White paper. Best Practices für das Log-Management. Die Grundlage für eine umfassende Verwaltung von Sicherheitsinformationen und -ereignissen

Transkript

1 White paper Best Practices für das Log-Management Die Grundlage für eine umfassende Verwaltung von Sicherheitsinformationen und -ereignissen

2 Executive Summary Log-Management bezeichnet die Erfassung, Analyse (in Echtzeit oder vergangenheitsbezogen), Speicherung und Verwaltung von Protokoll-Daten aus verschiedenen Quellen im gesamten Unternehmen. Dies liefert die Grundlage für eine umfassende Verwaltung von Sicherheitsinformationen und -ereignissen (SIEM). Unternehmen, die Best Practices für das Log-Management entwickeln, erhalten eine zeitnahe Analyse ihres Sicherheitsprofils für die Sicherheitsabteilungen. Sie stellen sicher, dass Protokolle ausreichend detailliert über einen angemessenen Zeitraum gespeichert werden, um den Audit- und Compliance-Anforderungen gerecht zu werden. Darüber hinaus verfügen diese Unternehmen über zuverlässige Beweise, die auch in rechtlichen Verfahren Bestand haben. Unternehmen stehen vor zahlreichen Herausforderungen, durch die Best Practices im Log-Management als Teil der IT-Sicherheitsstrategie für das gesamte Unternehmen immer mehr Bedeutung erhalten. Dazu zählen die Steuerung der enormen Datenmengen, die von immer mehr Systemen generiert werden, die steigenden Anforderungen der modernen, durch Gesetze und Richtlinien bestimmten Umgebung und die immer ausgereifteren Angriffe auf Unternehmensnetzwerke. Durch Best Practices im Log-Management können IT- Führungskräfte einen deutlichen Mehrwert für ihr Unternehmen schaffen, da die Kosten sinken, während die Effizienz in Bereichen wie Compliance, Risikomanagement, Recht, Forensik oder Speicherung und im laufenden Betrieb steigt. Als Basis für Best Practices im Log-Management empfehlen sich die Anforderungen der geltenden Richtlinien und Standards sowie rechtliche Beratung, geschäftliche und operative Ziele und Risikoanalysen. Best Practices sollten zwar von jedem Unternehmen auf Basis der jeweiligen Umgebung individuell entwickelt werden, aber es gibt auch einige allgemeine Vorgehensweisen, die sich universell anwenden lassen. Dieses Whitepaper soll Unternehmen bei der Entwicklung eigener umfassender Best Practices unterstützen. Es zeigt 40 empfohlene Best Practices für folgende Protokollaspekte: Richtlinien, Verfahren und Technologien, Generierung und Erfassung, Aufbewahrung und Speicherung, Analyse sowie Schutz und Sicherheit. Inhalt Definition von Log-Management Seite 1 Bedeutung von Protokollen für Sicherheit und Compliance Seite 1 Log-Management als Lösung für Herausforderungen Seite 1 Der Geschäftswert von Best Practices im Log-Management Seite 3 Vorschläge für die Best Practices in Ihrem Unternehmen Seite 4 Empfohlene Best Practices Seite 5 I. Richtlinien, Verfahren und Technologien für Protokolle Seite 5 II. Erstellung und Erfassung von Protokollen Seite 6 III. Aufbewahrung und Speicherung von Protokollen Seite 7 IV. Protokollanalyse Seite 10 V. Schutz und Sicherheit von Protokollen Seite 11 Lösungen für die Implementierung von Best Practices Seite 12 Anhänge Anhang 1 Quellen und Inhalte von Protokollen Seite 13 Anhang 2 Compliance-Anforderungen für das Log-Management Seite 14

3 Definition von Log-Management In einem Protokoll werden die Ereignisse oder Aktivitäten aus den Systemen oder Netzwerken eines Unternehmens aufgezeichnet. Beispiele: eine Firewall gewährt oder verweigert den Zugriff auf eine Netzwerkressource, ein Administrator ändert die Konfiguration des Betriebssystems, ein System wird beendet oder gestartet, ein Benutzer meldet sich an einer Anwendung an, oder eine Anwendung gewährt oder verweigert den Zugriff auf eine Datei. Weitere Beispiele für Ereignisse oder Aktivitäten finden Sie in Anhang 1 Quellen und Inhalte von Protokollen. Log-Management bezeichnet die Erfassung, Analyse (in Echtzeit oder vergangenheitsbezogen), Speicherung und Verwaltung von Protokollen aus verschiedenen Quellen im gesamten Unternehmen, darunter Sicherheitssysteme, Netzwerkgeräte, Betriebssysteme und Anwendungen. Log-Management liefert die Grundlage für eine umfassende Verwaltung von Sicherheitsinformationen und -ereignissen (SIEM), die folgenden Zwecken dient: Erkennung und Abwehr von Bedrohungen in Echtzeit Vorfallsuntersuchungen und Forensik Einhaltung von Vorschriften und Standards Kapazitätsplanung, Leistung und Betriebszeit Beweise für Gerichtsverfahren Erkennung und Vermeidung von IP-Diebstahl Behebung von System- und Netzwerkproblemen Überprüfung und Durchsetzung von IT-Sicherheitsrichtlinien Bedeutung von Protokollen für Sicherheit und Compliance Ohne eine ausreichende Zusammenstellung, regelmäßige Prüfung und langfristige Aufbewahrung von Protokollen kann Ihr Unternehmen keine Compliance mit gesetzlichen Vorgaben erreichen und seine wertvollen Informationen nicht richtig schützen. Protokolle stellen eine Möglichkeit für die Überwachung von Systemen dar und zeichnen Sicherheitsereignisse, Informationszugriffe und Benutzeraktivitäten auf. warum Unternehmen die Vorgaben von Compliance-Audits nicht einhalten können. Sarbanes-Oxley-Auditoren nennen z.b. die unzulängliche Prüfung von Audit-Protokollen als einen der fünf häufigsten Schwachpunkte der IT-Kontrolle. Unzureichende Protokollierung ist nach Aussage von PCI-Auditoren auch eine der drei ersten Ursachen der Nichteinhaltung des Payment Card Industry Data Security Standard (PCI DSS). Mangelnde Kompetenz beim Log-Management zählt auch zu den Hauptursachen für die Gefährdung von Daten. Forensische Untersuchungen von MasterCard zeigen beispielsweise, dass eine fehlende Sicherheitsüberwachung in Echtzeit einer der fünf wichtigsten Gründe für Hacker-Angriffe auf Handelsunternehmen ist. Untersuchungen der US-amerikanischen Handelsaufsicht Federal Trade Commission (FTC) bei bereits vom Datenmissbrauch betroffenen Unternehmen haben gezeigt, dass fehlende Maßnahmen zur Erkennung von nicht autorisierten Zugriffen eine der Hauptursachen für diesen Missbrauch waren. Ohne ein geeignetes Log-Management können Unternehmen aufgetretene Sicherheitsverletzungen nur schwer untersuchen und sich von den Folgen erholen. Datenmissbrauch im großen Stil war in den vergangenen Jahren oft in den Schlagzeilen. In vielen Fällen haben die betroffenen Unternehmen nicht alle Protokolle aufbewahrt, die bis zum Zeitpunkt des ersten Eindringens in das Unternehmensnetzwerk zurückreichen. Dadurch war es nahezu unmöglich, die genaue Vorgehensweise des Angriffs zu bestimmen. Gesetzliche Vorgaben haben inzwischen dazu geführt, dass Aufbewahrungsfristen verlängert wurden. Um beispielsweise die Integrität von Finanzdaten belegen zu können, verlangen gesetz liche Vorschriften von Unternehmen die Aufbewahrung von Audit-Protokollen über viele Jahre. Richtlinien zum Datenschutz sehen die jahrelange Aufbewahrung von Zugriffsprotokollen vor, um die Offenlegung persönlicher Informationen nachweisen zu können. Unternehmen, die Best Practices im Log-Management entwickeln, erhalten eine zeitnahe Analyse ihres Sicherheitsprofils für die Sicherheitsabteilungen. Sie stellen sicher, dass Protokolle ausreichend detailliert über einen angemessenen Zeitraum gespeichert werden, um Audit- und Compliance-Anforderungen gerecht zu werden, und verfügen über zuverlässige Beweise zur Verwendung in rechtlichen Untersuchungen. Die moderne, durch Gesetze und Richtlinien geprägte Umgebung und eine neue Generation immer ausgereifterer Angriffe machen das Log-Management zu einer immer bedeutenderen Komponente Ihrer IT-Sicherheitsstrategie. Das Log-Management versetzt Sie in die Lage, nicht autorisierte Aktivitäten in Echtzeit zu erkennen und sicherzustellen, dass protokollierte Daten für Audits und rechtliche Untersuchungen zur Verfügung stehen und über ihren gesamten Lebenszyklus hinweg gespeichert werden. Das fehlende Log-Management ist eine der Hauptursachen, Log-Management als Lösung für Herausforderungen Unternehmen stehen vor zahlreichen Herausforderungen, durch die Best Practices im Log-Management als Teil der IT-Sicher heitsstrategie für das gesamte Unternehmen immer mehr Bedeutung erhalten. RSA White Paper 1

