Log-Management: Wichtige gesetzliche Pflicht für Unternehmen

Sichere Ablage der Log-Dateien ist Pflicht

Die Hauptmotivation der gesetzlichen Regelwerke, Unternehmen zum Sammeln und Speichern ihrer Log-Daten zu zwingen, ist es, alle IT-Ereignisse transparent und jederzeit nachvollziehbar zu machen. Entsprechend fordert beispielsweise PCI-DSS in Punkt 10.2 wieder ganz konkret, "Audit-Trails für alle Systemkomponenten zu implementieren". Sind Vollständigkeit, Vertraulichkeit und Authentizität der Log-Daten während der Übertragung gesichert, müssen diese dann so gespeichert werden, dass sie auch dort nicht verändert werden können.

Gleichzeitig muss sichergestellt sein, dass nur berechtigte Personen Zugriff auf die Audit-Trails haben (PCI-DSS 10.5). In der Praxis lässt sich dies durch eine Verschlüsselung und digitale Signatur der gespeicherten Daten erzielen. Die Verschlüsselung stellt sicher, dass nur autorisierte Mitarbeiter darauf zugreifen können, während die Signatur Veränderungen an den abgelegten Daten verhindert.

Je nachdem, wie lange Unternehmen ihre Log-Daten aufheben wollen oder müssen – PCI-DSS 10.7 fordert mindestens ein Jahr für Audit-Trails –, können die Datenmengen schnell sehr groß werden. Um die Flut von in der Praxis bis zu mehreren GByte an Rohdaten pro Stunde einzudämmen, gibt es zwei Möglichkeiten:

Einerseits sollte die Syslog-Lösung in der Lage sein, die gespeicherten Daten zu komprimieren. Andererseits können auch hier intelligente Filter in den Syslog-Kollektoren dafür sorgen, dass unwichtige Informationen wie beispielsweise eine Meldung über eine erfolgreich zugestellte E-Mail gar nicht erst an den zentralen Speicher weitergeleitet werden. Dies ist natürlich nur dann möglich, wenn das regulative Rahmenwerk die Filterung von Meldungen erlaubt.