137168#doc10095814bodyText12“>2 7 Ausfall von Datenquellen</a></li> <li><a href=„https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKompendium/bausteine/OPS/DE/Themen/ITGrundschutz/ITGrundschutzKompendium/bausteine/OPS/OPS_1_1_5_Protokollierung.html;jsessionid=EC477C32A656FF46943FE1D078F5E17E.1_cid341?nn=10137168#doc10095814bodyText13“>2 8 Ungen&#252;gend dimensionierte Protokollierungsinfrastruktur</a></li> </ul></li> <li><a href=„https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKompendium/bausteine/OPS/DE/Themen/ITGrundschutz/ITGrundschutzKompendium/bausteine/OPS/OPS_1_1_5_Protokollierung.html;jsessionid=EC477C32A656FF46943FE1D078F5E17E.1_cid341?nn=10137168#doc10095814bodyText14“>3 Anforderungen</a> <ul><li><a href=„https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKompendium/bausteine/OPS/DE/Themen/ITGrundschutz/ITGrundschutzKompendium/bausteine/OPS/OPS_1_1_5_Protokollierung.html;jsessionid=EC477C32A656FF46943FE1D078F5E17E.1_cid341?nn=10137168#doc10095814bodyText15“>3.1 Basis-Anforderungen</a></li> <li><a href=„https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKompendium/bausteine/OPS/DE/Themen/ITGrundschutz/ITGrundschutzKompendium/bausteine/OPS/OPS_1_1_5_Protokollierung.html;jsessionid=EC477C32A656FF46943FE1D078F5E17E.1_cid341?nn=10137168#doc10095814bodyText16“>3.2 Standard-Anforderungen</a></li> <li><a href=„https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKompendium/bausteine/OPS/DE/Themen/ITGrundschutz/ITGrundschutzKompendium/bausteine/OPS/OPS_1_1_5_Protokollierung.html;jsessionid=EC477C32A656FF46943FE1D078F5E17E.1_cid341?nn=10137168#doc10095814bodyText17“>3.3 Anforderungen bei erh&#246;htem Schutzbedarf</a></li> </ul></li> <li><a href=„https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKompendium/bausteine/OPS/DE/Themen/ITGrundschutz/ITGrundschutzKompendium/bausteine/OPS/OPS_1_1_5_Protokollierung.html;jsessionid=EC477C32A656FF46943FE1D078F5E17E.1_cid341?nn=10137168#doc10095814bodyText18“>4 Weiterf&#252;hrende Informationen</a> <ul><li><a href=„https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKompendium/bausteine/OPS/DE/Themen/ITGrundschutz/ITGrundschutzKompendium/bausteine/OPS/OPS_1_1_5_Protokollierung.html;jsessionid=EC477C32A656FF46943FE1D078F5E17E.1_cid341?nn=10137168#doc10095814bodyText19“>4.1 Literatur</a></li> </ul></li> <li><a href=„https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKompendium/bausteine/OPS/DE/Themen/ITGrundschutz/ITGrundschutzKompendium/bausteine/OPS/OPS_1_1_5_Protokollierung.html;jsessionid=EC477C32A656FF46943FE1D078F5E17E.1_cid341?nn=10137168#doc10095814bodyText20“>5 Anlage: Kreuzreferenztabelle zu elementaren Gef&#228;hrdungen</a></li> </ul> <h2>1 Beschreibung</h2> <h3>1.1 Einleitung</h3> <p>F&#252;r einen verl&#228;sslichen IT-Betrieb sollten IT-Systeme und Anwendungen alle oder ausgew&#228;hlte betriebs- und sicherheitsrelevanten Ereignisse protokollieren, d.h. sie automatisch speichern und f&#252;r die Auswertung bereitstellen. Eine Protokollierung wird in vielen Institutionen eingesetzt, um Hard- und Softwareprobleme sowie Ressourcenengp&#228;sse zeitnah entdecken zu k&#246;nnen. Aber auch Sicherheitsprobleme und Angriffe auf die betriebenen Dienste k&#246;nnen anhand von Protokollierungsdaten nachvollzogen werden. Ebenso k&#246;nnen mit solchen Daten, durch forensische Untersuchungen, Beweise gesichert werden, nachdem ein Angriff auf IT-Systeme bekannt wurde.