4 1. Vielzahl unterschiedlicher Systeme für die Protokollerstellung In den vergangenen Jahren haben Unternehmen als Antwort auf zunehmende Sicherheitsbedrohungen zahlreiche Sicherheitssysteme entwickelt, darunter Systeme zur Erkennung von Eindringlingen, Patch-Management- und Antiviren-Systeme. Im Zuge der wachsenden Automatisierung von Geschäftsprozessen besteht die Unternehmensumgebung aus immer mehr Netzwerkgeräten, Servern, Speicher-Subsystemen und Anwendungen. Die Folge sind immer größere und komplexere, unterschiedliche Systeme, die ebenso vielfältige Protokolle erstellen. Siehe Anhang 1 Quellen und Inhalte von Protokollen. Bei so vielen unterschiedlichen Protokollquellen ist es schwierig, den Überblick zu behalten. Es erweist sich als Herausforderung, das gesamte Sicherheitsprofil zu bestimmen oder ein vollständi - ges Bild über Informationszugriff und Benutzeraktivitäten zu erlangen. So müssen Auditoren möglicherweise stapelweise Ausdrucke aus vielen verschiedenen Systemen lesen, um nachzuweisen, dass nur autorisierte Benutzer auf geschützte Informationen zugreifen. Aufgrund dieser Tätigkeiten werden Audits zu einer kostspieligen Angelegenheit. Ohne geeignete Aufbewahrungsrichtlinien werden Protokolle aus so vielen verschiedenen Quellen wahrscheinlich nicht korrekt gespeichert. Oder aber es werden unwichtige Protokolle aus einigen Quellen gespeichert, während wichtige Aufzeichnungen aus anderen Quellen überhaupt nicht gesichert werden. 2. Datenvolumen von Protokollen Global 2000-Unternehmen generieren monatlich mindestens 10 TB allein an Protokollen. Bei diesen Datenmengen ist es nicht verwunderlich, dass viele Unternehmen die gespeicherten Protokolle nicht analysieren, da diese Aufgabe einfach zu schwierig wäre. Selbst wenn Vorgehensweisen zur Prüfung der Protokolle vorhanden sind, werden sie oftmals nicht zuverlässig genug eingehalten, da die manuelle Bearbeitung so vieler Protokolle sehr mühsam ist. Daher müssen Unternehmen eigene Best Practices für die Analyse und Berichterstellung entwickeln, um diese wichtigen Informationen sinnvoll zu nutzen. Darüber hinaus ist es wichtig, Strategien für die Aufbewahrung bzw. das Abrufen zu bestimmen. So können Auditoren und Untersuchungsbeamte aus riesigen Datenbeständen einfach die benötigten Informationen herausfiltern. 3. Immer neue Bedrohungen Die heutigen Bedrohungen sind nicht einfach nur lästige Angriffe wie z.b. der I LOVE YOU-Virus oder Denial-of-Service-Angriffe. Sie sind sehr zielgerichtet und ausgereift und werden von organisierten Verbrechern auf bestimmte wertvolle Informationen über längere Zeiträume ausgeübt. In einem aktuellen, hochkarätigen Fall waren die Systeme eines großen Händlers über 18 Monate hinweg unbemerkt von Eindringlingen betroffen. Diese Umgebung verlangt nach effizienter Überwachung in Echtzeit, um Eindringlinge besser erkennen zu können, sowie nach detaillierten Protokollinformationen, die im Falle einer Sicherheitsverletzung eine wichtige Rolle spielen. Diese Protokolle müssen über einen Zeitraum von mehreren Monaten oder gar Jahren zurückreichen, um Beweise zusammenzustellen. Im Zuge der neuen Entwicklungen muss die Aufbewahrungsdauer von Protokollen in Unternehmen unbedingt angepasst werden. Protokolldaten müssen vollständig und jederzeit abrufbar sein, um bei der Untersuchung von Sicherheitsverletzungen von Nutzen zu sein. 4. Strengere gesetzliche Vorschriften In den letzten Jahren gab es weltweit eine Flut an Richtlinien und Gesetzen, die den Schutz von Informationen vorschreiben. Unternehmen sind nun rechtlich verpflichtet, Informationen zu schützen, und müssen belegen, dass ihre Sicherheitsmaßnahmen dazu geeignet sind. Die Protokollierung erfüllt im Hinblick auf Compliance zwei Funktionen. Sie ist ein zentrales Standbein jedes Sicherheitsprogramms und daher für den Schutz von Informationen unabdingbar. Wenn Unternehmen ihren rechtlichen Verpflichtungen zum Schutz von Informationen nachkommen möchten, darf die Protokollierung nicht deaktiviert werden bzw. müssen alle Protokolle einer eingehenden Prüfung unterzogen werden. Des Weiteren stellen Protokolle das wichtigste Beweismittel für Compliance und Richtlinienkonformität dar. Ohne Protokolle ist die Beantwortung der Fragen, ob Finanzdaten ohne geeignete Autorisierung geändert oder Patientendaten ohne Genehmigung veröffentlicht wurden bzw. ob der Zugriff auf Karteninhaberdaten nur Personen gewährt wurde, die ihn aus Geschäftsgründen benötigen, schwierig, wenn nicht gar unmöglich. In der neuen, durch Richtlinien geprägten Umgebung gelten für die meisten Unternehmen zahlreiche Vorgaben aus mehreren Bereichen. Darüber hinaus gibt es regelmäßig interne oder unabhängige Audits der Informationssysteme, um die Eignung der Sicherheitsmaßnahmen zu prüfen. Protokolle müssen ausreichend detailliert zusammengestellt werden, um eine Überprüfung zu ermöglichen. Außerdem müssen sie dem Auditor jederzeit zu Prüfungszwecken zur Verfügung gestellt werden können. Ist ein Audit abgeschlossen, muss das Unternehmen bestimmte Protokolle oft über Jahre hinweg aufbewahren für den Fall, dass diese Protokolle von Regulierungsbehörden oder Gerichten als Beweismittel angefordert werden. Anforderungen an die Aufbewahrung von Protokollen sind nun durch die Notwendigkeit geprägt, die richtigen Informationen parat zu halten, um Audit- Zyklen zu entsprechen. Anschließend erfolgt die langfristige Aufbewahrung, mit der die rechtlichen Anforderungen an die Datenarchivierung erfüllt werden. 2 RSA White Paper

5 5. Wachsende Anzahl an Beteiligten Längst benötigen nicht mehr nur Sicherheits- und Netzwerk - abteilungen die Informationen aus Protokolldaten. Auch andere Gruppen im gesamten Unternehmen müssen darauf zugreifen, z.b. die Personal- und Rechtsabteilung, die interne Auditierung, die Finanzabteilung, das Engineering, der Kundenservice sowie Vertrieb und Marketing. Die Personalabteilung benötigt die Daten beispielsweise für die Bearbeitung von Problemen mit Mitarbei - tern, um ggf. erhobene Vorwürfe von Fehlverhalten der Ange - stellten auch belegen zu können. Die Rechtsabteilung, interne Auditierung und Finanzabteilung verwenden diese Informationen für Compliance-Initiativen. Best Practices für das Log-Manage - ment sollten allen Beteiligten im Unternehmen einen sicheren, raschen und zuverlässigen Zugang zu den benötigten Informationen ermöglichen. 6. Unwägbarkeiten künftiger Rechtsvorschriften Weltweit nimmt die Zahl der rechtlichen Vorgaben zu. In den USA wird z.b. eine umfassende Gesetzgebung zum Datenschutz disku - tiert, andere Länder wie Indien und China prüfen die Einführung neuer Gesetze. Es lässt sich keine Aussage treffen, welche Protokolle in Zukunft erforderlich sein werden, um Rechtssicher - heit zu erlangen. Rechtsstreitigkeiten aufgrund von Sicherheitsund Datenschutzverletzungen gibt es bereits. Prognosen zufolge werden solche Verletzungen eine neue Welle an Sammelklagen auslösen. Befindet sich ein Unternehmen aufgrund einer Sicherheitsverletzung im Prozess, muss es möglicherweise Beweismaterial über den Zugriff auf Informationen vorlegen. Ein weiterer Trend, der für Unsicherheit sorgt, ist die zunehmende Anzahl an Geschäftspartnerverträgen mit bestimmten Regelungen zur Informationssicherheit, einschließlich des Rechts auf Auditierung. Es lässt sich nur schwer voraussagen, welche Protokolle ein Geschäftspartner im Rahmen eines Sicherheits- Audits anfordern könnte. Daher müssen Unternehmen Best Practices für das Log-Management entwickeln, die auf diese Unwägbarkeiten (welche Protokolle sind zu welchem Zeitpunkt erforderlich) vorbereitet sind. Der Geschäftswert von Best Practices für das Log- Management Die meisten Unternehmen haben noch keine Best Practices für das Log-Management entwickelt und implementiert. Da diese Funktionalität jedoch immer mehr an Bedeutung gewinnt, rückt sie bei zahlreichen CIOs und CISOs auf der Tagesordnung weiter nach oben. Einer kürzlich vom Branchenanalysten ThelnfoPro durchgeführten Studie zufolge zählt die Verwaltung von Sicherheitsinformationen und -ereignissen für Fortune Unternehmen mittlerweile zu den Top 5-Projekten für Informationssicherheit. Durch die Einrichtung von Best Practices für das Log-Management können IT-Führungskräfte einen deutlichen Mehrwert für ihr Unternehmen in folgenden Bereichen schaffen: Compliance Durch eine ausreichende Zusammenstellung und Aufbewahrung von Protokollen können durch Nichteinhaltung von Vorschriften entstehende Kosten wie z.b. Geldstrafen vermieden werden. Senkung laufender Audit-Kosten durch geringeren Zeitaufwand für die Fertigstellung eines Audits Sofortige Verfügbarkeit der richtigen Protokolldaten und Berichte für Auditoren Schneller Beleg der Einhaltung von Anforderungen Risikomanagement Die kontinuierliche Prüfung und Echtzeit-Überwachung von Protokollen hilft bei der Erkennung und Vermeidung von unberechtigten Zugriffen und senkt das Risiko von Sicherheitsverletzungen Schutz für Marken, Kundenbeziehungen und den Ruf des Unternehmens Vermeidung von Anwalts- und Gerichtskosten Keine Geldstrafen und Prozesskosten Recht Vollständige Protokolle und effiziente Zusammenstellung von Beweisen senken die Anwalts- und Gerichtskosten Vorlegen von Beweisen wie z.b. Protokollen von Benutzeraktivitäten für gerichtliche Streitfälle bei Kündigungsschutzklagen Vorlegen von Beweisen wie z.b. Protokollen zur Offenlegung von Informationen für Prozesse wegen Datenschutzverletzungen Vorlegen von Beweisen wie z.b. Zugriffsprotokollen der Softwareentwicklung für Prozesse wegen Diebstahl geistigen Eigentums Forensik Im Missbrauchsfall sorgt der schnelle Zugriff auf die richtigen Protokolle für Kosteneinsparungen, da die Zusammenstellung von Beweisen rascher und einfacher ist Schnellere und einfachere Erkennung und Behebung der Ursache Blockierung von Angriffen verhindert schlimme Folgen und spart so Kosten Umkomplizierte und schnelle Systemwiederherstellung und Schadensbeseitigung nach Sicherheitsverletzungen Bessere Chancen zur Ergreifung der Täter Speicher Kostensenkung durch Speichern der richtigen Protokolle über einen geeigneten Zeitraum und ständige Abrufmöglichkeit RSA White Paper 3

