3. Protokollierung

Um in einem Fall des Angriffs eine Lokalisierung des Problems und eine schnelle Behebung durchführen zu können, empfiehlt sich das Führen von Protokolldateien bzw. Logfiles. Dabei muss im Vorfeld eine Abwägung zwischen der Menge an Logdateien und dem späteren Nutzen getroffen werden. Auch über das fortwährende Monitoring dieser Logdateien kann nachgedacht werden.

Beispiel:

Welche Benutzeraktionen sollen protokolliert werden? Wenig Sinn ergibt die Protokollierung auf Ebene von Dateioperationen (Anlegen, Löschen etc.)- eher sinnvoll ist die Protokollierung von administrativen Aktionen (Anlegen, Löschen von Benutzern) oder auch der eigentliche Anmeldevorgang an einem Client.

Jedes eingesetzte System hat seine eigenen Log-Modalitäten und Besonderheiten:
  • Eine FritzBox protokolliert nur solange wie sind in Betrieb ist- nach einem Neustart sind die Protokolldaten verloren
  • Ein Mailserver protokolliert auf technischer Ebene die eingehenden und ausgehenden Mails (ohne Inhalt)
  • Ein Webserver protokolliert auf IP-Ebene die eingehenden Verbindungen und die ausgelieferten Webseiten
  • Eine Firewall protokolliert u.U. die abgewiesenen Verbindungen
Es besteht die Möglichkeit, Protokolldaten an einem zentralen Ort zusammenfließen zu lassen.

Das ergibt in einem nächsten Schritt die Möglichkeit, dass auf Basis der Protokollierung auch ein Warnsystem implementiert werden kann, so dass z.B. die fehlgeschlagenen Anmeldeversuche an einem Client oder dem Mailsystem an einen Administrator gemeldet werden.

Integrierbar in ein zentrales Warnsystem wäre auch die Prüfung auf eine mögliche Kompromittierung der Firmenwebseite.


Weiter

Zurück

Klicken Sie hier, um zur Übersicht zu gelangen.