</p> <p>In jedem Informationsverbund werden lokal Protokollierungsdaten von einer Vielzahl von IT-Systemen und Anwendungen generiert. Um jedoch einen Gesamt&#252;berblick &#252;ber einen Informationsverbund zu erhalten, k&#246;nnen die von verschiedenen IT-Systemen und Anwendungen generierten Protokollinformationen an eine dedizierte Protokollierungsinfrastruktur gesendet und dort zentral gespeichert werden. Nur so lassen sich die Protokollierungsdaten an einer Stelle ausw&#228;hlen, filtern und systematisch auswerten.</p> <h3>1.2 Zielsetzung</h3> <p>Der Baustein enth&#228;lt Anforderungen, mit denen die Protokollierung m&#246;glichst aller sicherheitsrelevanten Ereignisse umgesetzt werden kann. Ziel ist es, alle hierf&#252;r relevanten Daten sicher zu erheben, zu speichern und geeignet f&#252;r die Auswertung bereitzustellen sowie deren ordnungsgem&#228;&#223;e Entsorgung sicherzustellen.</p> <h3>1.3 Abgrenzung</h3> <p>Im vorliegenden Baustein werden nur &#252;bergreifende Aspekte betrachtet, die f&#252;r eine angemessene Protokollierung erforderlich sind. Die Protokollierung spezifischer IT-Systeme oder Anwendungen wird hier nicht behandelt, sondern in den jeweiligen Bausteinen beschrieben.</p> <p>In vielen Betriebssystemen oder Anwendungen sind Protokollierungsfunktionen bereits vorhanden oder k&#246;nnen dort mittels Zusatzprodukten integriert werden. Um diese Funktionen und die gespeicherten Protokollierungsdaten abzusichern, muss das zugrundeliegende Betriebssystem gesch&#252;tzt sein. Das ist jedoch nicht Bestandteil dieses Bausteins. Daf&#252;r sind die betriebssystemspezifischen Bausteine umzusetzen, z. B. SYS.1.1 <em>Allgemeiner Server</em> und SYS.2.1 <em>Allgemeine Clients</em>.</p> <p>Auch ist der Baustein abzugrenzen von der Detektion (siehe DER.1 <em>Detektion von sicherheitsrelevanten Ereignissen</em>) sowie der Reaktion auf Sicherheitsvorf&#228;lle (DER.2.1 <em>Behandlung von Sicherheitsvorf&#228;llen</em>): Beide Aspekte werden im Baustein OPS.1.1.5 <em>Protokollierung</em> nicht oder nur am Rande behandelt.</p> <p>Vorgaben, wie mit personenbezogenen Daten umzugehen ist, werden im Baustein CON.2 <em>Datenschutz</em> geregelt. Wie lang und umfangreich Protokollierungsdaten archiviert werden m&#252;ssen, ist dar&#252;ber hinaus im Baustein OPS.1.2.2 <em>Archivierung</em> erl&#228;utert.</p> <h2>2 Gef&#228;hrdungslage</h2> <p>Folgende spezifische Bedrohungen und Schwachstellen sind f&#252;r den Baustein OPS.1.1.5 Protokollierung von besonderer Bedeutung:</p> <h3>2 1 Fehlende oder unzureichende Protokollierung</h3> <p>In einem Informationsverbund gibt es h&#228;ufig IT-Systeme oder Anwendungen, bei denen die Protokollierung in der Grundeinstellung nicht aktiviert wurde. Auch k&#246;nnen einzelne IT-Systeme und Anwendungen manchmal gar nicht protokollieren. In beiden F&#228;llen k&#246;nnen wichtige Informationen verloren gehen und Angriffe nicht rechtzeitig erkannt werden. Das ist jedoch auch dann m&#246;glich, wenn die Protokollierung bei einzelnen IT-Systemen genutzt wird, aber die Protokolle nicht an einer zentralen Stelle zusammengef&#252;hrt werden. In Informationsverb&#252;nden ohne zentrale Protokollierung ist es schwierig sicherzustellen, dass die relevanten Protokollinformationen aller IT-Systeme erhalten und ausgewertet werden.