6 Unterstützung bei der Klassifizierung von Informationen Verwendung des kostengünstigsten Speichers auf Basis der Anforderungen für die jeweiligen Daten Betrieb Effizientere Protokollanalyse senkt Kosten für die Überwachung, z.b. Personalkosten Mitarbeiter können produktivere Aufgaben übernehmen Effizientere Überwachung reduziert Ausfallzeiten und erhöht die Effizienz, indem der Fokus auf die richtigen Bedrohungen gelenkt wird (weniger Fehlalarme) Vorschläge für die Best Practices in Ihrem Unternehmen Best Practices sollten auf den Anforderungen der geltenden Richtlinien und Standards sowie auf Rechtsberatung, geschäftlichen und betrieblichen Zielen und auf einer Risikoanalyse aufbauen. Für bestimmte Compliance-Anforderungen zum Log-Management müssen Unternehmen jedoch über die in den Richtlinien festgeschriebenen Informationen hinausgehen und auch die geltenden Standards zur Informationssicherheit berücksichtigen. Weitere Informationen zu den speziellen Anforderungen einiger Richtlinien und Branchenstandards an das Log-Management finden Sie in Anhang 2 Compliance-Anforderungen für das Log- Management. Da für die meisten Unternehmen zahlreiche Vorgaben aus mehreren Bereichen gelten, deren Anzahl ständig zunimmt, sind Unternehmen gezwungen, einen ganzheitlichen Ansatz zur Entwicklung von Best Practices für das Log-Management zu verfolgen. Im Gegensatz zu einem unsystematischen Ansatz, bei dem die Anforderungen jeder Richtlinie einzeln erfüllt werden, zielt ein ganzheitlicher Ansatz darauf ab, die Bemühungen zu kombinieren und Best Practices zu schaffen, die möglichst die Anforderungen verschiedener Richtlinien und Normen erfüllen und darüber hinaus eine proaktive Planung für die künftige Rechtsgestaltung vorsehen. 1. Anforderungen durch Richtlinien und Standards Es gibt zahlreiche Richtlinien und Branchenstandards, die den Schutz von Informationen vorschreiben, darunter: Sarbanes-Oxley (SOX) Health Insurance Portability and Accountability Act (HIPAA) Gramm-Leach-Bliley-Act (GLBA) Federal Information Security Management Act (FISMA) Internationale Datenschutzbestimmungen 1 US-Gesetze auf Bundesstaatebene zur Benachrichtigung über Sicherheitsverstöße (z.b. SB 1386) 2 21 CFR Part 11 (Part 11) 3 der US-amerikanischen Food and Drug Administration Payment Card Industry Data Security Standard (PCI DSS) Standards für digitale Sicherheit des North American Electric Reliability Council (NERC) Die meisten Gesetze und Regulierungsvorgaben beinhalten keine spezifischen Anforderungen, sondern verlangen von Unternehmen die Implementierung von vernünftigen und geeigneten Maßnahmen zum Schutz von Informationen nach Maßgabe der Anforderungen von Standards zur Informationssicherheit wie z.b.: Control Objectives for Information Technology (COBIT) Sonderausgaben des National Institute of Science and Technology, 800-er Serie (NISTSP 800) IT-Handbuch zur Informationssicherheit des Federal Financial Institutions Examination Council (FFIEC) Internationale Organisation für Normung: Code of Practice for Information Security Management (ISO 17799/27001) 2. Beratung durch Rechtsbeistände Bei der Entwicklung von Best Practices für das Log-Management sollte ein Rechtsbeistand hinzugezogen werden, der insbesondere bei der Entwicklung von Richtlinien beratend zur Seite steht. Er gibt nicht nur Rat zu den geltenden Anforderungen, sondern auch zu anderen rechtlichen Themen oder vertraglichen Verpflichtungen wie Vereinbarungen mit Geschäftspartnern, die das Recht auf Audits beinhalten können und daher schnellen Zugriff auf Audit-Protokolle erfordern. Protokolle werden möglicherweise auch als Beweismittel für künftige Prozesse oder Untersuchungen benötigt. Des Weiteren kann ein Rechtsbeistand dabei helfen, dass die Richtlinien zur Aufbewahrung von Protokollen innerhalb der allgemeinen Datenaufbewahrungs - vorschriften des Unternehmens konsistent sind. 3. Geschäftliche und betriebliche Ziele Best Practices für das Log-Management sollten die Ziele des Unternehmens widerspiegeln, u.a. auch den Umgang mit bestimmten Parametern wie verfügbare Zeit, Ressourcen und Budget. Die betrieblichen Ziele könnten auch eine Effizienz - steigerung der Protokollprüfung, die Sicherstellung der ausreichenden Überwachung bestimmter Systeme zur frühen Problemerkennung und Senkung der Ausfallzeiten oder die Aufbewahrung bestimmter Protokolle über einen bestimmten Zeitraum zur möglichen forensischen Verwendung beinhalten. 4. Risikobewertung Die Risikobewertung stellt eine bedeutende Komponente bei der Entwicklung von Kompetenzen im Log-Management dar. Wie 1 Beispielsweise die EU-Datenschutzrichtlinie (EU DPD), der Japan Personal Information Protection Act (PIPA) und der Canada Personal Information Protection and Electronic Documents Act (PIPEDA) 2 Etwa 40 Bundesstaaten haben nun Gesetze, die Unternehmen vorschreiben, eine Person zu benachrichtigen, wenn es Grund zur Annahme gibt, dass die Sicherheit der persönlichen Daten dieser Person beeinträchtigt wurde. Diese Gesetze hatten immense Auswirkungen auf Unternehmen in aller Welt. Sie verfügen über keine direkten Anforderungen für das Log-Management, obwohl Protokolle eine wichtige Möglichkeit darstellen, eine Sicherheitsverletzung zu erkennen oder aber Beweise zu erbringen, dass es keinen Grund gibt, eine solche Verletzung zu vermuten. 3 In der EU ist die entsprechende Richtlinie Good Manufacturing Practices (GMP) Annex 11 (Annex 11) 4 RSA White Paper

7 zuvor erwähnt, beinhalten weder Gesetze noch Normen spezifische Anforderungen. Stattdessen müssen viele Entschei - dun gen vom Unternehmen selbst getroffen werden. Bei diesen Entscheidungen spielt die Bewertung der Risikofaktoren des Unternehmens eine Schlüsselrolle. Durch die Risiko bewertung lassen sich verschiedene Anforderungen bestimmen, z.b. wie oft Protokolle geprüft und wie lange bestimmte Protokolle aufbe - wahrt werden. Zugriffsprotokolle für regulierte oder andere vertrauliche bzw. geschützte Informationen erfordern z.b. eine genauere Prüfung und längere Aufbewahrung als andere Protokolle. der Ergebnisse von Audits, Änderungen von Compliance- Anforderungen und Feedback von Administratoren. Richtlinien sollten mindestens einmal jährlich geprüft und aktualisiert werden. I.3. Definition von Rollen und Verantwortlichkeiten und geeigneter Support für Mitarbeiter Aufgaben im Log-Management sollten im gesamten Unternehmen verteilt werden. Zur Ausführung dieser Aufgaben sollten geeignete Schulungen, Tools und Dokumentation bereitgestellt werden. Empfohlene Best Practices Umfassende Best Practices für das Log-Management beinhalten die folgenden Kategorien: Richtlinien, Verfahren und Technologien für Protokolle Erstellung und Erfassung von Protokollen Aufbewahrung und Speicherung von Protokollen Protokollanalyse Schutz und Sicherheit von Protokollen Best Practices sollten zwar von jedem Unternehmen auf Basis der jeweiligen Umgebung individuell entwickelt werden, aber es gibt auch einige allgemeine Vorgehensweisen, die sich universell anwenden lassen. RSA hat eine Liste mit 40 empfohlenen Best Practices für alle Kategorien entwickelt. Diese Best Practices sind im Folgenden aufgeführt. I. Richtlinien, Verfahren und Technologien für Protokolle Richtlinien regeln die Verwaltung der Log-Management- Aktivitäten und sollten vorgeschriebene Anforderungen für die Erstellung, Analyse, Aufbewahrung, Speicherung und Sicherheit von Protokollen klar definieren. Sie sollten in Verbindung mit einem Plan für die Verfahren und Technologien erstellt werden, die für die Implementierung und Durchsetzung der Richtlinien benötigt werden. Empfohlene Best Practices I.1. Unterstützung der Führungsebene in Bezug auf Richtlinien Die nötige Priorisierung innerhalb des Unternehmens und die für das Log-Management nötigen Ressourcen sollten hier berücksichtigt werden. I.2. Vollständige Dokumentation der Richtlinien und Durchführung regelmäßiger Prüfungen und Aktualisierungen von Richtlinien je nach Bedarf Beispiel: Aktualisierung der Richtlinien und Verfahren auf Basis I.4. Anpassung von Richtlinien für das Log-Management und zugehörigen Richtlinien und Verfahren Beispiel: Richtlinien zur Protokollaufbewahrung sollten mit allgemeinen Richtlinien zur Datenaufbewahrung in Einklang gebracht werden. Anforderungen im Log-Management sollten z.b. bei Softwareanschaffung und Anwendungsentwicklung berücksichtigt werden. I.5. Umsetzung der Separation of Duties Beispiel: Die Prüfung der systembezogenen Protokolle erfolgt nicht durch den Systemadministrator, sondern durch eine andere Person, um die Nachvollziehbarkeit der Tätigkeiten des Systemadministrators zu gewährleisten. I.6. Umsetzung von Standard-Arbeitsverfahren für das Log- Management zur Unterstützung und Einhaltung der Richtlinien Einige gängige Verfahren beinhalten beispielsweise die Konfiguration von Protokollquellen, die Durchführung von Protokollanalysen, die Initiierung von Reaktionen auf erkannte Vorfälle und die Verwaltung des Langzeitspeichers. I.7. Planung und Implementierung einer speziellen Infrastruktur für das Log-Management zur Unterstützung und Einhaltung der Richtlinien Diese Infrastruktur sollte eine spezielle Plattform für das Log- Management und einen Speicher für Protokolldaten beinhalten. Durch die Implementierung einer speziellen Log-Management- Umgebung können alle Beteiligten leichter auf sämtliche Daten zugreifen, gründliche Analysen durchführen, starke Sicherheit garantieren und protokollierte Daten zuverlässig und konsistent über die entsprechenden Zeiträume hinweg speichern. Ohne eine zentrale Infrastruktur für das Log-Management würden die Beteiligten wahrscheinlich auf einzelne Punktlösungen zurückgreifen, die zu Ineffizienz, Redundanz und einem erhöhten Verwaltungsaufwand mit unnötiger Komplexität führen. Unternehmen müssen aktuelle, aber auch künftige Anforderungen in ihrer Planung berücksichtigen, darunter das Datenvolumen von Protokollen, Speicherkapazität, Sicherheitsanforderungen sowie Zeit und Ressourcen, die Mitarbeiter für die Analyse der Protokolle und die Verwaltung der Infrastruktur benötigen. RSA White Paper 5

