Als ob die historisch gewachsene Vielfalt im Rechenzentrum nicht bereits genügend Komplexität bergen würde, kommt eine weitere Erschwernis hinzu: die Einbindung externer Fachkräfte oder Dienstleister in interne Arbeitsprozesse bis hin zum Offshoring. Durch die räumliche Trennung im letzteren Fall erweitert sich das Bedrohungsszenario aus versehentlichen Fehlern, beabsichtigten Datenlöschungen und Datendiebstählen im administrativen Bereich des Rechenzentrums noch einmal erheblich.

Um dennoch gegenüber Kunden und dem Gesetzgeber die Erfüllung von Compliance-Auflagen nachweisen zu können, greifen RZ-Betreiber verstärkt auf eine Protokollierung der Aktivitäten interner und externer Mitarbeiter zurück. Daraus ergeben sich folgende Kernfragen:

  • Welche Herausforderungen resultieren aus der Protokollierung von Administrationstätigkeiten in solch einem IT-Umfeld mit seinen unzähligen Schnittstellen und wie lässt sich eine einheitliche Überwachungsstruktur implementieren?
  • Wie können RZ-Betreiber die Einhaltung der Prozesse datenschutzkonform nachweisen?
  • Wie kann eine Protokollierung zwischen internen und externen Mitarbeitern unterscheiden (oder ist eine solche Differenzierung gar nicht notwendig)?

Zertifizierung

Die Antworten auf diese Fragen sind ein substanzieller Bestandteil der „DIN EN 50600“-Zertifizierung. Sie sind besonders wichtig für jedes Rechenzentrum, das Systeme von Kritis-Unternehmen betreibt oder direkt von einem Kritis-Unternehmen betrieben wird. Die DIN EN 50600 führt konkret und praxisbezogen alle Aspekte um die Rechenzentrumsstruktur von der grundlegenden Installation bis zum Betrieb nach ISO 27001 auf und erläutert sie.

Beispiel für eine Suche nach Metadaten. Bild: Consist

Oft hört man die Aussage von Unternehmen und SIEM-Herstellern, dass normale Logdateien zur Dokumentation der Tätigkeiten von Administratoren und externen Dienstleistern ausreichen, um die gesetzlichen Datenschutzanforderungen zu erfüllen. Diese Aussage stimmt jedoch nur bei einer klaren Trennung zwischen Administration und Benutzung bei der Protokollierung – und der Konzentration auf die Benutzungsprotokollierung. „Benutzung“ meint hier die reine Inanspruchnahme der Server-Systeme und Applikationen in Abgrenzung zur Administration mit ihren Maßnahmen zur Installation, Modifikation und Konfiguration von Hard- und Software einschließlich der Abarbeitung von Systemnachrichten.

Durchschnittliche Logdateien reichen jedoch zur lückenlosen Dokumentation von Administratorentätigkeiten nicht aus. Dies liegt an zwei wesentlichen Punkten:

  • Die Dokumentation mit Applikations- oder Server-Logs ist nur so gut wie der Datenbestand in den Logdateien. Softwarehersteller sparen oft beim Erzeugen von Event-Logs, sodass einige Tätigkeiten nicht mitprotokolliert werden, darunter das Aufrufen kritischer oder sensibler Daten nach dem Bundesdatenschutzgesetz.
  • Ein Server-Administrator hat durch seine Zugriffsrechte immer die Möglichkeit, Daten auf einem Server zu löschen, zu ändern oder zu manipulieren.

Bereits an dieser Stelle wird klar, dass ein alleiniges Vertrauen in Logdateien im Widerspruch zu den deutschen und europäischen Datenschutzgesetzen steht: Logdateien allein können einen Nachweis der Rechtmäßigkeit der Verarbeitung von Kundendaten oder des Servers nicht gewährleisten.

Ablauf des Session Recordings für ein Unix-System. Bild: Consist

Aufgrund dieser Problematik gibt es verschiedene Software- und Hardwarelösungen für die rechtskonforme Dokumentation von Administratorentätigkeiten. Man unterscheidet grundlegend zwei Arten von „Session Recording“-Lösungen: netzwerkbasierte und agentenbasierte.

Netzwerkbasiertes Session Recording

Bei einer netzwerkbasierten Lösung wird die Anmeldung sämtlicher Benutzer an einem Server durch eine sogenannte Blackbox geleitet. Ist diese Blackbox entsprechend konfiguriert, liest sie sämtliche Netzwerkpakete und speichert die gesamte Netzwerkkommunikation des Benutzers. Aufgrund dieser Architektur ist die Protokollierung von Anwenderaktionen auf verschiedensten Betriebssystemen kein Hindernis, weil lediglich die Netzwerkkommunikation betrachtet wird. Allerdings ergeben sich aufgrund dieser netzwerkbasierten Architektur weitergehende Probleme.