</p> <p>Weiterhin m&#252;ssen Protokollierungsdaten aussagekr&#228;ftige Informationen enthalten. Welche Ereignisse protokolliert werden, h&#228;ngt unter anderem auch vom Schutzbedarf der jeweiligen IT-Systeme bzw. Anwendungen ab. Wird dieser missachtet, indem beispielsweise bei der Protokollierung nur auf Standard-Einstellungen der IT-Systeme bzw. Anwendungen zur&#252;ckgegriffen wird, kann dies dazu f&#252;hren, dass besonders relevante Sicherheitsereignisse nicht protokolliert werden. Somit werden Angriffe eventuell nicht erkannt.</p> <h3>2 2 Fehlerhafte Auswahl von relevanten Protokollierungsdaten</h3> <p>Protokollierungsdaten liefern oft wichtige Informationen, um IT-Sicherheitsvorf&#228;lle zu erkennen. Die relevanten Meldungen aus der gro&#223;en Menge der verschiedenen Protokollereignisse auszuw&#228;hlen ist eine besondere Herausforderung. Denn viele protokollierte Meldungen haben nur informativen Charakter und lenken von den wirklich wichtigen Meldungen ab. Werden zu viele Protokollmeldungen ausgew&#228;hlt, l&#228;sst sich die F&#252;lle von Informationen nur schwer und mit hohem Zeitaufwand auswerten.</p> <p>Des Weiteren k&#246;nnen Protokollierungsdaten verworfen oder &#252;berschrieben werden, wenn der Arbeitsspeicher oder die Festplattenkapazit&#228;t des IT-Systems bzw. der Protokollierungsinfrastruktur nicht ausreichen. Werden dadurch zu wenige oder nicht genug relevante Protokollmeldungen aufgezeichnet, k&#246;nnten sicherheitskritische Vorf&#228;lle unerkannt bleiben.</p> <h3>2 3 Fehlende Zeitsynchronisation bei der Protokollierung</h3> <p>Wenn in einem Informationsverbund die Zeit nicht auf allen IT-Systemen synchronisiert wird, k&#246;nnen die Protokollierungsdaten eventuell nicht miteinander korreliert werden bzw. kann die Korrelation zu eventuell fehlerhaften Aussagen f&#252;hren, da die unterschiedlichen Zeitstempel von Ereignissen keine gemeinsame Basis aufweisen. Eine fehlende Zeitsynchronisation erschwert es somit, erhobene Protokollierungsdaten auszuwerten, insbesondere, wenn diese auf einem zentralen Logserver gespeichert werden. Weiterhin kann eine fehlerhafte oder fehlende Zeitsynchronisation dazu f&#252;hren, dass die Protokollierung nicht zur Beweissicherung herangezogen werden kann.</p> <h3>2 4 Fehlplanung bei der Protokollierung</h3> <p>Wird die Protokollierung nicht ausreichend geplant, kann dies dazu f&#252;hren, dass IT-Systeme oder Anwendungen nicht &#252;berwacht und sicherheitsrelevante Ereignisse somit nicht identifiziert und angemessen behandelt werden. Datenschutzverst&#246;&#223;e k&#246;nnen ebenfalls nicht nachvollzogen werden.</p> <h3>2 5 Vertraulichkeits- und Integrit&#228;tsverlust von Protokollierungsdaten</h3> <p>Einige IT-Systeme in einem Informationsverbund generieren Protokollierungsdaten wie Benutzernamen, IP-Adressen, E-Mail-Adressen und Rechnernamen, die konkreten Personen zugeordnet werden k&#246;nnen. Solche Informationen lassen sich kopieren, abh&#246;ren und manipulieren, wenn sie nicht verschl&#252;sselt &#252;bertragen und gesichert gespeichert werden. Dies kann dazu f&#252;hren, dass Angreifer auf vertrauliche Informationen zugreifen oder, dass durch manipulierte Protokollierungsdaten, Sicherheitsvorf&#228;lle bewusst verschleiert werden. Ebenso kann ein Angreifer, wenn er an eine gr&#246;&#223;ere Menge von Protokollierungsdaten gelangt, diese Informationen nutzen, um die interne Struktur des Informationsverbundes aufzudecken und dadurch seine Angriffe gezielter ausrichten.