8 I.8. Kein Alleingang: Hinzuziehen eines Branchenexperten bzw. Beraters Die Entwicklung umfassender Best Practices für das Log- Management bringt große Vorteile, aber auch komplexe Aufgaben mit sich. Dazu zählen die Implementierung von Richtlinien, Verfahren und Technologien, wie diese Kategorie von Best Practices zeigt. Viele Unternehmen verfügen intern nicht über das nötige Know-how oder qualifizierte Fachkräfte und sollten einen Branchenexperten bzw. Berater als Unterstützung hinzuziehen. II. Erstellung und Erfassung von Protokollen Die Zusammenstellung einer ausreichenden Datenmenge zur Erfüllung der Anforderungen von Richtlinien sowie für mögliche Untersuchungen von Vorfällen und rechtlichen Problemen ist mit sehr viel Aufwand verbunden. Datenschutzbestimmungen schreiben z.b. vor, dass Unternehmen sämtliche Zugriffe auf persönliche Daten aufzeichnen müssen. Der PCI-Standard fordert von Unternehmen die Nachverfolgung und Überwachung aller Zugriffe auf Netzwerkressourcen und Daten von Karteninhabern. Zur Einhaltung der von der Unternehmensführung vorgegebenen Richtlinien müssen Unternehmen ausreichend Vorgangsdaten aufzeichnen und speichern, um die Prüfung, Auswertung und Rekonstruktion der Datenverarbeitung zu ermöglichen, die als Grundlage für Finanzberichte dient. Für die Untersuchung von Vorfällen benötigen Unternehmen vollständige Aufzeichnungen der Aktivitäten im Netzwerk sowie in Systemen und Anwendungen. Vor Gericht oder bei Problemen mit Mitarbeitern müssen Unternehmen die richtigen Beweise über die Verwendung von Informationen oder den Systemzugriff zur Hand haben, um ihre Aussagen zu untermauern. Daten müssen aus zahlreichen Quellen zusammengestellt werden, darunter Sicherheitssysteme, Betriebs- und Speichersysteme sowie Anwendungen. Eine Liste mit gängigen Quellen und Protokollinhalten finden Sie in Anhang 1 Quellen und Inhalte von Protokollen. Empfohlene Best Practices II.1. Sicherstellung, dass die Protokollierung für Sicherheits sys - teme, Netzwerkinfrastrukturgeräte, Speicherinfrastruktur, Betriebssysteme sowie kommerzielle und speziell entwickelte Anwendungen aktiviert ist In Anbetracht der Vielzahl an Systemen, Geräten und Anwendun - gen ist es wichtig, dass die Audit-Protokollierung tatsächlich für alle diese Quellen im gesamten Unternehmen aktiviert ist. Administratoren haben möglicherweise Vorbehalte, das Auditing zu aktivieren, da sie eine Beeinträchtigung der Leistungsfähigkeit fürchten. Bei den meisten Systemen ist der Einfluss jedoch nur minimal, wenn die Konfiguration richtig auf eine leistungsfähige Plattform für das Log-Management abgestimmt wurde. Das Aktivieren und Deaktivieren von Audit-Kontrollsystemen sollte selbst auch protokolliert und ein Alarm an Administratoren gesendet werden. II.2. Keine Filterung der Protokolle an der Quelle Es ist sehr schwer, wenn nicht sogar unmöglich, vorauszusagen, was in einer heutigen Umgebung nützlich sein kann und was nicht. Falsche Entscheidungen können Audits oder Untersuchungen negativ beeinflussen. Daher ist es sinnvoller, alle Daten zu sammeln und erst dann zu prüfen, welche Daten nicht gebraucht werden, statt erst gar keine Daten zusammenzustellen. Ein gut konzipiertes System für das Log-Management lässt sich skalieren, um auch große Mengen an Protokolldaten erfassen, analysieren und verwalten zu können. So können alle Daten erfasst und intelligent ausgewertet werden, um dann nicht benötigte Daten zu löschen. II.3. Die erfassten Daten sollten alle wichtigen Vorgangs- und Aktivitätsprotokolle enthalten, die laut Richtlinien erforderlich sind, z.b. alle: individuellen Benutzerzugriffe verweigerten Zugriffsversuche auf Systeme, Anwendungen, Dateien oder Daten sowie andere fehlgeschlagene Vorgänge autorisierten, administrativen oder Root-Zugriffe Verwendungen von Identifizierungs- und Authentifizierungsmethoden Remote- und Wireless-Zugriffe Änderungen der System- oder Anwendungskonfiguration Änderungen der Zugriffsrechte Verwendungen von System-Dienstprogrammen Aktivierungen und Deaktivierungen des Sicherheitssystems Zugriffe auf Audit-Protokolle II.4. Für Ereignisse und Aktivitäten erfasste Details sollten den Anforderungen der Standards entsprechen, z.b.: Art der Aktivität oder des Ereignisses (z.b. Anmeldeversuch, Dateizugriff usw.) Benutzeridentifizierung Sitzungs-ID bzw. Terminal-ID Netzwerkadressen Datum und Uhrzeit Erfolgreiche und fehlerhafte Vorgänge Identität oder Name der betroffenen Daten, Systemkomponente oder Ressource II.5. Einzelne Benutzer sollten sich nachverfolgen lassen, indem für alle Vorgänge eindeutige Informationen zur Benutzeridentifizierung erfasst werden Besonders bei Systemen mit geschützten oder Richtlinien unterliegenden Informationen muss es möglich sein, den Informationszugriff einzelner Benutzer nachzuweisen. 6 RSA White Paper

9 II.6. Testen der Protokollierungsfunktionen Es muss sichergestellt werden, dass wirklich alle Daten erfasst werden und die Daten in den Protokollen vollständig und präzise sind. II.7. Synchronisieren von Zeitstempeln Protokollquellen referenzieren üblicherweise eine interne Uhr, wenn ein Protokolleintrag mit einem Zeitstempel versehen wird. Daher sollten alle internen Uhren der Protokollquellen mit einem vertrauenswürdigen, genauen Zeitserver synchronisiert werden. Ein hochwertiges Log-Management-System versieht die Protokolle auch beim Empfang mit einem Zeitstempel und sollte ebenfalls mit einem Zeitserver synchronisiert werden. II.8. Besonderer Schutz für vertrauliche Daten Bei der Protokollierung können (absichtlich oder versehentlich) vertrauliche Informationen erfasst werden, für die besondere Datenschutz- oder Sicherheitsbestimmungen gelten, z.b. Passwörter oder die Inhalte von s. Vertrauliche Daten in Protokollen könnten von Protokollprüfern oder von Personen, die sich unberechtigt Zugriff verschaffen, eingesehen werden. Hochwertige Log-Management-Systeme bieten eine flexible und umfassende Sicherheit bei der Übertragung und Speicherung der Protokolldaten und ermöglichen einen detaillierten, rollenbasierten Zugriff, um den korrekten und autorisierten Zugriff auf vertrauliche Daten sicherzustellen. Berücksichtigt werden sollte auch, wie die Daten gespeichert werden. Es gibt verschiedene Speicherarten, die unterschied - liche Zugangsebenen bieten, z.b.: Speicherarten 1. Online-Speicher Die Daten werden auf hochleistungsfähigem Network Attached Storage (NAS) oder in Storage Area Networks (SAN) gespeichert. Die Zugriffszeiten betragen einige wenige Millisekunden und bieten zahlreichen Benutzern eine ständige Verfügbarkeit. 2. Nearline-Speicher Die Daten werden in einem Speichersubsystem mit Zugriffszeiten von wenigen Sekunden gespeichert. Sie bieten einigen wenigen, zuvor festgelegten Benutzern über lange Zeiträume hinweg eine unregelmäßige Verfügbarkeit. 3. Offline-Speicher Die Daten werden auf Festplatten und Bändern gespeichert, die in einer Datenbibliothek verwaltet werden und erst nach dem Herstellen einer Laufwerksverbindung über einen Computer eingesehen werden können. Unternehmen sollten bei der Festlegung von Zeiträumen für die Datenaufbewahrung und von Speicherarten folgende Punkte berücksichtigen: II.9. Berücksichtigung von Datenschutzbestimmungen bei der Einrichtung der Protokollierung von Benutzeraktivitäten Bei der Überwachung von Mitarbeitern und anderen Benutzern sollte ein Rechtsbeistand hinzugezogen werden. Die Vorschriften unterscheiden sich je nach Rechtsprechung erheblich. III. Aufbewahrung und Speicherung von Protokollen 1. Warum werden die Protokolle benötigt? 2. Wann muss auf Protokolle zugegriffen werden? 3. Wie weit müssen die Daten zurückreichen? 4. Wie verfügbar müssen sie sein? Die drei folgenden Tabellen beleuchten diese Themen für jede der drei Arten: Produktiv-, Sicherungs- und Archivdaten. Bei der Bestimmung der Anforderungen an die Aufbewahrung und Speicherung von Protokollen sollten die verschiedenen Protokolldatenarten berücksichtigt werden. Protokolldatenarten 1. Produktivdaten Diese Daten werden aktiv für Analysen in Echtzeit, laufende Prüfungen und regelmäßige Audits und Bewertungen verwendet. 2. Sicherungsdaten Diese Daten sind gespiegelte Images der Produktivdaten, die benötigt werden, wenn die eigentlichen Produktivdaten manipuliert oder beschädigt wurden. 3. Archivdaten Diese Daten sind eine Teilmenge der Produktivdaten, die längerfristig im Rahmen der Datenarchivierung auf Basis von gesetzlichen Anforderungen sowie für mögliche rechtliche Ermittlungen und forensische Untersuchungen gespeichert werden. RSA White Paper 7

