In diesem letzten Modulabschnitt geht es um die Grundlagen der Nachvollziehbarkeit, Rückverfolgbarkeit und Verantwortlichkeit von Datenereignissen (Auditability, Traceability and Accountability).
Definition von Ereignisquellen
Unsere IT-Welt besteht aus Ereignissen (Events): Wir melden uns in ein System an, starten eine Anwendung, eine App liest oder schreibt Daten in eine Datenbank, ein Update-Prozess ändert die Konfiguration, und so weiter. Je nach Situation müssen all diese Ereignisse erkannt, aufgezeichnet, systematisiert und zentral ausgewertet werden.
Anforderungen an Ereignisattribute
Ereignisse (Logs) müssen stets eindeutige Eigenschaften besitzen, um korrekt eingeordnet werden zu können. Die typischen Attribute sind:
- Timestamp – Zeitpunkt des Ereignisses
- Event ID – eindeutige Ereigniskennung
- Source – Ursprungsquelle
- Destination – Zielsystem oder Zielressource
- Action – ausgeführte Aktion
- Status/Outcome – Ergebnis der Aktion
Hinweis: Das OWASP Logging Cheat Sheet ist eine umfangreiche Referenz zu Best Practices rund um das Thema Protokollierung.
Protokollierung, Speicherung und Analyse von Datenereignissen
Addiert man die drei oberen Begriffe, kommt man auf ein Werkzeug, das Ereignisse zentral erfasst, speichert und auswertet. Dieses zentrale Werkzeug ist ein SIEM (Security Information and Event Management).
SIEM sammelt, korreliert und analysiert Logs aus verschiedenen IT-Systemen, um sicherheitsrelevante Ereignisse in Echtzeit zu erkennen. Es erzeugt Alarme und Berichte zur Unterstützung von Incident Response, Forensik und Compliance. (mehr dazu in Abschnitt 5.6)
Sicherheitsaspekte
Bei der Protokollverwaltung sind noch folgende Punkte zu beachten:
Strenge Zugriffskontrollen auf die Logdaten, um sicherzustellen, dass nur autorisierte Personen darauf zugreifen dürfen.
Ein Manipulationsschutz soll durch Signaturen oder unveränderliche Speicher (Immutable Logs) gewährleistet werden.
Chain of Custody
Die Chain of Custody (mehr dazu ebenfalls im Abschnitt 5.6) beschreibt die lückenlose und rechtskonforme Dokumentation der Beweismittelhandhabung – von der Erhebung bis zur Aufbewahrung. Dadurch wird sichergestellt, dass digitale Beweise weder verändert noch manipuliert wurden und somit juristisch verwertbar sind.
Typische Bestandteile einer Chain of Custody:
- Identifikation des Beweises (z. B. Logdatei, Festplatte, Forensik-Image)
- Zeitpunkt und Ort der Erhebung
- Person, die den Beweis erhoben oder übergeben hat
- Aufbewahrungsort und Zugriffsprotokoll
- Zweck der Übergabe
- Integritätsnachweis (Hash-Wert, Signatur)
Non-Repudiation (Nichtabstreitbarkeit)
Non-Repudiation bezeichnet die Möglichkeit zu beweisen, dass eine Person oder ein System eine bestimmte Aktion tatsächlich durchgeführt hat, damit diese die Aktion später nicht abstreiten kann. Es ist vergleichbar mit einer notariell beglaubigten Unterschrift auf einem Dokument.
Im IT-Kontext wird Non-Repudiation typischerweise durch digitale Signaturen, Zertifikate oder kryptografische Hashes umgesetzt. Niemand sollte bestreiten können, eine bestimmte Aktion ausgeführt zu haben – sei es ein Zugriff, eine Änderung oder eine Löschung.