</p> <h3>2 6 Falsch konfigurierte Protokollierung</h3> <p>Wenn die Protokollierung in IT-Systemen falsch konfiguriert ist, werden wichtige Informationen gar nicht oder fehlerhaft aufgezeichnet. Auch kann es sein, dass zu viele oder falsche Informationen protokolliert werden. So k&#246;nnen z.B. personenbezogene Daten unberechtigt protokolliert und gespeichert werden und die Institution kann so gegen gesetzliche Anforderungen versto&#223;en.</p> <p>Durch eine falsch konfigurierte Protokollierung ist es ebenso m&#246;glich, dass die Protokollierungsdaten in inkonsistenten oder propriet&#228;ren Formaten vorliegen. Dadurch lassen sich die Protokolle eventuell nur schwer auswerten und IT-Sicherheitsvorf&#228;lle bleiben unentdeckt.</p> <h3>2 7 Ausfall von Datenquellen</h3> <p>Liefern IT-Systeme in einem Informationsverbund nicht mehr die notwendigen Protokollierungsdaten, lassen sich Sicherheitsvorf&#228;lle nicht mehr angemessen detektieren. Ursache f&#252;r Ausf&#228;lle von Datenquellen k&#246;nnen Fehler in der Hard- und Software oder auch fehlerhaft administrierte IT-Systeme sein. Besonders, wenn nicht bemerkt wird, dass Datenquellen ausgefallen sind, kann das zu einem falschen Bild der Sicherheitslage in der Institution f&#252;hren. Dadurch k&#246;nnen Angreifer z.B. sehr lange unbemerkt bleiben und gesch&#228;ftskritische Informationen abgreifen oder Produktionssysteme manipulieren.</p> <h3>2 8 Ungen&#252;gend dimensionierte Protokollierungsinfrastruktur</h3> <p>Aufgrund der komplexen Informationsverb&#252;nde und vielf&#228;ltigen Angriffsszenarien steigen die Anforderungen an die Protokollierung, da sehr viele Protokollierungsdaten gespeichert und verarbeitet werden m&#252;ssen. Weiterhin ist es bei Sicherheitsvorf&#228;llen &#252;blich, die Intensit&#228;t der Protokollierung zu erh&#246;hen. Ist die Protokollierungsinfrastruktur daf&#252;r jedoch nicht ausgelegt, besteht die Gefahr, dass Protokollierungsdaten unvollst&#228;ndig gespeichert werden. Somit lassen sich sicherheitsrelevante Ereignisse nicht mehr oder nur unzureichend auswerten und Sicherheitsvorf&#228;lle bleiben unentdeckt.</p> <h2>3 Anforderungen</h2> <p>Im Folgenden sind die spezifischen Anforderungen des Bausteins OPS.1.1.5 <em>Protokollierung</em> aufgef&#252;hrt. Grunds&#228;tzlich ist der IT-Betrieb f&#252;r die Erf&#252;llung der Anforderungen zust&#228;ndig. Abweichungen hiervon werden in den entsprechenden Anforderungen gesondert erw&#228;hnt. Der Informationssicherheitsbeauftragte (ISB) ist bei strategischen Entscheidungen stets einzubeziehen. Au&#223;erdem ist der ISB daf&#252;r verantwortlich, dass alle Anforderungen gem&#228;&#223; dem festlegten Sicherheitskonzept erf&#252;llt und &#252;berpr&#252;ft werden.