:quality(80)/p7i.vogel.de/wcms/70/1b/701b2f09237f7a68d1af1d08f1dd514b/0111566424.jpeg "(Bild: ISC)")
:quality(80)/p7i.vogel.de/wcms/bc/d2/bcd23ec7c420e5667e019642df7b3142/0111596876.jpeg "Das Patch Location Rack COMFORT von Rosenberger OSI optimiert unter anderem die Flächennutzung in Rechenzentrum. (Bild: Rosenberger OSI)")
:quality(80)/p7i.vogel.de/wcms/c4/8c/c48cae1bb466095e74d332d41cea9afd/0111518188.jpeg "Supermicros neue Server auf Intel-Basis – im Bild die 4-Sockel-Variante – sind für anspruchsvolle Unternehmensanwendungen konzipiert. (Bild: Supermicro)")
:quality(80)/p7i.vogel.de/wcms/e3/09/e3096d6dce558738c51c5ca878041061/0107846251.jpeg "Am 20. Oktober 2022 konnten die Gewinner der diesjährigen Leserwahl zu den DataCenter-Insider-Awards ihre Preise bei einer Abendgala in Empfang nehmen. (Bild: Vogel IT-Medien GmbH)")
:quality(80)/p7i.vogel.de/wcms/d0/4e/d04ed61cedb2e95dd4239fe7dc09da1c/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1953100/1953154/original.jpg "Die Leserwahl zum DataCenter-Insider-Award hat begonnen. (Vogel IT-Medien GmbH)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883400/1883458/original.jpg "Die Gewinner der diesjährigen IT-Awards stehen fest – und hier sind Ihre DataCenter-Insider-Preisträger: (Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/00/34/0034811caf1b1e5a12ceb8602a6445e5/0111320016.jpeg "(Bild: frei lizenziert/David Mark)")
:quality(80)/p7i.vogel.de/wcms/34/78/34787097bbc94a744fd61f3b69868659/0111519907.jpeg "Im Podcast und im Artikel erörtern SAP-Berater Ingo Biermann von Mindsquare und Autor Jürgen Frisch, wie sich mithilfe einer Matrix das jeweils richtige SAP-Betriebsmodell für ein Unternehmen finden lässt. (Bild: frei lizenziert: Gerd Altmann)")
:quality(80)/p7i.vogel.de/wcms/3e/34/3e34e067ca4ef47e08a284da91891506/0111697475.jpeg "3D-Visualisierung des geplanten Rechenzentrums der Data Center Group für DATA CASTLE. (Bild: Data Center Group)")
:quality(80)/p7i.vogel.de/wcms/02/1e/021e7b913bdc1580f04f4f52fb0a26aa/0111697730.jpeg "Durchdachte Planung und regelmäßige Wartung können das Brandrisiko in Rechenzentren deutlich reduzieren. (Bild: High Knowledge)")
:quality(80)/p7i.vogel.de/wcms/97/b4/97b43c1d39bd184857a2d757cabc077a/0111528829.jpeg "Im Rahmen ihrer neuen Partnerschaft bieten Pure Storage und MongoDB Anwenderunternehmen die Möglichkeit, MongoDB Enterprise Advanced in Portworx zu integrieren. (Bild: vladimircaribb - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/20/f2/20f2e318c698a68478457e7674ca7aa9/0111369708.jpeg ""Azure-Datendienste und -Verwaltung für Cloud und On-Premises", ein Interview von Oliver Schonschek, Insider Research, mit Dieter Vollmar und Elmar Szych von Dell Technologies. (Bild: Vogel IT-Medien / Dell Technologies / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/a1/9d/a19dee1e371678c0ebfd21039f875d0c/0111539824.jpeg "Die Technische Hochschule für angewandte Wissenschaften Würzburg-Schweinfurt hat im vergangenen Jahr ein Projekt zur Geo-Informatik aufgesetzt. Jetzt erläutern zwei Projektpartner im Interview, welche Hoffnungen und Chancen sich mit dieser IT-Disziplin verbinden. (Bild: frei lizenziert: stokpic )")
:quality(80)/p7i.vogel.de/wcms/5a/99/5a99a90b8c5b7d910e6e1fd96d12afca/0111440931.jpeg "Im Zuge des aktuellen Updates erhält die Appian-Plattform zahlreiche Erweiterungen. (Bild: Appian)")