10 Tabelle 1: Produktivdaten Warum sind Proto - kolle notwendig? Wann muss auf Protokolle zugegriffen werden? Wie weit müssen die Daten zurückreichen? Wie verfügbar müssen sie sein? Protokollprüfungen und -analysen Sehr oft (z.b. Echtzeit, täglich, wöchentlich, monatlich usw.) Bis zur letzten Prüfung Schneller Zugriff zur Vereinfachung rascher Analysen erforderlich Forensische Untersuchungen Sicherheitsverstöße und -lücken usw. können jederzeit vorkommen, daher können auch Untersuchungen jeder - zeit erforderlich sein Protokolle erfordern wahrscheinlich regelmäßigen Zugriff (möglicherweise auch häufig) Angriffe können über einen langen Zeitraum verübt werden (wie z.b. in einem aktuellen, hochkarätigen Fall über einen Zeitraum von 18 Monaten) Möglicherweise ist die Einsicht bestimm - ter Protokolle nötig, die ein Jahr alt oder älter sind Schneller Zugriff zur schnellen Bestim - mung der Ursache des Verstoßes erforderlich Interne Audits Häufigkeit des Zugriffs hängt von der Länge der Audit- Zyklen ab Unterscheidet sich je nach Branche Typische interne Audit-Zyklen für große Unternehmen können 3 Monate (z.b. Finanzdienstleistungen) bis 6 Monate (z.b. Einzelhandel) betragen Bis zu einem Audit-Zyklus und mindestens ein Quartal, um sicherzustellen, dass alle aufgezeichneten Protokolle für den Audit- Zyklus zur Verfügung stehen Üblicherweise 6-9 Monate Schneller Zugriff erforderlich, um die Produktivität interner Auditores sicherzustellen Einige Bereiche mit hohem Risiko werden u.u. öfter als die üblichen Audit-Zyklen geprüft Externe Audits/ unabhängige Bewertungen Abhängig von der Länge des Audit-Zyklus Für viele Richtlinien betragen externe Audit-Zyklen ein Jahr, z.b.: SOX: jährliche Bewertung GLBA: Vorstandsprüfung von Sicherheitsmaßnahmen einmal pro Jahr FISMA: jährliche Prüfung PCI: jährliche Eigenbewertung oder Vor-Ort-Audit NERC: besondere Compliance-Prüfung innerhalb eines Jahres EU-Datenschutzrichtlinie Safe Harbor : jährliches Audit Bei einigen globalen Datenschutzbestimmungen können Audit-Zyklen u.u. länger sein, z.b. erfordert die ISO 17799/27001 alle drei Jahre eine erneute Zertifizierung Part 11/Annex 11: abhängig von besonderen Regeln in Bezug auf Prüfungen FTC: unabhängige Audits einmal alle zwei Jahre Bis zu einem Audit-Zyklus und mindestens ein Quartal, um sicherzustellen, dass alle aufgezeichneten Protokolle für den Audit- Zyklus zur Verfügung stehen Für die meisten Richtlinien heißt das ein Jahr + 3 Monate = 15 Monate Die meisten Richtlinien beinhalten keine besonderen Aufbewahrungszeiträume von Protokollen für Audit-Zyklen mit Ausnahme von: PCI: Ein Audit-Trail muss mindestens ein Jahr aufbewahrt werden und mindestens drei Monate online verfügbar sein NERC: Unternehmen müssen nachweisen können, dass es über den Zeitraum eines Jahres keine Lücken in der Überwachung und Protokollierung gab (steht im Gegensatz zu einer anderen Anforderung an die Datenarchivierung, die besagt, dass Protokolle mindestens 90 Tage aufbewahrt werden müssen) Schneller Zugriff erforderlich, um die Produktivität von Auditoren oder Gutachtern sicherzustellen und die Audit-Kosten zu minimieren Tabelle 2: Sicherungsdaten Warum sind Proto - kolle notwendig? Wann muss auf Protokolle zugegriffen werden? Wie weit müssen die Daten zurückreichen? Wie verfügbar müssen sie sein? Wenn Produktivdaten manipuliert oder beschädigt wurden usw. Daten können jederzeit manipuliert oder beschädigt werden Wahrscheinlich kein häufiger Zugriff erforderlich Spiegelung der Produktivdaten ratsam Kein unmittelbarer Zugriff erforderlich, aber Protokolle sollten in vernünftiger Weise verfügbar sein 8 RSA White Paper

11 Tabelle 3: Archivdaten Warum sind Proto - kolle notwendig? Wann muss auf Proto kolle zugegriffen werden? Wie weit müssen die Daten zurückreichen? Wie verfügbar müssen sie sein? Protokollierung auf Basis von gesetzlichen Anforderungen sowie für mögliche rechtliche Ermittlungen und forensische Untersuchungen Möglicherweise Erstellung von Datensätzen zu jedem Zeitpunkt, um rechtlichen Anfragen, Ermittlungen oder Untersuchungen zu entsprechen Wahrscheinlich kein häufiger Zugriff erfor - derlich Wie oben erwähnt, fordert PCI die Aufbewahrung von Protokollen über mindestens einem Jahr; in Anbetracht der Häufigkeit von Datenschutzverletzungen bei Karteninhabern sollten Unternehmen jedoch längere Aufbewahrungsfristen in Betracht ziehen, um die Daten für forensische Untersuchungen verfügbar zu halten. Bei den meisten Richtlinien ist kein vorgeschriebener Zeitraum für die lang - fristige Aufbewahrung von Protokollen vorgesehen. Vielmehr gibt es oft einen allgemeinen Aufbewahrungszeitraum, der als Anhaltspunkt für die Anforde run - gen an die langfristige Aufbewahrung von Protokollen verwendet werden kann. SOX schreibt vor, Dokumente und Kommunikationsdaten in Bezug auf ein Audit für sieben Jahre aufzubewahren; Unternehmen bewahren jedoch bestimmte Protokolle meist langfristig auf, z.b. solche, die in direktem Zusammenhang mit dem Nachweis der Integrität von Finanzberichten stehen (z.b. Zugriffsprotokolle für wichtige Finanzanwendungen). HIPAA verlangt die Aufbewahrung von Dokumenten zu Richtlinien, Verfahren, Vorgängen, Aktivitäten oder Bewertungen über sechs Jahre; Unternehmen bewahren jedoch bestimmte Protokolle meist langfristig auf, z.b. Informationen über den Zugriff auf Patientendaten (z.b. Zugriffsprotokolle für Patientenakten). Bei FISMA ist NIST der geltende Standard, der die Aufbewahrung von bestimmten Protokollen für drei Jahre vorsieht. Gemäß NERC müssen Audit-Datensätze drei Jahre lang aufbewahrt werden. Internationalen Datenschutzbestimmungen zufolge müssen Unternehmen bei Datenschutzverletzungen u.u. Beweise für den Zugriff auf persönliche Informationen erbringen, der mehrere Jahre zurückliegen kann. Bei anderen rechtlichen Anfragen und Ermittlungen sollte die Aufbewah - rung von Protokollen mit den entsprechenden Richtlinien für Daten bzw. Datenaufbewahrung abgestimmt sein, die mehrere Jahre vorsehen können. Unternehmen sollten bestimmte Protokolle längerfristig aufbewahren, damit sie im Fall einer Sicherheitsverletzung für mögliche Untersuchungen zur Verfügung stehen. Der Zugriff muss nicht so schnell wie bei Produktiv - daten erfolgen und hängt auch vom Alter der Datensätze ab; der Zugriff sollte für aktuelle Protokolle besser sein als für ältere Daten Aufbewahrung und Speicherung von Protokollen (Fortsetzung) Empfohlene Best Practices III.1. Aufbewahrung von Protokollen in einer sicheren, gut verwalteten Speicherinfrastruktur Ein verschlanktes, zentral verwaltetes Speichersystem ist weniger komplex in der Verwaltung als eine unsystematische Zusammenstellung von Speichersubsystemen. Isolierte und ineffiziente Protokolldateninseln sind damit kein Thema mehr. Darüber hinaus vereinfacht die zentrale Verwaltung und Speicherung von Protokollen auch den Zugriff auf protokollierte Daten im gesamten Unternehmen. Im Gegensatz zu einem eige - nen Protokollsystem für jeden Beteiligten bietet ein gut struktu - riertes Log-Management-System sicheren, detaillierten, rollen - basierten Zugriff auf alle gespeicherten Protokolle. So können alle Beteiligten auf alle notwendigen Daten zugreifen, während das Unternehmen die Speicherung von Protokollen optimiert. III.2. Verwendung eines Ansatzes für das Lifecycle Management von Informationen, bei dem protokollierte Daten abhängig von den Zugriffsanforderungen gespeichert werden Daten, auf die häufig oder spontan zugegriffen werden muss, z.b. Produktivdaten, sollten online verfügbar sein. Dem gegenüber sollten alle anderen Daten wie Sicherungs- und Archivdaten in einem Nearline- oder Offline-Speicher abgelegt werden. III.3. Online-Aufbewahrung von Produktivdaten für ein Jahr und drei Monate = 15 Monate (min.) Der Online-Zugriff auf Produktivdaten ermöglicht deren häufige Verwendung für die Echtzeit-Überwachung sowie laufende Prüfungen und Analysen. Im Falle einer Sicherheitsverletzung kann schnell auf die Protokolle zugegriffen werden, damit Untersuchungsbeamte rasch die Ursachen des Vorfalls oder die Quelle der Sicherheitslücke finden können. Außerdem werden Schäden am System und Sicherheitsprobleme behoben (durch schnellere Untersuchungen werden auch die Täter schneller gefunden). Die Aufbewahrung von Protokollen über diesen Mindestzeitraum ist wichtig, um sicherzustellen, dass die richtigen Beweise zur Verfügung stehen. Des Weiteren stellt eine 15-monatige Online-Aufbewahrungs - periode sicher, dass alle Protokolldatensätze für interne und externe Audits oder unabhängige Bewertungen verfügbar und spontan zugänglich sind. Wie in der obigen Tabelle gezeigt, schreiben die meisten Richtlinien einen Audit-Zyklus von einem Jahr vor. Für Unternehmen ist eine Aufbewahrungsdauer von einem Jahr plus einer weiteren, minimalen Aufbewahrungszeit von RSA White Paper 9

