Der unsichtbare Wachhund

Risikokontrolle 8.15: Protokollierung


Die Risikokontrolle „Protokollierung“, im Englischen als „Logging“ bezeichnet, gemäß ISO 27002:2022 (Abschnitt 8.15) bezieht sich auf die Aufzeichnung und Überwachung von Aktivitäten, Fehlern und relevanten Ereignissen in einer Organisation. Logs sind ein wesentliches Instrument, um Sicherheitsvorfälle zu erkennen, zu analysieren und zu verhindern. Diese Logs müssen nicht nur zuverlässig erstellt und gespeichert, sondern auch gegen unbefugten Zugriff geschützt und regelmäßig analysiert werden. Gut implementierte Protokollierungssysteme helfen, Sicherheitsrisiken zu mindern, indem sie Transparenz in die IT-Systeme bringt und mögliche Angriffe oder interne Missstände aufdeckt.


Welche Gefahren sollen durch die Risikokontrolle vermindert werden?

Die Hauptgefahren, die durch Protokollierung minimiert werden, sind:

  1. Unbemerkte Sicherheitsvorfälle: Ohne detaillierte Logs kann ein Sicherheitsvorfall unentdeckt bleiben. Zum Beispiel könnten Angreifer über Wochen oder Monate Zugang zu einem System haben, ohne dass dies bemerkt wird, da keine ausreichenden Aufzeichnungen existieren.
  2. Fehlende Beweismittel: Im Falle eines Sicherheitsvorfalls fehlen möglicherweise die notwendigen Daten, um den Vorfall zu untersuchen oder nachzuvollziehen, was genau passiert ist. Dies erschwert die Forensik und die Wiederherstellung nach einem Angriff.
  3. Manipulation von Logs: Wenn Logs nicht ausreichend geschützt sind, könnten Angreifer ihre Spuren verwischen, indem sie Aktivitäten löschen oder verändern. Dies würde die Entdeckung von Sicherheitsvorfällen zusätzlich erschweren.
  4. Verzögerte Reaktion auf Angriffe: Ohne automatisierte Log-Analysen und Warnsysteme kann die Reaktion auf Sicherheitsvorfälle verzögert werden. In der Zwischenzeit könnte der Schaden erheblich zunehmen.


Welche typische Schwachstellen in Organisationen werden damit adressiert?

Logging adressiert einige der häufigsten Schwachstellen, die in vielen Organisationen auftreten:

  1. Unzureichende Protokollierung von Aktivitäten: In vielen Unternehmen werden nicht alle sicherheitsrelevanten Aktivitäten, wie Login-Versuche, Änderungen an Berechtigungen oder ungewöhnliche Netzwerkaktivitäten, ordnungsgemäß protokolliert. Dadurch bleiben mögliche Angriffe unbemerkt.
  2. Mangelnde Zentralisierung von Logs: Oftmals gibt es keine zentrale Stelle zur Sammlung und Auswertung von Logs. Dies führt dazu, dass Daten verstreut und schwer zugänglich sind, was die Erkennung von Anomalien erschwert.
  3. Fehlende Schutzmechanismen für Logs: Logs sind häufig ungeschützt, sodass Angreifer sie löschen oder verändern können, um ihre Aktivitäten zu verschleiern.
  4. Unzureichende Analyse: Selbst wenn Logs erstellt und gespeichert werden, werden sie oft nicht regelmäßig analysiert. Ohne eine kontinuierliche Überwachung und automatisierte Warnsysteme gehen verdächtige Aktivitäten schnell unter.


Beispiel für die Umsetzung der Risikokontrolle

Ein anschauliches Beispiel für die effektive Umsetzung von Protokollierung findet sich in der Telekommunikationsbranche, wo große Netzbetreiber täglich Millionen von Verbindungen, Datentransfers und Anfragen verarbeiten. Angesichts der hohen Sensibilität der Kundendaten und der großen Angriffsfläche für Cyberkriminelle ist eine umfassende Logging-Strategie unerlässlich.