</p> <table><tbody readability=„1“><tr><th colspan=„1“ rowspan=„1“ scope=„row“>Bausteinverantwortlicher</th> <td colspan=„1“ rowspan=„1“>IT-Betrieb</td> </tr><tr readability=„3“><th colspan=„1“ rowspan=„1“ scope=„row“>Weitere Verantwortliche</th> <td colspan=„1“ rowspan=„1“>Fachverantwortliche, Informationssicherheitsbeauftragter (ISB), Leiter IT</td> </tr></tbody></table> <h3>3.1 Basis-Anforderungen</h3> <p>Die folgenden Anforderungen M&#220;SSEN f&#252;r den Baustein Protokollierung vorrangig umgesetzt werden:</p> <h4>OPS.1.1.5.A1 Erstellung einer Sicherheitsrichtlinie f&#252;r die Protokollierung [Informationssicherheitsbeauftragter (ISB), Fachverantwortliche]</h4> <p>Ausgehend von der allgemeinen Sicherheitsrichtlinie der Institution, MUSS eine spezifische Sicherheitsrichtlinie erstellt werden, in der nachvollziehbar Anforderungen und Vorgaben beschrieben sind, wie die Protokollierung sicher geplant, aufgebaut und betrieben werden soll. In der Richtlinie MUSS geregelt werden, wie, wo und was protokolliert werden soll. Dabei SOLLTEN sich Art und Umfang der Protokollierung am Schutzbedarf der Informationen orientieren.</p> <p>Die Richtlinie MUSS vom ISB gemeinsam mit den Fachverantwortlichen erstellt werden. Sie MUSS allen f&#252;r die Protokollierung verantwortlichen Mitarbeitern bekannt und grundlegend f&#252;r ihre Arbeit sein. Wird die Richtlinie ver&#228;ndert oder wird von den Anforderungen abgewichen, MUSS dies mit dem ISB abgestimmt und dokumentiert werden. Es MUSS regelm&#228;&#223;ig &#252;berpr&#252;ft werden, ob die Richtlinie noch korrekt umgesetzt ist. Die Ergebnisse M&#220;SSEN dokumentiert werden.</p> <h4>OPS.1.1.5.A2 Festlegung von Rollen und Verantwortlichkeiten [Leiter IT]</h4> <p>F&#252;r die in der Protokollierungsrichtlinie (siehe OPS.1.1.5.A1 <em>Erstellung einer Sicherheitsrichtlinie f&#252;r die Protokollierung</em>) als relevant definierten IT-Systeme und Anwendungen M&#220;SSEN Verantwortliche benannt werden. Diese M&#220;SSEN sicherstellen, dass die Protokollierungsrichtlinie eingehalten wird.</p> <h4>OPS.1.1.5.A3 Konfiguration der Protokollierung auf System- und Netzebene</h4> <p>Alle sicherheitsrelevanten Ereignisse von IT-Systemen und Anwendungen M&#220;SSEN protokolliert werden. Sofern die in der Protokollierungsrichtlinie als relevant definierten IT-Systeme und Anwendungen &#252;ber eine Protokollierungsfunktion verf&#252;gen, MUSS diese benutzt werden. Wenn die Protokollierung eingerichtet wird, M&#220;SSEN dabei die Herstellervorgaben f&#252;r die jeweiligen IT-Systeme oder Anwendungen beachtet werden. Es MUSS in angemessenen Intervallen stichpunktartig &#252;berpr&#252;ft werden, ob die Protokollierung noch korrekt funktioniert. Die Intervalle M&#220;SSEN in der Protokollierungsrichtlinie definiert werden. Sofern betriebs- und sicherheitsrelevante Ereignisse nicht auf einem IT-System protokolliert werden k&#246;nnen, M&#220;SSEN weitere IT-Systeme zur Protokollierung (z. B. von Ereignissen auf Netzebene) integriert werden.</p> <h4>OPS.1.1.5.A4 Zeitsynchronisation der IT-Systeme</h4> <p>Die Systemzeit aller protokollierenden IT-Systeme und Anwendungen MUSS immer synchron sein. Es MUSS sichergestellt sein, dass das Datum und Zeitformat der Protokolldateien einheitlich ist. Weitere Hinweise hierzu finden sich im Baustein NET.1.2 <em>Netzmanagement</em>.