12 einem Quartal ratsam, um den einjährigen Audit-Zyklen zu entsprechen. Dieses zusätzliche Quartal bietet einen notwendigen Puffer, da die Audit-Zyklen von Jahr zu Jahr und abhängig von den jeweils angewendeten Vorgaben variieren. Da für den Großteil der Unternehmen verschiedene Richtlinien gelten, müssen die Protokolldaten zumeist für mehrere Audits oder Bewertungen pro Jahr bereitstehen. Durch die Online- Speicherung der Daten können Unternehmen die Audit-Prozesse proaktiv verwalten, die Produktivität der Auditoren erhöhen und den Zeit- und Kostenaufwand für Audits reduzieren. III.4. Aufbewahrung von Sicherungsdaten im Nearline-Speicher über denselben Zeitraum wie Produktivdaten So wird sichergestellt, dass die Sicherungsdaten auch dann zur Verfügung stehen, wenn Produktivdaten manipuliert oder beschädigt wurden o.ä. Die Verfügbarkeit muss nicht dieselbe wie für Produktivdaten sein. III.5. Aufbewahrung von Archivdaten für etwa 2-7 Jahre (min.) oder länger im Nearline-Speicher für aktuelle Daten (z.b. bis zu fünf Jahre), anschließende Verschiebung einiger Daten in den Offline-Speicher (z.b. 5 Jahre oder länger) Wie in Tabelle 3 auf der vorherigen Seite beschrieben, beinhalten die meisten Richtlinien keinen vorgeschriebenen Zeitraum für die Aufbewahrung von Audit-Protokollen. Nach einem Audit-Zyklus bewahren Unternehmen bestimmte Protokolle üblicherweise für mehrere Jahre auf. Das gilt besonders für die Daten, die in direktem Zusammenhang mit dem Zugriff auf Anwendungen mit geschützten Informationen stehen. Unternehmen müssen sich nicht nur an die Anforderungen von Richtlinien halten, sondern auch an andere Anforderungen für die langfristige Aufbewahrung von Protokolldaten, z.b. rechtliche Ermittlungen und forensische Untersuchungen. Da Archivdaten nicht oft verwendet werden, müssen sie nicht online verfügbar sein. Dennoch sollten Unternehmen die Daten verfügbar halten, damit die Reaktion auf rechtliche Nachfragen, die Erstellung von Datensätzen für rechtliche Ermittlungen oder die Durchführung von Ermittlungen nicht unnötig viel Zeit in Anspruch nimmt. Speicher mit adressierbarem Inhalt sollte auch für die längerfristige Aufbewahrung in Betracht gezogen werden, um die Integrität der Informationen auch über einen langen Zeitraum hinweg zu schützen. III.6. Richtlinien für die Protokollaufbewahrung sollten in Absprache mit einem Rechtsbeistand entwickelt werden Das Hinzuziehen eines Rechtsbeistands bei der Entwicklung von Anforderungen an die Protokollaufbewahrung ist unabdingbar, und diese Anforderungen müssen mit den allgemeinen Unternehmensrichtlinien für die Datenauf bewahrung abgestimmt werden. III.7. Berücksichtigung der Aufbewahrung der Original-Protokolle Wenn Protokolle als elektronische Beweisstücke zur Einhaltung von Vorschriften, in Gerichtsverfahren oder sogar zur Unter stüt - zung interner, personalbezogener Vorgänge benötigt werden, sollte ein hochwertiges Log-Management-System die Verwaltung und Archivierung der ursprünglichen Protokolldateien vereinfachen. III.8. Nicht mehr benötigte Protokolle sollten entsorgt werden Nach Ablauf der erforderlichen Aufbewahrungsdauer sollten Protokolle im Einklang mit den Unternehmensrichtlinien zur Datenvernichtung unbrauchbar gemacht werden. IV. Protokollanalyse In Anbetracht des Datenvolumens stellt die Überwachung und Prüfung von Protokollen eine Herausforderung dar. Einige Unternehmen sammeln zwar Protokolle, prüfen sie aber nicht, da diese Aufgabe zu kompliziert ist. In anderen Unternehmen wiederum verbringen Administratoren sehr viel Zeit mit der Prüfung von Unmengen an Protokollen. Ohne eine gute Analyse ist der Wert von Protokollen jedoch verschwindend gering. Die moderne, durch Richtlinien geprägte Umgebung und die rasante Zunahme der Sicherheitsbedrohungen erfordern, dass Unternehmen ihre Protokolle sorgfältig überwachen, um unberechtigte Zugriffe zu erkennen und die Rechenschaftspflicht von Benutzern durchzusetzen. Best Practices für die Protokollanalyse müssen auf die Notwendigkeit eingehen, Analysen zu vereinfachen und somit dem Unternehmen die Extrahierung der zahlreichen Informationen aus Protokollen zu ermöglichen. Empfohlene Best Practices IV.1. Regelmäßige Prüfung und Analyse von Protokollen Durch regelmäßige Prüfungen und Analysen können z.b. ungewöhnliche Ereignisse im Netzwerk oder im Benutzerverhalten erkannt werden, die außerhalb der zulässigen Vorgaben liegen. Je nach Systemen, Risikoumgebung und anderen Anforderungen sollten Protokolle in Echtzeit geprüft werden täglich, monatlich oder alle 90 Tage. Einige Vorschriften und Standards beinhalten besondere Anforderungen zur Prüfung von Protokollen (weitere Informationen hierzu finden Sie in Anhang 2 Compliance- Anforderungen für das Log-Management ). IV.2. Protokollsammlungen mit zentral verwalteter Infrastruktur für das Log-Management Durch das Sammeln von Protokollen wird die Analyse einfacher und zuverlässiger. IV.3. Automatisierung eines Großteils des Protokollanalyseprozesses Durch die Automatisierung kann die Analyse deutlich verbessert werden, da sie viel weniger Zeit in Anspruch nimmt und wertvollere Ergebnisse liefert. Die manuelle Analyse von 10 RSA White Paper

13 Protokolldaten wird von Administratoren oft als uninteressant und ineffizient wahrgenommen. Sie wird häufig als Aufgabe mit niedriger Priorität eingestuft und deshalb gar nicht oder aber mangelhaft und inkonsistent durchgeführt. Sie sollte auch die Verwendung automatisierter, interaktiver Systeme beinhalten, die aufzeichnen, welche Protokolle bereits geprüft wurden. Ein Prüfungsprozess mit höherem Automatisierungsgrad entbindet Mitarbeiter von der manuellen Prüfung, und sie können nun wertigere Aufgaben übernehmen. IV.4. Nutzung von Zuordnungs-Tools, um eine ganzheitliche Sicht zu erlangen und die Anzahl der Fehlalarme zu reduzieren Der Großteil der Unternehmen setzt viele verschiedene Systeme für die Protokollerstellung ein, darunter auch Sicherheitssysteme, Betriebs- und Speichersysteme und Anwendungen. Die separate Prüfung von Protokollen aus vielen Systemen ist schwierig, ineffizient und kann u.u. lückenhaft sein. Angriffe betreffen oft verschiedene Informationen. Werden nur bestimmte, isolierte Daten betrachtet, erscheint eine einzige Aktivität möglicherweise nicht bedrohlich. Zuordnungs-Tools suchen über mehrere Systeme hinweg nach Ereignismustern. Sie sind bei der Reduzierung von Fehlalarmen besonders hilfreich. IV.5. Verwendung automatischer Berichtsfunktionen zur Vereinfachung der Protokollprüfung durch die Erstellung von Berichten Ein Berichtsprozess sollte den Inhalt von Berichten, die Häufigkeit ihrer Erstellung und den Erstellungszweck definieren. IV.6. Prüfungsverfahren sollten die Echtzeitüberwachung entsprechender Log-Events beinhalten Üblicherweise werden die meisten Protokolle nicht in Echtzeit analysiert, obwohl dies unabdingbar für die Erkennung von unberechtigten Zugriffsversuchen und Aktivitäten sowie die Verhinderung oder zumindest Reduzierung dieser Vorfälle ist. IV.7. Erstellung eines Alarmsystems auf Basis von Prioritäten Mitarbeiter sollten wissen, was zu tun ist, wenn eine verdächtige, nicht normale Aktivität erkannt wird. Dabei ist zu beachten, dass nicht für alle Ereignisse ein Alarm ausgelöst werden soll, da dies den Zweck der Sache außer Kraft setzt und die Aufmerksamkeit der Mitarbeiter schließlich schwindet. Priorisieren Sie, für welche Ereignisse ein Alarm notwendig ist. IV.8. Entwicklung einer Basiszusammenstellung typischer Protokolleinträge, um ungewöhnliche oder unnormale Ereignisse oder Aktivitäten erkennen zu können Durch die Festlegung, welche Protokolleinträge von Interesse sind und welche nicht, lassen sich ungewöhnliche bzw. unnormale Ereignisse leichter erkennen, und man kann schneller auf sie reagieren. V. Schutz und Sicherheit von Protokollen Best Practices müssen die Vertraulichkeit, Integrität und Verfügbarkeit von Protokollen über deren gesamten Lebenszyklus hinweg sicherstellen. Das Unternehmen muss verhindern, das Protokollierungsmethoden deaktiviert oder missbraucht werden. Zudem muss es sicherstellen, dass Protokolldateien nicht bearbeitet oder gelöscht werden können und darüber hinaus bei einem Vorfall die Business Continuity der Protokollierungsdienste gewährleisten. Protokolle, die bei der Speicherung oder Übertragung nicht ausreichend geschützt sind, können leicht einer beabsichtigten oder unbeabsichtigten Änderung oder Zerstörung zum Opfer fallen. So bleiben möglicherweise betrügerische Aktivitäten unbemerkt, und Beweise werden eventuell manipuliert, um die Identität der Betrüger zu verschleiern. Viele Rootkits sind z.b. speziell darauf ausgelegt, Protokolle zu verändern, um jegliche Beweise der Installation des Rootkits oder seiner Ausführung zu entfernen. Empfohlene Best Practices V.1. Schutz der Prozesse, die die Protokolleinträge erstellen Nicht autorisierte Benutzer sollten Protokollquellenprozesse, ausführbare Dateien, Konfigurationsdateien und andere Komponenten der Protokollquellen, die die Protokollerstellung beeinträchtigen könnten, nicht ändern dürfen. Die Verwaltung der Quellen für die Protokollerstellung sollte ebenfalls protokolliert werden und mittels genehmigter Richtlinien und Verfahren für die Änderungskontrolle gesteuert werden. V.2. Begrenzter Zugriff auf Protokolldateien Im Allgemeinen sollten nur Administratoren und Auditoren zu Prüfungs- und Verwaltungszwecken Zugriff auf Protokolldateien erhalten. Die Zugriffe von berechtigten Benutzern (d.h. Administrator und Auditor) sollten protokolliert und von anderen Personen außerhalb dieser Benutzerdomäne häufig und eingehend geprüft werden. V.3. Implementierung sicherer Mechanismen für die Übertragung von Protokolldaten Viele Protokolle werden im Klartext übermittelt. Die Über tragung sollte mit Verfahren wie beispielsweise der Ver schlüsselung geschützt werden (z.b. IPSec, SFTP oder SSL). V.4. Schutz für gespeicherte Protokolldateien Dazu zählt die Zugriffsbeschränkung auf Speicher mechanismen für autorisierte Benutzer, die Bereitstellung einer ausreichenden Speicherkapazität und der Einsatz von WORM-Technologien. V.5. Schutz der Vertraulichkeit und Integrität von Protokolldateien Dazu können Message Digest, Verschlüsselung oder digitale Signaturen verwendet werden. RSA White Paper 11