Für die revisionssichere Speicherung ist es zwingend notwendig, sämtliche Netzwerkpakete des Anwenders in einer Benutzersitzung unverändert zu speichern. Bei einem größeren Rechenzentrum und der entsprechenden Anzahl von Administratoren und Dienstleistern entstehen so in sehr kurzer Zeit Datenberge. Nur durch eine geringe Datenspeicherzeit kann eine Organisation bei einer netzwerkbasierten Lösung die Datensparsamkeit nach dem Datenschutzgesetz gewährleisten. Allerdings empfehlen verschiedene Behörden wie zum Beispiel der bayerische Datenschutzbeauftragte eine revisionssichere Datenspeicherung von mindestens zwei Jahren.

Ablauf des Session Recordings für ein Windows-basiertes Gerät. Bild: Consist

Ein weiteres Problem der netzwerkbasierten Lösung ergibt sich direkt aus deren Architektur. Zur korrekten Protokollierung ist es zwingend notwendig, sämtliche Tätigkeiten an den Zielsystemen über eine Blackbox zu führen. Die Blackbox stellt damit einen gefährlichen Bottleneck dar. Die Protokollierung einer direkten Sitzung oder von Tätigkeiten im Katastrophenfall, bei dem die Netzwerkverbindungen nicht durch die Blackbox laufen, ist somit nicht möglich.

Agentenbasierte Lösung

Diese Problematik existiert bei einer agentenbasierten Lösung nicht: Statt einer Blackbox im Netzwerk installiert man Agenten auf den jeweiligen Servern. Alle Sitzungstätigkeiten, ob remote oder direkt, erscheinen so jederzeit im Protokoll. Weiterhin fallen bei einer agentenbasierten Lösung geringe Datenmengen an, da sie nur die direkten Betriebssystembefehle, Metadaten und Screenshots speichern muss.

Dennoch ergeben sich auch aus dieser agentenbasierten Architektur Herausforderungen. Die Agenten sind wie eine Antivirensoftware sehr tief im Server installiert. Der Hersteller der agentenbasierten Lösung muss deshalb einen Schutz vor unbeabsichtigter Deinstallation oder Deaktivierung eingebaut haben. Dies erfolgt in der Regel mittels Watchdog und Einführung eines Passwortes zur Deinstallation. Unterschiedliche Hersteller haben diese Schutzfunktionen in ihren Lösungen implementiert.

Es gibt aber auch eine Gemeinsamkeit: Netzwerk- wie auch agentenbasierte Lösungen bieten Schnittstellen zu SIEM- oder Log-Management-Systemen.

Teure Eingabefehler verhindern

Eine einheitliche Protokollierung stellt dank Session Recording keine Herausforderung mehr dar und lässt sich mit einfachen Mitteln in eine bestehende IT-Struktur integrieren. Neben der Protokollierung von Administrations- und Benutzertätigkeiten bieten solche Lösungen auch die Möglichkeit der Prävention von Datendiebstahl, unbeabsichtigten oder gezielten schädlichen Handlungen. Die Prävention erfolgt auf Grundlage von Alerts, welche in den Session-Recording-Systemen hinterlegt sind. Der Administrator kann sie maßgeschneidert für die Server und Applikationsstruktur konfigurieren. Die Alerts greifen auf Metadaten der Benutzersitzung zurück: verwendete Rechte, Befehle, Kommandos, Variablen, besuchte Seiten, Prozessnamen etc. Präventiv wirken die Lösungen beispielsweise durch das Beenden von Sitzungen, Schließen von Anwendungen und Blockieren von Anweisungen infolge ausgeführter Befehle, Tätigkeiten oder Prozesse.

Protokollierung ist ein Muss

Im Frühjahr 2017 verursachte bei Amazon ein Tippfehler eines Administrators einen Milliardenschaden, im Sommer 2017 löschte ein Server-Administrator des Hosting-Providers Verelox sämtliche Kundendaten und einen Großteil der Server. Solche Schäden lassen sich mit einer Session-Recording-Lösung verhindern: Diese blockiert die Tätigkeit trotz bestehender Administrationsrechte.

Die Einführung einer einheitlichen Protokollierung in einer vielfältigen IT-Struktur ist ein notwendiger Schritt hin zur Erfüllung von Compliance-Richtlinien und zur Rechtssicherheit nach den deutschen und europäischen Gesetzen. Zugleich ermöglicht sie ein Höchstmaß an Transparenz und hilft, Administrationsfehler zu vermeiden.

Dennis Buroh ist Senior Consultant bei Consist, www.consist.de.