Planung und Richtlinien sind wesentlich für gute IT-Sicherheit im Unternehmen. Doch gerade wenn Computer und Menschen aufeinandertreffen, sollte man das Unerwartete erwarten. Ein Protokoll über User-Aktivitäten kann dabei helfen, mit unerwarteten Umständen umzugehen.

Unser letzter Post der Reihe „Authentifizierung, Autorisierung und Audit- Protokollierung“ behandelte die Verifizierung der Identität einer Person mittels Authentifizierung, um dann mithilfe von Autorisierung und Zugangskontrolle Zugriffsrichtlinien zu definieren. In diesem Post geht es um die Audit-Protokollierung und wie sie helfen kann, Sicherheitsverstöße, Performanceprobleme und Anwendungsfehler aufzuspüren und zu beseitigen.

Was ist Audit-Protokollierung?

Wer jemals Administrator war, weiß, wie unheimlich kreativ Nutzer sein können. So manch einer könnte schlaflose Nächte haben, wenn er wüsste, was in seinem Unternehmensnetzwerk vor sich geht. Allerdings muss man das nicht unbedingt hinnehmen. Mit der Audit-Protokollierung können Nutzeraktivitäten ganz einfach zurückverfolgt und eventuelle Ungereimtheiten aufgeklärt werden.

Mit einem Audit Log können beispielsweise erfolgslose Anmeldeversuche oder andere Handlungsverläufe aufgezeichnet werden. Das Protokoll beinhaltet dann Wer wann was gemacht hat. Das „Wer“ ergibt sich aus der Authentifizierung. Diese Art der Sicherheits-Protokollierung hilft, die IT-Sicherheit im Unternehmen auf verschiedenen Wegen zu stärken: Zum Beispiel kann es sehr nützlich sein, bestimmte Ereignisse zu rekonstruieren, Angreifer zu erkennen und Performance-Probleme zu identifizieren. Des Weiteren trägt sie zur Erziehung der Mitarbeiter bei. Angestellte können für unternehmensschädliches Verhalten zur Verantwortung gezogen werden.

Audit-Protokollierung kann auf Ebene des Betriebssystems, auf Anwendungs- und Service-Ebene betrieben werden. Protokollierungen auf mehreren Ebenen dienen dazu, eine detailgenauere Auswertung vornehmen zu können. Das ist zum Beispiel bei Missbrauch des E-Mail-Kontos oder des Internet-Browsers der Fall.

Damit die protokollierten Aktivitäten auch wirklich nützlich sind, braucht es jemanden, der die Protokolle überwacht und auswertet. Audit-Logs werden schnell zum Speicherfresser, wenn sie nur angelegt aber niemals durchgesehen werden. Dabei ist das Durchsehen gar nicht schwer. Wenn bestimmte Aktionen stattfinden oder Grenzen überschritten werden, kann eine Person alarmiert werden, die solche Auffälligkeiten genauer unter die Lupe nimmt. Dafür stehen sogenannte Parsing-Scripts und Software-Anwendungen zur Verfügung, die diese Aufgabe vereinfachen.

Das National Institute of Standards and Technology hat einen brillianten Aufsatz verfasst, der detailliert beschreibt, warum und wie Audit-Protokollierung sinnvoll eingesetzt wird. Er enthält eine überzeugende Zusammenfassung von Szenarien, in denen Audit-Logging nützlich sind:

„Audit-Trail-Analysen können oft zwischen Benutzerfehlern (System funktionierte fehlerfrei) oder Systemfehlern (z.B. durch einen schlecht geprüften Teil eines Ersatzcodes) unterscheiden. Wenn beispielsweise ein System ausfällt oder die Integrität einer Datei (egal ob Programm oder Daten) angezweifelt wird, kann eine Analyse der Audit-Protokolle alle Schritte rekonstruieren, die durch das System, dem User oder Anwendungen vorgenommen wurden. Kenntnisse über die Bedingungen, die beispielsweise während eines Systemabsturzes vorherrschten, können dabei helfen, zukünftige Ausfälle zu vermeiden. Falls ein technisches Problem auftritt (z.B. die Beschädigung einer Datei) können Protokolle den Wiederherstellungsprozess fördern (z.B. indem vorgenommene Änderungen genutzt werden, um die Datei wiederherzustellen).“

Es sind zahlreiche Artikel und Dokumente verfügbar, wie Protokolle und im speziellen Anwendungen mit Hilfe von verschiedenen Scripts analysiert werden können. Dieser Artikel gibt eine exzellente Einführung zum Thema Protokollierungsmanagement.

Audit-Protokollierung kann ein sehr effektives Werkzeug zur Überwachung von Zugriffsrichtlinien sein. Regelmäßig aktualisierte Protokolle sind ein Abbild dafür, wie sich Angestellte im Unternehmensnetzwerk verhalten. Wer also Authentifizierung, Autorisierung und Audit- Protokollierung des Account Managements berücksichtigt, kann sein Unternehmensnetzwerk wesentlich sicherer gestalten.