</p> <h4>OPS.1.1.5.A5 Einhaltung rechtlicher Rahmenbedingungen [Informationssicherheitsbeauftragter (ISB)]</h4> <p>Bei der Protokollierung M&#220;SSEN die gesetzlichen Bestimmungen aus den aktuellen Gesetzen zum Bundes-/Landesdatenschutz eingehalten werden (siehe CON.2 <em>Datenschutz</em>). Dar&#252;ber hinaus M&#220;SSEN eventuelle Pers&#246;nlichkeitsrechte bzw. Mitbestimmungsrechte der Mitarbeitervertretungen gewahrt werden. Ebenso MUSS sichergestellt sein, dass alle weiteren relevanten gesetzlichen Bestimmungen beachtet werden. Protokollierungsdaten M&#220;SSEN nach einem festgelegten Prozess gel&#246;scht werden. Es MUSS technisch unterbunden werden, dass Protokollierungsdaten unkontrolliert gel&#246;scht oder ver&#228;ndert werden.</p> <h3>3.2 Standard-Anforderungen</h3> <p>Gemeinsam mit den Basis-Anforderungen entsprechen die folgenden Anforderungen dem Stand der Technik f&#252;r den Baustein Protokollierung. Sie SOLLTEN grunds&#228;tzlich umgesetzt werden.</p> <h4>OPS.1.1.5.A6 Aufbau einer zentralen Protokollierungsinfrastruktur</h4> <p>Vor allem in gr&#246;&#223;eren Informationsverb&#252;nden SOLLTEN alle gesammelten sicherheitsrelevanten Protokollierungsdaten an einer zentralen Stelle gespeichert werden. Daf&#252;r SOLLTE eine zentrale Protokollierungsinfrastruktur im Sinne eines Logserver-Verbunds aufgebaut und in einem hierf&#252;r eingerichteten Netzsegment platziert werden. Der Logserver-Verbund SOLLTE die Protokollierungsdaten von IT-Systemen und Anwendungen ausschlie&#223;lich nach dem Pull-Prinzip beziehen. Wird dies von IT-Systemen und Anwendungen nicht unterst&#252;tzt, SOLLTEN die Protokollierungsdaten auf vorgelagerten IT-Systemen gesammelt und dort vom Logserver-Verbund abgeholt werden. Die hierf&#252;r erforderlichen Kommunikationsverbindungen SOLLTEN restriktiv erfolgen.</p> <p>Zus&#228;tzlich zu sicherheitsrelevanten Ereignissen (siehe OPS.1.1.5.A3 <em>Konfiguration der Protokollierung auf System- und Netzebene</em>) SOLLTE eine zentrale Protokollierungsinfrastruktur auch allgemeine Betriebsereignisse protokollieren, die auf einen Fehler hindeuten, z.&#160;B.:</p> <ul><li>Ausbleiben von Protokollierungsdaten bzw. Nichterreichbarkeit eines protokollierenden IT-Systems,</li> <li>Betriebsereignisse, die auf eine au&#223;ergew&#246;hnliche Auslastung bzw. Beanspruchung einzelner Dienste hindeuten.</li> </ul><p>Die Protokollierungsinfrastruktur SOLLTE ausreichend dimensioniert sein, sodass eine Skalierung im Sinne einer erweiterten Protokollierung ber&#252;cksichtigt werden kann. Daf&#252;r SOLLTEN gen&#252;gen technische, finanzielle und personelle Ressourcen verf&#252;gbar sein. Falls die Protokollierungsinfrastruktur extern aufgebaut und betrieben werden soll, SOLLTE ein spezialisierter Dienstleister beauftragt werden.</p> <h4>OPS.1.1.5.A7 Sichere Administration von Protokollierungsservern</h4> <p>Der Logserver-Verbund SOLLTE ausschlie&#223;lich &#252;ber ein separates Managementnetz (Out-of-Band-Management) administriert werden. F&#252;r die Administrationszugriffe SOLLTE ein Berechtigungskonzept erstellt werden. Es SOLLTEN nur Administratoren auf die Protokollierungsserver zugreifen k&#246;nnen, die speziell daf&#252;r verantwortlich sind (siehe OPS.1.1.5.A2 <em>Festlegung von Rollen und Verantwortlichkeiten</em>).