Log-Management: Wichtige gesetzliche Pflicht für Unternehmen

Vertraulichkeit und Integrität von Log-Informationen

Das zentrale Sammeln und Speichern der unternehmensweiten Log-Daten ist der erste richtige Schritt zu einem vorgabenkonformen Umgang mit den Systemmeldungen. Doch den anfangs genannten Regularien ist dies nicht genug. So schreibt beispielsweise der PCI-DSS in seinem Punkt 4 vor, dass die Daten von Kreditkarteninhabern bei der Übertragung über öffentliche Netzwerke zu verschlüsseln sind, beispielsweise mit SSL/TLS (Secure Sockets Layer / Transport Layer Security).

Enthält nun beispielsweise eine Syslog-Meldung eines Online-Shops solche Daten, so muss diese folglich bei der Übermittlung an die Syslog-Sammelstelle entsprechend abgesichert werden. Eine verschlüsselte Übertragung empfiehlt sich auch dann, wenn Log-Meldungen Benutzernamen, Passwörter oder sonstige vertrauliche Daten enthalten. Kann ein Angreifer zum Beispiel eine Meldung über einen fehlgeschlagenen Anmeldeversuch eines Benutzers abfangen, die dessen Login und das durch einen Buchstabendreher falsche Passwort enthält, so kann er die korrekten Zugangsdaten einfach erraten.

Ähnliches verlangt auch der Standard COBIT 4.1 (Control Objectives for Information and related Technology). Er wird von Unternehmen gerne herangezogen, um die technisch weniger konkreten Vorgaben von SOX oder Basel II umzusetzen. Für den Austausch sensibler Daten schreibt COBIT im Abschnitt DS5.11 dabei vor, dass "Mechanismen unter anderem die Authentizität des Inhaltes sicherstellen müssen". In der Praxis lässt sich das umsetzen, indem sich beispielsweise ein Syslog-Sender und -Empfänger gegenseitig über X.509-Zertifikate authentifizieren. Angreifer haben so keine Möglichkeit, gefälschte Meldungen in den Log-Speicher einzuschleusen oder sich einer Anwendung gegenüber als Syslog-Kollektor auszugeben, um Log-Daten auszuspähen.