{"id":211,"date":"2021-08-19T15:16:58","date_gmt":"2021-08-19T13:16:58","guid":{"rendered":"https:\/\/www.edilog.de\/network\/?p=211"},"modified":"2025-09-29T13:49:53","modified_gmt":"2025-09-29T11:49:53","slug":"moeglichkeiten-und-grenzen-von-logging-monitoring","status":"publish","type":"post","link":"https:\/\/www.edilog.de\/network\/2021\/08\/19\/moeglichkeiten-und-grenzen-von-logging-monitoring\/","title":{"rendered":"M\u00f6glichkeiten und Grenzen von Logging &#038; Monitoring"},"content":{"rendered":"<p>Der Betrieb von IT-Systemen beinhaltet immer das Risiko eines vors\u00e4tzlich missbr\u00e4uchlichen Zugriffs. Im Vordergrund der Data Security sollte somit immer das Verhindern von Angriffen stehen!<\/p>\n<p>Daher sind pr\u00e4ventive Ma\u00dfnahmen immer der erste und wichtigste Schritt hin zur Verbesserung der Sicherheit. Solche Ma\u00dfnahmen verringern das Risiko erheblich, ohne es jedoch in jedem Fall auf ein akzeptables Niveau zu bringen. Im Rahmen des normalen Applikationszugriffs kann dem Datenmissbrauch z.B. durch geeignete Schwellwerte entgegen gewirkt\u00a0werden. Ein Missbrauch erweiterter Zugriffsreche z.B. von Administratoren und Power-Usern, erfordert jedoch neben dem Einsatz von Verfahren z.B. zur Abschottung von administrativen Accounts von den Daten auch ein datenzugriffsbezogenes Logging &amp; Monitoring. Zudem k\u00f6nnen Hacker-Angriffe bzw. -Versuche nur durch Speichern und Korrelieren von Logdaten wie Zugriffe, IP-Adressen etc. erkannt und nachverfolgt werden.<\/p>\n<p>Sobald\u00a0es\u00a0bereits zu einem Security Vorfall gekommen ist,\u00a0ist eine Beweisf\u00e4higkeit\u00a0und Nachvollziehbarkeit\u00a0des Vorgehens\u00a0eines Angreifers dringend erforderlich, was nur durch den Einsatz von Logging &amp; Monitoring Ma\u00dfnahmen\u00a0gew\u00e4hrleistet werden kann.\u00a0Dar\u00fcber hinaus ist zu kl\u00e4ren\u00a0wie\u00a0privilegierte Benutzer, z.B. Administratoren und Power-User, zu ihrem eigenen Schutz sowie zur Einhaltung von Gesetzen und Richtlinien in ein umfassendes \u00dcberwachungskonzept eingebunden werden k\u00f6nnen.<\/p>\n<p>Normen, wie der\u00a0<a title=\"Data Security Standard der Kredikartenindustrie (PCI DSS)\" href=\"https:\/\/www.edilog.de\/network\/2021\/08\/19\/data-security-standard-der-kredikartenindustrie-pci-dss\/\">Data Security Standard der Kredikartenindustrie (PCI DSS)<\/a>, fordern zudem z.B. das Aufzeichnen von Zugriffen auf bestimmte Daten. Somit ergeben sich unterschiedliche Aufgaben, die man mit Logging-\u00a0und Monitoring-Konzepten und Ma\u00dfnahmen gr\u00f6\u00dftenteils bew\u00e4ltigen kann.<\/p>\n<p>Beim Aufbau einer Logging- und Monitoring Umgebung sollte\u00a0grunds\u00e4tzlich immer zuerst festgelegt werden, welche Ereignisse zu protokollieren sind, wie sich missbr\u00e4uchliche Handlungen erkennen lassen und auf welche Weise das Auditing \u00fcberwacht wird.<\/p>\n<p>Solche Ereignisse stellen i.d.R. Abweichungen von der Norm dar und sollten\u00a0nicht massenhaft auftreten. Bei einer zu gro\u00dfz\u00fcgigen Definition der Filter kann die Anzahl der Log-Eintr\u00e4ge jedoch massiv ansteigen und die Systemperformance stark beeintr\u00e4chtigen. Daher sollten die zu \u00fcberwachenden Ereignisse sorgf\u00e4ltig ausgew\u00e4hlt und die Log-Datenmenge im Sinne von \u201eHandhabbarkeit\u201c, \u201eDatensparsamkeit\u201c, \u201eReduktion von Performance-Auswirkungen auf hoch frequentierte Systeme\u201c, \u201eSchutz der Arbeitnehmer vor falschen Verd\u00e4chtigungen\u201c sowie \u201eVerhinderung von Leistungs- und Verhaltenskontrollen der Arbeitnehmer\u201c minimiert werden ohne jedoch das eigentliche Ziel der Ma\u00dfnahmen und m\u00f6gliche gesetzliche Anforderungen aus den Augen zu verlieren.