</p> <h4>OPS.1.1.5.A8 Archivierung von Protokollierungsdaten</h4> <p>F&#252;r Protokollierungsdaten SOLLTE ein Archivierungskonzept erstellt werden. Dabei SOLLTEN die gesetzlich vorgeschriebenen Regelungen ber&#252;cksichtigt und im Konzept dokumentiert werden (siehe auch OPS.1.2.2 <em>Archivierung</em>).</p> <h4>OPS.1.1.5.A9 Bereitstellung von Protokollierungsdaten f&#252;r die Auswertung</h4> <p>Die gesammelten Protokollierungsdaten SOLLTEN mithilfe einer Protokollierungsanwendung gefiltert, normalisiert, aggregiert und korreliert werden. Die so bearbeiteten Protokollierungsdaten SOLLTEN geeignet verf&#252;gbar gemacht werden, damit sie ausgewertet werden k&#246;nnen. Damit sich die Daten automatisiert auswerten lassen, SOLLTEN die Protokollanwendungen &#252;ber entsprechende Schnittstellen f&#252;r die Auswertungsprogramme verf&#252;gen. Es SOLLTE sichergestellt sein, dass bei der Auswertung die in der Protokollierungsrichtlinie definierten Sicherheitsanforderungen eingehalten werden. Auch wenn die Daten bereitgestellt werden, SOLLTEN betriebliche und interne Vereinbarungen ber&#252;cksichtigt werden. Die Protokollierungsdaten SOLLTEN in Originalform aufbewahrt werden.</p> <h4>OPS.1.1.5.A10 Zugriffsschutz f&#252;r Protokollierungsdaten</h4> <p>Alle Protokollierungsdaten SOLLTEN so gespeichert werden, dass keine Unbefugten darauf zugreifen k&#246;nnen. Es SOLLTE zudem ein Zugriffskonzept erstellt werden, das regelt, wer auf welche protokollierten Daten zugreifen darf. Dabei SOLLTEN die Berechtigungen so restriktiv wie m&#246;glich vergeben werden.</p> <p>Es SOLLTE sichergestellt sein, dass auf die Protokollierungsdaten grunds&#228;tzlich nur zugegriffen wird, wenn sicherheitsrelevante Vorf&#228;lle aufzukl&#228;ren sind. Dabei SOLLTE nach der im Baustein DER.1 <em>Detektion von sicherheitsrelevanten Ereignissen</em> festgelegten Methode vorgegangen werden. Ein solcher Zugriff SOLLTE dokumentiert werden.</p> <h3>3.3 Anforderungen bei erh&#246;htem Schutzbedarf</h3> <p>Im Folgenden sind f&#252;r den Baustein Protokollierung exemplarische Vorschl&#228;ge f&#252;r Anforderungen aufgef&#252;hrt, die &#252;ber das dem Stand der Technik entsprechende Schutzniveau hinausgehen und BEI ERH&#214;HTEM SCHUTZBEDARF in Betracht gezogen werden SOLLTEN. Die konkrete Festlegung erfolgt im Rahmen einer Risikoanalyse. Die jeweils in Klammern angegebenen Buchstaben zeigen an, welche Grundwerte durch die Anforderung vorrangig gesch&#252;tzt werden (C = Vertraulichkeit, I = Integrit&#228;t, A = Verf&#252;gbarkeit).</p> <h4>OPS.1.1.5.A11 Steigerung des Protokollierungsumfangs(CIA)</h4> <p>Bei erh&#246;htem Schutzbedarf von Anwendungen oder IT-Systemen SOLLTE die Menge und Art der protokollierten Ereignisse erweitert werden, sodass sicherheitsrelevante Vorf&#228;lle m&#246;glichst l&#252;ckenlos nachvollziehbar sind.</p> <p>Um eine Echtzeitauswertung der Protokollierungsdaten zu erm&#246;glichen, SOLLTEN in verk&#252;rzten Zeitabst&#228;nden die Protokollierungsdaten von den protokollierenden IT-Systemen und Anwendungen zentral gespeichert werden (siehe auch OPS.1.1.5.A6 <em>Aufbau einer zentralen Protokollierungsinfrastruktur</em>). Die Protokollierung SOLLTE eine Auswertung &#252;ber den gesamten Informationsverbund erm&#246;glichen.