:quality(80)/p7i.vogel.de/wcms/af/de/afdef92cdcfb7b8f16d182106f11c8ba/0111347047.jpeg "enexion berät Unternehmen rund um die Herausforderungen der kommenden ESG-Pflichten. (Bild: AndreasAux)")
:quality(80)/p7i.vogel.de/wcms/2c/44/2c44122aa037f937cda109ca4da17366/0111238449.jpeg "Mehr eine schwankende Boje als ein Rettungsanker und schon erst recht kein fester, festgefügter Untergrund: Versicherungen für IT und Rechenzentren (Bild: frei lizenziert: harmonies Pix )")
:quality(80)/p7i.vogel.de/wcms/d6/25/d625bf1a1112a0857040d98976980a3f/0111134881.jpeg "In welchen Fällen ist der Einsatz von „ChatGPT-4“ ein echter Gewinn, so dass ein Unternehmen dafür zahlen sollte? (Bild: frei lizenziert: Hans)")
:quality(80)/p7i.vogel.de/wcms/d1/44/d144571fde746d773ab85834f446300f/0111538207.jpeg "„Ein Lippenbekenntnis reicht hier nicht aus“, sagt Daniel Fratte, Lead Software Engineer & Green Tech Lead bei Thoughtworks. Die Unternehmen müssen eine umfassende und verpflichtende Nachhaltigkeitsstrategie entwickeln. (Bild: frei lizenziert: Colin Behrens )")
:quality(80)/p7i.vogel.de/wcms/6f/86/6f863dc3af201032635925105d9f964d/0111291252.jpeg "Das VMware Multi-Cloud-Betriebsmodell stellt Unternehmen ein Framework zur Verfügung, das Geschäfts- und IT-Strategie verbindet. (Bild: VMware)")
:quality(80)/p7i.vogel.de/wcms/b4/be/b4befd65863d5b16ccd44c13589aea29/0111409422.jpeg "WebAssembly ermöglicht die Ausführung von Code auf verschiedenen Zielgeräten ohne plattformspezifische Anpassungen schneller und performanter als in Containern. Das macht die Laufband-Technologie sowohl für die Verabeitung an der Edge interessant als auch im Rechenzentrum. (Bild: Photocreo Bednarek - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d8/d6/d8d6b84c51ba0d58fc2c221402c610bb/0111274085.jpeg "„Community in Blum“ hat das Motto der „KubeCon/CloudNativeCon Europe 2023“ in Amsterdam geheißen. (Bild: info@fejesbence.com\rfejesbence.com)")
:quality(80)/p7i.vogel.de/wcms/66/8e/668e2f389536c6ac0adb50ef7fe2f080/0111352366.jpeg "(Bild: Dell)")
:quality(80)/p7i.vogel.de/wcms/1d/10/1d10b0d3f767d1d64ed2eb6a6fe7754d/0110706461.jpeg "Pliops möchte mit seinem Beschleuniger „XDP“ der Star unter den Datenbeschleunigern werden. (Bild: Pliops)")
:quality(80)/p7i.vogel.de/wcms/31/66/316644feb5d54491e82e3b4288d116a8/0111103715.jpeg "Mit File Services for FlashArray will Pure den Storage-Alltag vereinfachen: Die neue Plattform vereint Blocks, Files und VMs. Dazu verspricht der Hersteller ein einfaches Speichermanagement. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/cb/b1/cbb1af25ae1228a2de767bdab153e70f/0111406875.jpeg "Experten rechnen damit, dass innerhalb dieses Jahrzehnts ein Quantencomputer gebaut wird, der ECDSA oder vergleichbare auf dem diskreten Logarithmus basierende Kryptosysteme für öffentliche Schlüssel kompromittieren kann. (Bild: phive2015 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5d/d1/5dd15087c4d8d95a7415dcd9466256ef/0111538685.jpeg "(Bild: Technogroup)")
:quality(80)/p7i.vogel.de/wcms/a4/99/a4996a612479676b2439dd918e189ac4/0111337926.jpeg "Zur DSGVO gehört das Recht auf Vergessenwerden - Mit der Einführung der Entfernung von Personensuch-Websites ist Incogni einer der umfassendsten Dienste zur Entfernung persönlicher Informationen auf dem Markt, der rund 180 Datenbroker abdeckt. (Bild: frei lizenziert: Gerd Altmann)")