  1. Automatisierte Log-Erstellung: Der Netzbetreiber implementiert ein Logging-System, das jede Verbindung, Authentifizierungsanforderung und ungewöhnliche Netzwerkaktivität automatisch protokolliert. Jede Änderung in den Benutzerberechtigungen und jede Fehlermeldung wird in Echtzeit festgehalten.
  2. Zentralisierte Log-Speicherung: Alle Logs werden in einem zentralen, sicheren Log-Management-System gespeichert, das den Zugang streng kontrolliert und manipulationssicher ist. Die Logs werden über mehrere Server hinweg repliziert, um sicherzustellen, dass sie bei einem Ausfall eines Systems nicht verloren gehen.
  3. Analyse und Alarmierung: Das System nutzt fortschrittliche Analysetools und Künstliche Intelligenz, um die Logs auf Anomalien zu überprüfen. Beispielsweise könnte ein plötzlicher Anstieg von fehlgeschlagenen Login-Versuchen als Hinweis auf einen Brute-Force-Angriff gewertet werden, was sofort eine Alarmierung der Sicherheitsteams auslöst.
  4. Schutzmechanismen: Alle Logs sind durch Verschlüsselung gesichert und können nur von autorisierten Personen eingesehen werden. Änderungen an den Logs sind nicht möglich, ohne dass dies ebenfalls protokolliert und der Sicherheitseinheit gemeldet wird.

In der Vergangenheit konnte das Unternehmen durch die Kombination aus automatisiertem Logging und fortlaufender Analyse einen Insiderangriff verhindern. Ein Mitarbeiter hatte versucht, auf geschützte Kundendaten zuzugreifen, indem er sich unbefugt zusätzliche Berechtigungen verschaffte. Dank der Protokollierung dieser Änderungen und der sofortigen Alarmierung konnte der Versuch rechtzeitig gestoppt und der Mitarbeiter identifiziert werden.


Notwendige Ressourcen

Die Einführung einer effektiven Logging-Strategie erfordert eine Investition in Technologie, Personal und Zeit. Die konkreten Ressourcen, die benötigt werden, hängen von der Größe und Komplexität der Organisation ab.

  1. Kosten für Technologie: Moderne Protokollierungssysteme und Analyseplattformen kosten je nach Umfang und Anforderungen einer Organisation zwischen 10.000 und mehreren hunderttausend Euro. Diese Systeme müssen in der Lage sein, große Mengen an Daten zu speichern und zu analysieren, ohne die IT-Infrastruktur zu überlasten.
  2. Zeitaufwand: Die Implementierung eines zentralen Logging-Systems dauert in der Regel mehrere Monate. Zunächst müssen die relevanten Systeme identifiziert und verbunden werden, um sicherzustellen, dass alle sicherheitsrelevanten Ereignisse protokolliert werden. Anschließend müssen Analysewerkzeuge und Alarmierungsmechanismen implementiert und getestet werden.
  3. Einfachheit vs. Komplexität: Einfache Logging-Lösungen, bei denen nur grundlegende Aktivitäten wie Login-Versuche oder Dateiänderungen protokolliert werden, sind relativ schnell zu implementieren. Komplex wird es jedoch, wenn tiefergehende Analysen und proaktive Überwachungen erforderlich sind, insbesondere in Organisationen mit einer großen Anzahl von IT-Systemen und Applikationen. Die Integration der Log-Analyse mit fortgeschrittenen KI-Tools oder Machine-Learning-Algorithmen erfordert zusätzliches technisches Know-how und möglicherweise eine fortlaufende Anpassung.
  4. Schulung und Wartung: Zusätzlich zur Implementierung des Systems muss auch das IT-Sicherheitspersonal geschult werden, um die Logs effektiv zu analysieren und auf Warnmeldungen zu reagieren. Dies erfordert nicht nur initiale Schulungen, sondern auch eine fortlaufende Weiterbildung, da Bedrohungslandschaften und Technologien sich stetig weiterentwickeln.


Fazit

Die Risikokontrolle „Protokollierung“ nach ISO 27002:2022 ist ein kritischer Bestandteil jeder Informationssicherheitsstrategie. Sie stellt sicher, dass alle relevanten Aktivitäten protokolliert und analysiert werden, um Sicherheitsvorfälle schnell zu erkennen und angemessen darauf zu reagieren. Obwohl die Einführung und Wartung von Logging-Systemen zeit- und kostenintensiv sein kann, sind die Vorteile in Bezug auf die verbesserte Transparenz, die Fähigkeit zur Reaktion auf Angriffe und die Prävention potenzieller Bedrohungen von grossem Wert. Organisationen, die in effektive Logging- und Analysewerkzeuge investieren, haben einen entscheidenden Vorteil im Schutz ihrer sensiblen Daten und IT-Systeme.