</p> <p>Anwendungen und IT-Systeme, mit denen eine zentrale Protokollierung nicht m&#246;glich ist, SOLLTEN bei einem erh&#246;hten Schutzbedarf NICHT eingesetzt werden.</p> <h4>OPS.1.1.5.A12 Verschl&#252;sselung(CI)</h4> <p>Um Protokollierungsdaten sicher &#252;bertragen zu k&#246;nnen, SOLLTEN sie verschl&#252;sselt werden. Weiterhin SOLLTEN alle gespeicherten Protokolle digital signiert werden. Auch archivierte und au&#223;erhalb der Protokollierungsinfrastruktur gespeicherte Protokollierungsdaten sollten immer verschl&#252;sselt gespeichert werden. Weitere Hinweise und Anforderungen dazu f&#252;hrt Baustein CON.1 <em>Kryptokonzept</em> auf.</p> <h4>OPS.1.1.5.A13 Hochverf&#252;gbare Protokollierungssysteme [Informationssicherheitsbeauftragter (ISB)](A)</h4> <p>Bei erh&#246;htem Schutzbedarf SOLLTE eine hochverf&#252;gbare Protokollierungsinfrastruktur aufgebaut werden.</p> <h2>4 Weiterf&#252;hrende Informationen</h2> <h3>4.1 Literatur</h3> <p>Weiterf&#252;hrende Informationen zu Gef&#228;hrdungen und Sicherheitsma&#223;nahmen im Bereich „Protokollierung“ finden sich unter anderem in folgenden Ver&#246;ffentlichungen:</p> <ul readability=„5“><li readability=„6“> <h4>[27001] ISO/IEC 27001:2013</h4> <p>International Organization for Standardization (Hrsg.), Informa&#173;<br/>tion technology &#8211; Security techniques &#8211; Information security management systems &#8211;<br/>Requirements, ISO/IEC JTC 1/SC 27, Oktober 2013</p> </li> <li readability=„2“> <h4>[ISF] The Standard of Good Practice</h4> <p>Information Security Forum (ISF), June 2016</p> </li> <li readability=„3“> <h4>[NISTSP800123] NIST Special Publication 800-123</h4> <p>Guide to General Server Security, Juli 2008, zuletzt abgerufen am 15.11.2017<br/><a href=„https://csrc.nist.gov/publications/nistpubs/800-123/SP800-123.pdf“ target=„_blank“>https://csrc.nist.gov/publications/nistpubs/800-123/SP800-123.pdf</a></p> </li> </ul> <h2>5 Anlage: Kreuzreferenztabelle zu elementaren Gef&#228;hrdungen</h2> <p>Die folgenden elementaren Gef&#228;hrdungen sind f&#252;r den Baustein Protokollierung von Bedeutung.</p> <ul><li>G 0.9 Ausfall oder St&#246;rung von Kommunikationsnetzen</li> <li>G 0.14 Aussp&#228;hen von Informationen (Spionage)</li> <li>G 0.15 Abh&#246;ren</li> <li>G 0.18 Fehlplanung oder fehlende Anpassung</li> <li>G 0.19 Offenlegung sch&#252;tzenswerter Informationen</li> <li>G 0.21 Manipulation von Hard- oder Software</li> <li>G 0.22 Manipulation von Informationen</li> <li>G 0.23 Unbefugtes Eindringen in IT-Systeme</li> <li>G 0.25 Ausfall von Ger&#228;ten oder Systemen</li> <li>G 0.26 Fehlfunktion von Ger&#228;ten oder Systemen</li> <li>G 0.29 Versto&#223; gegen Gesetze oder Regelungen</li> <li>G 0.30 Unberechtigte Nutzung oder Administration von Ger&#228;ten und Systemen</li> <li>G 0.31 Fehlerhafte Nutzung oder Administration von Ger&#228;ten und Systemen</li> <li>G 0.32 Missbrauch von Berechtigungen</li> <li>G 0.37 Abstreiten von Handlungen</li> <li>G 0.38 Missbrauch personenbezogener Daten</li> <li>G 0.40 Verhinderung von Diensten (Denial of Service)</li> <li>G 0.45 Datenverlust</li> <li>G 0.46 Integrit&#228;tsverlust sch&#252;tzenswerter Informationen</li> </ul><p>Die Kreuzreferenztabellen finden Sie aufgrund ihres Umfangs im Downloadbereich.</p> </html>