:quality(80)/p7i.vogel.de/wcms/2a/73/2a73d990c617a0d61059a9123a75142f/0111183876.jpeg "Geeignet für geheime Botschaften mit 2x 40 Gbit/s IPsec und <20 μs Latenz: Die VPN-Appliance von der Genua GmbH (Bild: frei lizenziert: Tayeb MEZAHDIA )")
:quality(80)/p7i.vogel.de/wcms/da/45/da456fc54723e72276bc2cd5e4097ff9/0111649607.jpeg "Dr. Ing. Stefan Hengesbach (CEO QuiX Quantum) und Markus Pflitsch (CEO QMware) bringen in Enschede ein neuartiges Quantencomputing-Rechenzentrum an den Start. (Bild: QMware)")
:quality(80)/p7i.vogel.de/wcms/f2/7b/f27b03986fc1d0efff2f101de79d8f16/0111412471.jpeg "Das Systemmodell „H2“ baut auf den Grundlagen der H-Serie von Quantinuum auf und verfügt über zahlreiche Merkmale, die es von anderen Quantencomputern abheben: All-to-All-Konnektivität, Wiederverwendung von Qubits, Messung in der Mitte des Schaltkreises mit bedingter Logik, branchenweit führende High-Fidelity-Qubit-Operationen und lange Kohärenzzeiten.“ (Bild: Quantinuum)")
:quality(80)/p7i.vogel.de/wcms/cc/74/cc746eeff777e50c1ad92e67cb98cf6a/0110796599.jpeg "Ziel von Classiq und KPMG ist es, Unternehmen mit vereinten Expertise zu helfen, Quantenanwendungsfälle zu erforschen und die Entwicklung der technologischen Fähigkeiten, die es hierfür braucht, voranzutreiben. (Bild: frei lizenziert: Garik Barseghyan )")
:quality(80)/p7i.vogel.de/wcms/0f/09/0f097990002b7600075e43c92af4a3fd/0110524571.jpeg "(Bild: frei lizenziert/Krystsina Radzewich)")
:quality(80)/p7i.vogel.de/wcms/66/ae/66ae9e32738784b57e2ad8c1a4b0986f/0109756744.jpeg "Eines der in Deutschland befindlichen NTT-Datacenter - in Hattersheim - und das PeerDC-Logo. (Bild: NTT Global Data Centers )")
:quality(80)/p7i.vogel.de/wcms/bd/26/bd26cd1fc2fcdb4b82100d1a0e24ba9a/0109064470.jpeg "Viele habe zur Überarbeitung des 'Blauen Engels' für Rechenzentren beigetragen. Stößt das Umweltzeichen damit nun auf breitere Akzeptanz? (Bild: nadtytok28 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fd/7a/fd7a3f27c1905255d03a7d0410626a7d/0106490349.jpeg "(Bild: EMC - Home of Data)")
:quality(80)/p7i.vogel.de/wcms/bb/80/bb80be0c5bd76440174fa8736c0fc68a/0109079523.jpeg "(Bild: Amazon)")
:quality(80)/p7i.vogel.de/wcms/90/40/904072c10c6cfb25aa589ccdc2b731a0/0105957803.jpeg "Diese bunten Rohrleitungen befinden sich nicht in London, sondern im Kühlraum des Google-Rechenzentrums in Singapur. (Bild: Google)")
:quality(80)/p7i.vogel.de/wcms/28/91/2891191f43d783185e01b7838e3ae6cd/0105726161.jpeg "Aufnahme aus dem islandischen Rechenzentrum „ICE01 DC“ von Atnorth (Bild: Atnorth)")
:quality(80)/p7i.vogel.de/wcms/53/46/5346a50e5bca503a89be890d8ccafb2f/0105679922.jpeg "2020 hat Envia Tel bereits das dritte Rechenzentrum am Standort Taucha in Betrieb genommen; jetzt wurde noch einmal erweitert. (Bild: Envia Tel)")
Log- und Protokolleinträge im Griff Effiziente Protokollierung von Aktivitäten privilegierter Benutzer
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/125000/125044/65.jpg "Rosenberger.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
In vielen Normen und Anforderungen wird die Protokollierung und Überwachung von Aktivitäten privilegierter Benutzer gefordert. Zur Steigerung der Effizienz sollten nur die Tätigkeiten mit Auswirkung auf die Schutzziele der jeweiligen Anwendung protokolliert und überwacht werden.
