Aus der Pflicht eine Tugend machen

Enikö Vivien Visky, Regional Director bei BalaBit IT Security

Compliance-Auflagen haben insbesondere in Krisenzeiten Hochkonjunktur. Doch auch wenn IT-Leiter zähneknirschend dafür sorgen müssen, dass ihr Unternehmen alle entsprechenden Auflagen erfüllt, sollten sie dabei eines nicht vergessen: Durch manche regulative Anforderung ergeben sich auch Chancen - wenn man sie mit etwas Weitsicht umsetzt.

So fordern Auflagen wie etwa der Health Insurance Portability Act (HIPPA) oder der Payment Card Industry Data Security Standard (PCI-DSS) ganz konkret von Unternehmen, dass sie ihre Log-Daten zentral sammeln, speichern und auswerten. Während dies zunächst nach einem Haufen zusätzlicher Arbeit und hohen Kosten aussieht, müssen die dazu notwenigen Massnahmen jedoch kein Selbstzweck sein. Denn sie können beispielsweise auch die IT-Sicherheit im Unternehmen erhöhen.

Log-Daten entstehen in Unternehmen jede Sekunde in grosser Zahl. So generieren Server, Netzwerkkomponenten und Anwendungen beispielsweise automatisch Log-Meldungen über die Anmeldung eines Benutzers an einem System oder den erfolgreichen Versand einer E-Mail. Die Log-Daten legen sie entweder in lokalen Protokolldateien ab oder bieten sie zur Abholung per Syslog an. Syslog ist dabei einerseits ein Netzwerkprotokoll zur Übertragung von Log-Meldungen. Gleichzeitig steht Syslog auch für Programme, die Log-Meldungen generieren, entgegennehmen, weiterleiten oder speichern. Um in einem grösseren Unternehmen die genannten Compliance-Vorgaben einzuhalten, empfiehlt sich dabei der Aufbau einer unternehmensweiten, hierarchischen Syslog-Infrastruktur, in die auch sämtliche Niederlassungen eingebunden sind. Das muss dabei nicht einmal mit hohen Kosten verbunden sein, da zahlreiche Betriebssystem wie Unix oder Linux kostenlose Syslog-Implementationen wie beispielsweise syslog-ng bereits an Bord haben.

Steht eine Syslog-Infrastruktur zur Sammlung, müssen Unternehmen sicherstellen, dass alle Log-Daten auch unverfälscht in der zentralen Sammelstelle eintreffen. Dazu empfiehlt es sich, die Log-Informationen bei der Übertragung beispielsweise per SSL zu verschlüsseln. Um sich zudem vor Syslog-Injection-Angriffen zu schützen, können Unternehmen hingegen X.509-Zertifikate einsetzen, mit denen sich Log-Quelle und Ziel gegenseitig authentifizieren. Schliesslich gilt es zu vermeiden, dass die Einhaltung von Compliance-Anforderung durch Netzwerkausfälle gefährdet ist, wenn etwa Log-Nachrichten bei der Übertragung verloren gehen. Dem können Unternehmen beispielsweise durch Festplatten-basierte Nachrichtenpuffer vorbeugen, die die Nachrichten so lange zwischenspeichern, bis das Netzwerk wieder verfügbar ist.

Einmal gesammelt müssen Unternehmen ihre Log-Daten dann speichern und vor Manipulationen schützen. Durch eine Verschlüsselung der Daten und digitale Signaturen lässt sich dabei sicherstellen, dass nur autorisierte Personen Zugriff auf die Log-Daten haben. Mit Zeitstempel von externen Timestamping-Authorities können Unternehmen zudem den Nachweis einer chronologischen und lückenlosen Auszeichnung erbringen. Wen der PCI-DSS reguliert, der muss seine Log-Daten zudem mindestens drei Monate online verfügbar halten. Bei der revisionssicheren Speicherung können wiederum dedizierte Hardware-Appliance wie die syslog-ng Store Box von BalaBit helfen, die durch eine Indizierung der Log-Daten zudem dafür sorgt, dass sich diese schnell und einfache wiederfinden lassen.

Hat ein Unternehmen einmal aus Compliance-Gründen seine Log-Informationen so gesammelt, bieten sich ihm damit zahlreiche weitere Möglichkeiten. So lassen sich diese Daten beispielsweise ideal dazu nutzen, um nach der Ursache von Betriebsstörungen zu suchen oder Verletzungen von Sicherheitsrichtlinien aufzudecken. Dazu können die Unternehmen die Log-Daten beispielsweise an ein SIEM-Werkzeug (Security Information und Event Management) weiterleiten, das Korrelationen in den Daten aufdeckt. So würde etwa ein einmaliger fehlgeschlagener Anmeldeversuch an einem System meist unentdeckt bleiben und auch generell als wenig relevant eingestuft. Erfolgt dieser Anmeldeversuch jedoch an vielen Systemen hintereinander innerhalb kurzer Zeit, ist dies ein guter Indikator für einen Einbruchsversuch mit einem gestohlenen Passwort. Dieser lässt sich jedoch nur dann aufdecken, wenn alle Systeme ihre Log-Daten zeitnah an eine zentrale Stelle gemeldet haben. Wer dies bereits aus Compliance-Gründen tut, ist hier klar im Vorteil.