Zentrales Logmanagement

Moderne IT-Verfahren bestehen häufig aus einer größeren Zahl an Komponenten und nutzen eine verteilte Infrastruktur. Um die korrekte Funktion einzelner Komponenten und deren ordnungsgemäßes Zusammenspiel nachvollziehen bzw. Probleme analysieren zu können, ist die Protokollierung (Logging) einer Vielzahl von Einzelvorgängen (Ereignissen, Events) üblich. Genauigkeit und Umfang einzelner Protokollierungen sind im Allgemeinen in mehreren Stufen einstellbar.

Logmanagement-600px.png

Grafik Zentrales Logmanagement

Die Informationssicherheit hat neben dem Sicherheitsziel Verfügbarkeit der Daten auch die Sicherheitsziele Vertraulichkeit und Integrität bei Datenaufbewahrung und -verarbeitung im Fokus. Bei Protokollen, die auch persönliche Daten erfassen, müssen sowohl die Daten selbst als auch Erkenntnisse über den Umgang mit diesen Daten vertraulich behandelt werden. Die Handhabung muss außerdem den strengen Vorgaben des Datenschutzes genügen. Ähnlich sensibel sind Informationen über aktuelle Bedrohungen der IT-Sicherheit bzw. Hinweise auf den Missbrauch von Schwachstellen, durch die solche Bedrohungen möglich werden. Hier setzt das zentrale Logmanagement der HZD an. Ebenso setzt es die Compliance-Überwachung um, die der Hessische Datenschutzbeauftragte fordert. Danach muss es z.B. nachvollziehbar sein, wenn eine andere Person als der Eigentümer das Zugriffsrecht für ein E-Mail-Postfach erhält.

Die Lösung

Die HZD betreibt ein Logmanagement/SIEM[1]-System, das die vom Datenschutzbeauftragten gestellte Aufgabe erfüllt und dazu beiträgt, die Schutzziele der Vertraulichkeit und Integrität von ausgewählten Systemen in der Landesverwaltung zu gewährleisten. Ein Team des Sicherheitsbeauftragten der HZD betreut das SIEM-System in einer eigenen Sicherheitszone im Rechenzentrum. Der dazugehörige Workflow schließt auch Kräfte des Service Operation Center (SOC) der HZD ein. Die relevanten Informationen erhält das SIEM-System direkt aus den Protokolldaten der sicherheitskritischen Fachsysteme, z.B. Domain Controller des Active Directory (AD), Exchange Postfach-Server, Firewalls und andere Fachsysteme. Das System analysiert die eingehenden Logdaten auf spezielle Eigenschaften und meldet Vorgänge mit Konfliktpotenzial an das SOC. Erhärtet sich der Verdacht auf eine Verletzung der IT-Sicherheit und/oder des Datenschutzes, erfolgt die weitere Bearbeitung in einem Sicherheitsvorfall.

Die Zentralisierung der Logdatenspeicherung und -verwaltung bietet neben einer quantitativen Verbesserung bekannter Nutzeffekte auch neue Möglichkeiten durch die schnelle Auslagerung bzw. die Zusammenführung von Logdaten aus unterschiedlichen Teilen der Systemlandschaft: Ein SIEM-System zeichnet sich dadurch aus, dass es eine logische Verknüpfung von Ereignissen auf unterschiedlichen Quellsystemen ermöglicht. Ein gern zitierter Anwendungsfall ist der Alarm, der ausgelöst werden kann, wenn ein Mitarbeiter aktuell über Fernzugriff angemeldet ist und gleichzeitig ein Zutritt mit seiner Berechtigungskarte verzeichnet wird. Diese beiden Ereignisse sind jeweils für sich betrachtet unauffällig, treten sie jedoch in Kombination auf, ist dies ein seltener Ausnahmefall, der nicht unbemerkt bleiben sollte. Schafft man eine Anbindung der beteiligten Systeme an das zentrale Logmanagement, können solche auffälligen Muster erkannt werden und es kann zielgerichtet und zeitnah reagiert werden.

Neue Vorschriften von Seiten der EU, weiter gewachsene Expertise bei Cyberangreifern und zunehmende Größe und Komplexität der IT-Systemlandschaft verlangen sowohl in der Breite wie in der Tiefe verstärkte Bemühungen. Um die eigenen Systeme unter souveräner Kontrolle zu behalten und gewappnet zu sein gegen Cyberangreifer sind Erfassung, Speicherung und Auswertung großer Mengen an Logdaten nicht mehr zu vermeiden. Die Analyse solcher Datenmassen muss auch verstärkt auf algorithmische Erkennung von Mustern und Anomalien zurückgreifen. Mittlerweile werden diese Mittel auf der anderen Seite bereits zur Optimierung von Angriffswerkzeugen eingesetzt. Eine neue Phase des Wettrennens hat begonnen.

[1] Security Incident and Event Management

Haben Sie noch Fragen zu diesem Thema?

Ihr Ansprechpartner in der HZD:

Dirk Maifarth
Mainzer Straße 29
65185 Wiesbaden

Tel.: 0611 340-3082

Hessen-Suche