14 V.6. Angemessener physikalischer Schutz für Protokollierungsmethoden und gespeicherte Protokolle Dieser Schutz beinhaltet die Verhinderung von unerlaubten physikalischen Zugriffen und den Einsatz geeigneter Steuermechanismen für die Umgebung. V.7. Beibehaltung der Business Continuity für Protokollierungsdienste Unterbrechungen der Geschäftsaktivitäten sollte entgegengewirkt werden. Dazu muss sichergestellt sein, dass die Protokollierungsdienste bei einem Systemausfall oder Computerfehler zeitnah anhand von redundanten Protokollservern wiederhergestellt werden können. Die RSA envision-plattform arbeitet nahtlos mit den EMC- Speicherlösungen Celerra, Clariion, Symmetrix und Centera zusammen, um eine echte End-to-End-Lösung für das Lebenszyklusmanagement von Protokolldaten bereitzustellen. Mit dieser Lösung können Unternehmen die enormen Protokolldatenmengen von der Erstellung bis zur Löschung verwalten, um die Anforderungen von gesetzlichen Vorschriften, Sicherheitsabteilungen und Geschäftsabläufen einzuhalten. Weitere Informationen zu RSA envision erhalten Sie unter Weitere Informationen zu EMC-Speicherlösungen einschließlich EMC Celerra, Clariion, Symmetrix und Centera finden Sie unter Zusammenfassung Die Entwicklung von Best Practices für das Log-Management ist keine einfache Aufgabe. Sie erfordert erhebliche Ressourcen und einen hohen Aufwand. Durch die umfassenden Best Practices, die alle wichtigen Komponenten des Log-Management abdecken, sollte dieses Whitepaper die Entwicklung des Log-Management deutlich vereinfachen. Die durch Richtlinien geprägte Umgebung und die rasante Zunahme der Sicherheitsbedrohungen verlangen nach einer immer intensiveren Protokollierung und einer längeren Aufbewahrung und Speicherung von Protokolldateien als die meisten Unternehmen leisten können. Die Einhaltung von Compliance- und Sicherheitsanforderungen muss zudem mit den Geschäftszielen in Einklang gebracht werden. Darüber hinaus sorgt ein leistungsstarkes Log-Management auch für eine gesteigerte Produktivität und Effizienz und ermöglicht Kosteneinsparungen in verschiedenen Bereichen im gesamten Unternehmen und in der Folge einen gesunden Return-on- Investment. Lösungen für die Implementierung von Best Practices Die Einführung von Best Practices im Log-Management liefert die Grundlage für eine umfassende Verwaltung von Sicherheitsinformationen und -ereignissen (SIEM). RSA stellt Endto-End-Lösungen bereit, mit denen Unternehmen eine zentral verwaltete Infrastruktur speziell für diesen Zweck einrichten können. Die RSA envision SIEM-Plattform sammelt Protokolle aus dem gesamten Unternehmen und wandelt diese Informationen in nutzbare Daten für Compliance- und Sicherheitsziele um. Durch den gemeinsamen Einsatz von RSA envision und Netzwerkspeicherlösungen können Unternehmen den gesamten Lebenszyklus von Protokollinformationen mit einem mehrschichtigen Speicheransatz verwalten. Dabei werden die Protokolle auf verschiedenen Speicherressourcen abgelegt, abhängig vom Alter und vom Verwendungsbedarf der Protokolldaten. 12 RSA White Paper

15 Anhang 1: Quellen und Inhalte von Protokollen Sicherheitssysteme und Software Anti-Malware Anti-Viren-Software, Anti-Spyware und Rootkit- Erkennungssoftware Beispiele für aufgezeichnete Vorfälle und Aktivitäten Verschiedene Fälle erkannter Malware Versuche von Datei- und Systemdesinfektion Dateiquarantäne Scannen nach Malware Signaturen oder Software-Updates Systeme zur Erkennung und Verhinderung von unerwünschtem Eindringen Verdächtiges Verhalten Erkannte Angriffe Maßnahmen zur Verhinderung böswilliger Aktivitäten Systeme für den Remote- und Wireless-Zugriff z.b. Virtual Private Networks (VPN) Anmeldeversuche In der Sitzung empfangene und versendete Datenmenge Web-Proxy-Server aufgerufene URLs Software zur Verwaltung von Schwachstellen darunter Software für die Patch-Verwaltung und Bewertung von Schwachstellen Authentifizierungsserver Verzeichnisserver und Single-Sign-On- Server Router und Switches Patch-Installationshistorie Schwachstellenstatus Bekannte Schwachstellen Fehlende Software-Upgrades Authentifizierungsversuche gesperrte Aktivitäten Firewalls detaillierte Protokolle zur Netzwerkaktivität Netzwerk-Quarantäne-Server Status der Host-Sicherheitsprüfungen Hosts in Quarantäne und Ursachen Operative Systeme Beispiele für aufgezeichnete Vorfälle und Aktivitäten z.b. für Server, Workstations und Netzwerkgeräte wie Router, Switches, usw. Systemereignisse Herunterfahren des Systems Service-Start Sicherheitsereignisse Dateizugriffe Richtlinienänderungen Anwendungen Beispiele für aufgezeichnete Vorfälle und Aktivitäten z.b. -Server und -Clients, Webserver und Webbrowser, Dateiserver und Clients für das File Sharing, Datenbankserver und -clients sowie Geschäftsanwendungen (z.b. Supply Chain Management, Finanzmanagement, Beschaffungssysteme, Enterprise Resource Planning, Customer Relationship Management und benutzerspezifische Anwendungen) Client-Anfragen und Serverantwort Authentifizierungsversuche Kontenänderungen Verwendung von Benutzerrechten Anzahl und Größe der Transaktionen Ereignisse im Betrieb Starten und Herunterfahren Konfigurationsänderungen Anwendungsspezifische Ereignisse wie z.b.: senden und empfangen Dateizugriff Service-Anfrage Transaktion Funktionsausführung (z.b. Lesen, Schreiben, Ändern, Löschen) RSA White Paper 13

