Integralis Security World 2009, Stuttgart
Compliance erfordert kompetentes Log-Management
Daten dürfen nicht ungesichert auf Endgeräten verbleiben, warnen MSSP (Managed Security Service Provider) Integralis und der Log-Management-Anbieter Loglogic. Sonst sei die Nachweiskette unterbrochen und der Beleg von Compliance nicht zu erbringen.
Am Rande der Integralis Security World 2009, die gestern und vorgestern in Stuttgart stattfand,
sprach LANline mit Uwe Maurer, Business Development Manager Security Operations bei Integralis, und
Ulrich Barnewitz, Director Sales für Zentral- und Osteuropa bei Loglogic, über die vor dem
Hintergrund zahlreicher Compliance-Vorschriften immer bedeutendere Rolle des Log-Managements.
Phil
Zimmermann auf der ISW: VoIP gerät ins Visier des organisierten Verbrechens
Loglogic: Forensische
Suche in Log-Datenbeständen verbessert
Loglogic
macht VMware PCI-Compliant
Als die drei wesentlichen Anforderungen an professionelles Log-Management nannte
Integralis-Fachmann Maurer die Vollständigkeit, Unveränderbarkeit und Auswertbarkeit der geloggten
Daten. "Vollständigkeit" heiße dabei: sämtliche Geräte, sämtliche Formate. Das Auslesen habe zudem
zeitlich vollständig, also unterbrechungsfrei abzulaufen und stelle deshalb hohe Anforderungen an
die Performance der Log-Management-Lösung. Die Log-Daten seien dabei je nach Compliance-Anforderung
ein halbes bis ganzes Jahr, mitunter auch länger vorzuhalten.
"Unveränderbarkeit" bedeutet: Die Integrität der Log-Daten muss sichergestellt sein. Dazu dienen
Maßnahmen wie die Vergabe geeigneter Zugriffsrechte im Zusammenspiel mit der Auswertung von
Audit-Trails und der Log-Frequenzanalyse. Letztere sei "nur eine dumme Anomalietechnik aber
wirkungsvoll", so Maurer.
Zum Punkt "Auswertbarkeit" zählen Aspekte wie die grundlegende Lesbarkeit der Log-Datenbestände
sowie leistungsstarke Suchfunktionen, Analyse-Tools sowie Mandantenfähigkeit, alles immer unter
Berücksichtigung der einschlägigen Datenschutzbestimmungen.
Ein "großes Missverständnis" ist es laut Security-Fachmann Maurer, dass Unternehmen glauben, die
Log-Daten könnten tagsüber auf dem jeweiligen Endgerät verbleiben, um dann nachts archiviert zu
werden. "Damit befinden sich die Log-Daten tagsüber auf einem potenziell komprimittierten System",
so Maurer. "Log-Daten müssen ereignisgesteuert sofort aufgenommen werden." Nur damit seien sie
sicher vor Angreifern – wie auch vor etwaigen Manipulationen eines Administrators.
An dieser Möglichkeit scheitert laut Maurer und Barnewitz vor Gericht oft der schlüssige
Nachweis von Übergriffen: Ein Anwalt könne so immer argumentieren, die Nachweiskette sei
unterbrochen, eine nachträgliche Manipulation der Log-Daten somit nicht ausgeschlossen. "Die IT ist
heute gezwungen, Rechtskonformität in ihre Arbeit einzubauen", so Barnewitz. "Und vor allem müssen
die übergebenen Daten vor Gericht auch Bestand haben."
LANline/Dr. Wilhelm Greiner
Lesen Sie mehr zum Thema
