3. Protokollierung

Um in einem Fall des Angriffs eine Lokalisierung des Problems und eine schnelle Behebung durchführen zu können, empfiehlt sich das Führen von Protokolldateien bzw. Logfiles. Dabei muss im Vorfeld eine Abwägung zwischen der Menge an Logdateien und dem späteren Nutzen getroffen werden. Auch rechtliche Aspekte bzgl. Aufbewahrungsfristen und Datensparsamkeit sind hier zu berücksichtigen. Eine Anonymisierung, Pseudonymisierung oder Aggregation kann notwendig sein.

Beispiel:

Welche Benutzeraktionen sollen protokolliert werden? Wenig Sinn ergibt die Protokollierung auf Ebene von Dateioperationen (Anlegen, Löschen etc.)- eher sinnvoll ist die Protokollierung von administrativen Aktionen (Anlegen, Löschen von Benutzern) oder auch der eigentliche Anmeldevorgang an einem Client.

Jedes eingesetzte System hat seine eigenen Log-Modalitäten und Besonderheiten:
  • Eine FritzBox protokolliert nur solange wie sie in Betrieb ist - nach einem Neustart sind die Protokolldaten verloren
  • Ein Mailserver protokolliert auf technischer Ebene die eingehenden und ausgehenden Mails (ohne Inhalt)
  • Ein Webserver protokolliert auf IP-Ebene die eingehenden Verbindungen und die ausgelieferten Webseiten
  • Eine Firewall protokolliert u.U. die abgewiesenen Verbindungen

Sonstiges:

Es besteht die Möglichkeit, Protokolldaten an einem zentralen Ort zusammenfließen zu lassen.

Das ergibt in einem nächsten Schritt die Möglichkeit, dass auf Basis der Protokollierung auch ein Warnsystem implementiert werden kann, so dass z.B. die fehlgeschlagenen Anmeldeversuche an einem Client oder dem Mailsystem an einen Administrator gemeldet werden.

Integrierbar in ein zentrales Warnsystem wäre auch die Prüfung auf eine mögliche Kompromittierung der Firmenwebseite.

Wichtig bei der Protokollierung sind die Zeitsynchronisation zwischen den Systemen und die passende Einstellung bei den Zeitzonen. Am Besten es wird unternehmsweit in UTC protokolliert. Ohne dies wird eine Analyse über mehrere Systeme deutlich erschwert.


Weiter

Zurück

Klicken Sie hier, um zur Übersicht zu gelangen.