Der Betrieb von IT-Systemen beinhaltet immer das Risiko eines vorsätzlich missbräuchlichen Zugriffs. Im Vordergrund der Data Security sollte somit immer das Verhindern von Angriffen stehen!
Daher sind präventive Maßnahmen immer der erste und wichtigste Schritt hin zur Verbesserung der Sicherheit. Solche Maßnahmen verringern das Risiko erheblich, ohne es jedoch in jedem Fall auf ein akzeptables Niveau zu bringen. Im Rahmen des normalen Applikationszugriffs kann dem Datenmissbrauch z.B. durch geeignete Schwellwerte entgegen gewirkt werden. Ein Missbrauch erweiterter Zugriffsreche z.B. von Administratoren und Power-Usern, erfordert jedoch neben dem Einsatz von Verfahren z.B. zur Abschottung von administrativen Accounts von den Daten auch ein datenzugriffsbezogenes Logging & Monitoring. Zudem können Hacker-Angriffe bzw. -Versuche nur durch Speichern und Korrelieren von Logdaten wie Zugriffe, IP-Adressen etc. erkannt und nachverfolgt werden.
Sobald es bereits zu einem Security Vorfall gekommen ist, ist eine Beweisfähigkeit und Nachvollziehbarkeit des Vorgehens eines Angreifers dringend erforderlich, was nur durch den Einsatz von Logging & Monitoring Maßnahmen gewährleistet werden kann. Darüber hinaus ist zu klären wie privilegierte Benutzer, z.B. Administratoren und Power-User, zu ihrem eigenen Schutz sowie zur Einhaltung von Gesetzen und Richtlinien in ein umfassendes Überwachungskonzept eingebunden werden können.
Normen, wie der Data Security Standard der Kredikartenindustrie (PCI DSS), fordern zudem z.B. das Aufzeichnen von Zugriffen auf bestimmte Daten. Somit ergeben sich unterschiedliche Aufgaben, die man mit Logging- und Monitoring-Konzepten und Maßnahmen größtenteils bewältigen kann.
Beim Aufbau einer Logging- und Monitoring Umgebung sollte grundsätzlich immer zuerst festgelegt werden, welche Ereignisse zu protokollieren sind, wie sich missbräuchliche Handlungen erkennen lassen und auf welche Weise das Auditing überwacht wird.
Solche Ereignisse stellen i.d.R. Abweichungen von der Norm dar und sollten nicht massenhaft auftreten. Bei einer zu großzügigen Definition der Filter kann die Anzahl der Log-Einträge jedoch massiv ansteigen und die Systemperformance stark beeinträchtigen. Daher sollten die zu überwachenden Ereignisse sorgfältig ausgewählt und die Log-Datenmenge im Sinne von „Handhabbarkeit“, „Datensparsamkeit“, „Reduktion von Performance-Auswirkungen auf hoch frequentierte Systeme“, „Schutz der Arbeitnehmer vor falschen Verdächtigungen“ sowie „Verhinderung von Leistungs- und Verhaltenskontrollen der Arbeitnehmer“ minimiert werden ohne jedoch das eigentliche Ziel der Maßnahmen und mögliche gesetzliche Anforderungen aus den Augen zu verlieren.
Grundsätzlich ist beim Einsatz von Logging & Monitoring Maßnahmen jedoch immer zu beachten, dass falls z.B. verdächtige Aktivitäten von Accounts aufgefallen sind, die Frage, ob tatsächlich die Person, der dieser Account gehört, die Aktion durchgeführt hat oder ob sich nicht ein Fremder dieses Accounts für seine Aktivitäten bedient hat, nicht zweifelsfrei beantwortet werden kann. Denn ein intelligenter interner Angreifer wird i.d.R. nicht mit seinem eigenen Account Datenmißbrauch betreiben. Ein Externer Angreifer kann sogar nur mit fremden Accounts arbeiten, nachdem er sich Zugang zu deren Logon-Informationen verschafft hat.
Somit kann Logging & Monitoring nur im Nachhinein Angriffe erkennen und evtl. die Wege von Angreifern nachvollziehbar machen und damit evtl. Sicherheitslücken in Zukunft schließen, aber weder Prävention gegen Datenmißbrauch leisten, noch Aktivitäten zweifelsfrei auf ganz bestimmte Personen zurückführen, sondern nur Hinweise auf einen möglichen Täter liefern. Für einen zweifelsfreien Nachweis sind daher weitergehende Maßnahmen wie z.B. forensische Untersuchungen des PCs von dem der Angriff erfolgt ist, Benutzerbefragungen etc. notwendig.