<\/p>\n<p>Grunds\u00e4tzlich ist beim Einsatz von\u00a0Logging &amp; Monitoring Ma\u00dfnahmen\u00a0jedoch immer zu beachten, dass falls\u00a0z.B. verd\u00e4chtige Aktivit\u00e4ten von Accounts aufgefallen sind, die Frage,\u00a0ob tats\u00e4chlich die Person, der dieser Account geh\u00f6rt, die Aktion durchgef\u00fchrt hat oder ob sich nicht ein Fremder dieses Accounts f\u00fcr seine Aktivit\u00e4ten bedient hat,\u00a0nicht zweifelsfrei beantwortet werden kann. Denn ein intelligenter interner Angreifer wird i.d.R. nicht mit seinem eigenen Account Datenmi\u00dfbrauch betreiben. Ein Externer Angreifer kann sogar nur mit fremden Accounts arbeiten, nachdem er sich Zugang zu deren Logon-Informationen verschafft hat.<\/p>\n<p>Somit kann Logging &amp; Monitoring nur im Nachhinein Angriffe erkennen und evtl. die Wege von Angreifern nachvollziehbar machen und damit evtl. Sicherheitsl\u00fccken in Zukunft schlie\u00dfen, aber weder Pr\u00e4vention gegen Datenmi\u00dfbrauch\u00a0leisten, noch\u00a0Aktivit\u00e4ten zweifelsfrei auf ganz bestimmte Personen zur\u00fcckf\u00fchren, sondern nur Hinweise auf einen m\u00f6glichen T\u00e4ter liefern. F\u00fcr einen\u00a0zweifelsfreien Nachweis sind daher weitergehende Ma\u00dfnahmen\u00a0wie z.B. forensische Untersuchungen des PCs von dem der Angriff erfolgt\u00a0ist, Benutzerbefragungen etc. notwendig.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Der Betrieb von IT-Systemen beinhaltet immer das Risiko eines vors\u00e4tzlich missbr\u00e4uchlichen Zugriffs. Im Vordergrund der Data Security sollte somit immer das Verhindern von Angriffen stehen! Daher sind pr\u00e4ventive Ma\u00dfnahmen immer der erste und wichtigste Schritt hin zur Verbesserung der Sicherheit. Solche Ma\u00dfnahmen verringern das Risiko erheblich, ohne es jedoch in jedem Fall auf ein akzeptables &hellip; <\/p>\n<p class=\"link-more\"><a href=\"https:\/\/www.edilog.de\/network\/2021\/08\/19\/moeglichkeiten-und-grenzen-von-logging-monitoring\/\" class=\"more-link\"><span class=\"screen-reader-text\">\u201eM\u00f6glichkeiten und Grenzen von Logging &#038; Monitoring\u201c<\/span> weiterlesen<\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":[],"categories":[9,21,26],"tags":[],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/www.edilog.de\/network\/wp-json\/wp\/v2\/posts\/211"}],"collection":[{"href":"https:\/\/www.edilog.de\/network\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.edilog.de\/network\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.edilog.de\/network\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.edilog.de\/network\/wp-json\/wp\/v2\/comments?post=211"}],"version-history":[{"count":0,"href":"https:\/\/www.edilog.de\/network\/wp-json\/wp\/v2\/posts\/211\/revisions"}],"wp:attachment":[{"href":"https:\/\/www.edilog.de\/network\/wp-json\/wp\/v2\/media?parent=211"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.edilog.de\/network\/wp-json\/wp\/v2\/categories?post=211"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.edilog.de\/network\/wp-json\/wp\/v2\/tags?post=211"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}