16 Anhang 2: Compliance-Anforderungen für das Log-Management Hinweis: nicht vollständig, zu Darstellungszwecken vereinfacht Beispiele für Rechte und Richtlinien, die den Schutz von Informationen vorschreiben Branchen- und Informationssicherheitsstandards Relevanter Standard (falls zutreffend) Sarbanes- Oxley (SOX) Branchenspezifischer Datenschutz 1 COBIT NIST SP für HIPAA, FFIEC für GLBA Federal Information Security Management Act (FISMA) NIST SP 800 (bes. SP ) Globaler Datenschutz² ISO 17799/ CFR Part 11 (FDA)/ Annex 11 (EU) ISO 17799/ Payment Card Industry Data Security Standard (PCI DSS) Internationale Organisation für Normung: Code of Practice for Information Security Management (ISO 17799/27001) Standards für Cyber Security der North American Electric Reliability Council (NERC) Sonderausgaben des National Institute of Science and Technology, 800-er Serie (z.b , 61, 66 & 92) IT-Handbuch zur Informationssicherheit des Federal Financial Institutions Examination Council (FFIEC) Control Objectives for Information Technology (COBIT) Geschützte Informatio nen Finanz-systeme und Informatio - nen zur Erstellung von Finanz - berichten Z.B. geschützte Patienten - daten, persönliche Finanzdaten von Kunden Informationen auf Bundesebene Persönliche Informatio - nen Elektronische Daten für die Entwicklung und Herstellung von Medika - menten Informationen von Karten - inhabern UNT Kritische digitale Assets3, die die Zuver - lässigkeit von elektrischen Hauptsystemen steuern oder diese beeinflussen könn ten UNT UNT UNT Anforderung was wird protokolliert? (Beispiele) Individueller Benutzerzugriff auf geschützte Informationen Administrative Vorgänge und Verwendung von Zugriffsrechten Ungültige Zu - griffsversuche k.a. Angebracht 4 Angebracht 5 Angebracht 6 E 7 E E E E E Angebracht 8 k.a. k.a. k.a. k.a. k.a. E E E k.a. E k.a. k.a. Angebracht 9 k.a. k.a. k.a. E E E k.a. E k.a. k.a. k.a. k.a. k.a. k.a. Sicherheitser - E E E E E Angebracht11 System 10 eignisse im Zugriff auf Audit Trails k.a. k.a. k.a. k.a. k.a. E E k.a. E E k.a. Prüfung von Protokollen in bestimmten Zeitabständen k.a. HIPAA erfordert die regelmäßige Prüfung von Audit-Protokollen k.a. k.a. k.a. Tägliche Prüfung von Protokollen und 24/7- Überwachung nicht autori - sierter Zugriffs - versuche Regelmäßige Prüfungen; mehr für Benutzer - zugriffsrechte Protokollprüfung mind. Alle 90 Tage und 24/7- Überwachung nicht autorisierter Zugriffs - versuche Regelmäßige Prüfung von Audit-Protokollen erforderlich; für HIPAA, erfor - dert die Proto - kollprüfung zweimal pro Woche Regelmäßige u. rechtzeitige Prüfung erforderlich, z.b. tägliche Prü - fung eini ger Protokolle und Echtzeit-Überwachung ande - rer Protokolle k.a. Zusammenführun g von Protokollen, Zuordnung und Automatisierung von Audit-Proto - kollen Sicherheit und Schutz für pro - tokollierte Daten Zeitstempel bzw. Synchroni - sierung k.a. k.a. k.a. k.a. k.a. EMPF. EMPF. EMPF. EMPF. EMPF. EMPF. k.a. k.a. k.a. k.a. k.a. E E k.a. E E k.a. k.a. k.a. k.a. k.a. E E E E E E k.a. Legende k.a. = keine Angabe E = Erforderlich UNT = unternehmensdefiniert EMPF. = empfohlen Fortsetzung 14 RSA White Paper

17 Aufbewahrung Angegebene Mindestdauer k.a. k.a. k.a. k.a. k.a. Mind. 1 Jahr UNT Mind. 90 Tage UNT UNT UNT Benötigte Aufbewahrungs - dauer, um Audit-Zyklus zu entsprechen (unabhängige Bewertung) 1 Jahr: Jährliche Bewertung interner Kontrollen 1 Jahr: Regelmäßige Sicherheitsprüfung vor - geschrieben: üblicher Zyklus beträgt ein Jahr 12 1 Jahr: Jährliche Auswertung von Sicher - heitsmaß - nahmen erforderlich 1-3 Jahre: Audits oder Bewertungen alle ein bis drei Jahre erforderlich 13 Variiert: Unterliegt regelmäßiger Prüfung durch Regu - lierungs - behörde 1 Jahr: Jährliche Eigenbewer - tung oder Vor-Ort-Audit k.a. 1 Jahr: Zeit - rahmen für Compliance- Prüfung beträgt 1 Jahr; Nicht-Vorhandensein von Lücken in Pro - tokollen muss über ein Jahr nachweisbar sein k.a. Auf Basis der Risikoanalyse: Vierteljähr - liche interne Audits und jährliche unabhängige Audits empfohlen Ausreichende Aufbewahrung erforderlich 14 Langfristige Aufbewahrung von Daten - sätzen, die Audit-Proto - kolle enthalten könnten 7 Jahre 15 6 Jahre für HIPAA; k.a. für GLBA 16 k.a. k.a. Abhängig von besonderen Regeln zur Aufbewahrung betroffener elektronischer Datensätze; können viele Jahre sein 17 Keine Angabe, obwohl erforderliche Aufbewah - rungsdauer mindestens 1 Jahr beträgt k.a. Audit-Auf - zeich nungen müssen für 3 Jahre aufbewahrt werden Bestimmte Protokolle sollten für 3 Jahre aufbewahrt werden k.a. k.a. Hinweise zur Tabelle in Anhang 2 01 z.b. der Health Insurance Portability and Accountability Act (HIPAA) und der Gramm-Leach-Bliley Act (GLBA) 02 z.b. die EU-Datenschutzrichtlinie (EU DPD), der Japan Personal Information Protection Act (PIPA) und der Canada Personal Information Protection and Electronic Documents Act (PIPEDA) 03 Computer, Software und Kommunikationsnetzwerke 04 Die Art der zu sammelnden Audit-Protokolle ist nicht angegeben, aber die Protokollierung des persönlichen Zugriffs auf Daten wird sowohl im HIPAA als auch im GLBA auf Basis der Anforderungen für die Zugriffssteuerung vorgeschrieben, die individuelle Benutzer und Audit-Kontrollen identifiziert, um die Systemaktivität zu überwachen und zu prüfen, z.b. Zugriffsberichte. 05 FISMA gibt die Art der zu sammelnden Audit-Protokolle nicht an, berücksichtigt jedoch die Protokollierung des individuellen Zugriffs auf Daten, da diese Daten allgemein vor unbefugtem Zugriff geschützt werden müssen, und zwar mithilfe von geeigneten Informationssicherheitsstufen. Es ist schwierig bis unmöglich, Daten vor unbefugtem Zugriff zu schützen, es sei denn, die Zugriffe auf diese Informationen werden protokolliert. 06 Obwohl globale Datenschutzbestimmungen die Art der zu sammelnden Audit-Protokolle nicht angeben, berücksichtigen alle Bestimmungen jedoch die Protokollierung des individuellen Zugriffs auf Daten, da diese Daten allgemein durch vernünftige und geeignete Maßnahmen vor unbefugtem Zugriff geschützt werden müssen. Es ist schwierig bis unmöglich, Daten vor unbefugtem Zugriff zu schützen, es sei denn, die Zugriffe auf diese Informationen werden protokolliert. 07 Part 11 fordert den eingeschränkten Systemzugriff für einzelne, autorisierte Benutzer und die Verwendung sicherer, computergenerierter Audit-Trails mit Zeitstempel, um Datum und Zeitpunkt von Benutzereinträgen sowie Vorgänge, die elektronische Datensätze erstellen, ändern oder löschen, separat aufzuzeichnen. 08 COBIT schreibt die Protokollierung des individuellen Benutzerzugriffs auf Daten nicht vor, erfordert jedoch Kontrollen zur eindeutigen Benutzerauthentifizierung und die Protokollierung von Sicherheitsaktivitäten auf System-, Anwendungs- und Datenbankebene. 09 Verfahren für die Überwachung von Anmeldeversuchen und Benachrichtigungen über Abweichungen sind eine adressierbare Implementierungsspezifikation unter HIPAA. 10 Kann verschiedene Protokolle von Sicherheitssystemen enthalten, z.b. Anti-Malware, Firewalls, Systeme zur Erkennung und Verhinderung von unerwünschtem Eindringen, Virtual Private Networks, Software zur Verwaltung von Schwachstellen und Authentifizierungsserver. 11 COBIT erfordert das Vorhandensein und die Verwendung geeigneter Sicherheitsmaßnahmen, darunter Firewalls, Systeme zur Erkennung von Eindringlingen und die Bewertung von Schwachstellen, um den unerlaubten Zugriff über öffentliche Netzwerke zu verhindern. 12 Die meisten Unternehmen führen eine jährliche Prüfung der Sicherheitsmaßnahmen durch (gemäß GLBA muss der Vorstand einmal pro Jahr die Sicherheit prüfen). 13 Der Prozess der EU-Datenschutzrichtlinie Safe Harbor schreibt jährliche Audits vor; der gültige Standard ist ISO 17799/27001 und erfordert nach der ersten Zertifizierung alle drei Jahre eine erneute Zertifizierung. 14 Gemäß COBIT müssen Daten zu Systemereignissen ausreichend lange aufbewahrt werden, um chronologische Informationen liefern zu können und anhand von Protokollen die Prüfung und Rekonstruktion der Datenverarbeitung zu ermöglichen. 15 SOX schreibt vor, Dokumente und Kommunikationsdaten in Bezug auf ein Audit für sieben Jahre aufzubewahren; die Aufbewahrungsdauer von Protokollen wird nicht erwähnt. Unternehmen bewahren jedoch bestimmte Protokolle meist langfristig auf, z.b. solche, die in direktem Zusammenhang mit dem Nachweis der Integrität von Finanzberichten stehen (z.b. Zugriffsprotokolle für wichtige Finanzanwendungen). 16 HIPAA erfordert die Aufbewahrung von Dokumenten zu Richtlinien, Verfahren, Vorgängen, Aktivitäten oder Bewertungen über sechs Jahre, beinhaltet aber keine Angaben zur Aufbewahrungsdauer von Protokollen; Unternehmen bewahren jedoch bestimmte Protokolle meist langfristig auf, z.b. Informationen über den Zugriff auf Patientendaten (z.b. Zugriffsprotokolle für Patientenakten). 17 Part 11 zufolge muss die Dokumentation von Audit-Trails mindestens so lange aufbewahrt werden wie die betroffenen elektronischen Datensätze. Sie müssen Behörden zur Prüfung und Kopie zur Verfügung stehen. RSA und RSA Security sind eingetragene Warenzeichen von RSA Security Inc. in den Vereinigten Staaten oder anderen Ländern. EMC, Celerra, Clariion, Symmetrix und Centera sind Warenzeichen oder eingetragene Warenzeichen der EMC Corporation. Alle weiteren hier angeführten Produkte und Services sind Warenzeichen ihrer jeweiligen Inhaber RSA Security Inc. Alle Rechte vorbehalten. LMBP WP 0707 RSA White Paper 15