Der Aufwand für die Protokollierung von Aktivitäten privilegierter Benutzer kann schnell ins Uferlose ausarten. Der Umfang der auszuwertenden Log- und Protokolleinträge steigt exponentiell mit der Anzahl der Anwendungen und der Menge der Aktivitäten privilegierter Benutzer. Daher sollten sowohl die Log- und Protokolleinträge als auch die Aktivitäten, die privilegierten Benutzern zugeordnet werden, auf ein Minimum reduziert werden.
Auswahl der Anwendungen und Infrastruktur
Im ersten Schritt werden nur die Anwendungen berücksichtigt, für die in mindestens einem Schutzziel ein erhöhter Schutzbedarf definiert ist. Anwendungen für die ausschließlich niedrigere Schutzbedarfe definiert sind können in eine langfristige Planung aufgenommen werden, oder sie werden im Risikobericht mit Risiko-Akzeptanz ausgewiesen.
Neben der Anwendung ist auch die von der Anwendung genutzte Infrastruktur wie: Middleware, Datenbank, Server-Betriebssystem, Storage und Netzwerk zu bewerten. Es müssen Systeme und Komponenten berücksichtigt werden, deren Infrastruktur-Benutzer Einfluss auf relevante Schutzziele der Anwendung haben.
Beispiel: Backup- und Archivsysteme sind zu berücksichtigen, wenn die Anwendung im Schutzziel Vertraulichkeit einen erhöhten Schutzbedarf aufweist. Netzwerkkomponenten sind zu berücksichtigen, wenn das Schutzziel der Verfügbarkeit für die Anwendung erhöht ist.
Aktivitäten privilegierter Benutzer
Privilegierter Aktivitäten sind mit kritischen Berechtigungen in den Anwendungen verbunden. Kritische Berechtigungen sind Berechtigungen, die dem Benutzer befähigen, negativen Einfluss auf ein relevantes Schutzziel der Anwendung auszuüben. Jedoch ist zudem der Kontext, in dem die Berechtigung ausgeführt werden kann, für die Bewertung relevant.
Kann die Berechtigung ausschließlich im Rahmen eines Geschäftsprozesses, in dem angemessene Kontrollen implementiert sind, eingesetzt werden, ist diese Berechtigung nicht als kritisch einzustufen. Kritische Berechtigungen sind im Berechtigungskonzept der Anwendung zu dokumentieren.
Anschließend werden Aktivitäten den Benutzern zugeordnet. Der Scope der privilegierten Benutzer kann über das Identity & Access Management nachvollzogen werden. Privilegierte Benutzer sind Benutzer mit kritischen Berechtigungen.
Um die Protokollierung und Überwachung zu vereinfachen, ist es sinnvoll, spezielle Accounts für privilegierte Benutzer zu erstellen und ausschließlich diesen Benutzerkonten kritische Berechtigungen zuzuweisen. Die Accounts sind personalisiert auszugestalten. Sie sollten eine Syntax aufweisen, die sie eindeutig von den normalen Benutzer Accounts unterscheidet.
Beispiel: normaler Benutzer-Account: x35128, Account für kritische Berechtigungen: a35128 oder x35128_adm.
Protokollierung
Durch die Protokollierung wird die lückenlose Nachvollziehbarkeit aller Aktivitäten von privilegierten Benutzern sichergestellt. Die Protokollierung privilegierter Aktivitäten kann mittels folgender Verfahren sichergestellt werden:
- Logfiles der Anwendungen
- Session-Monitoring
Die Vor- und Nachteile werden im Folgenden dargestellt.
Logfiles der Anwendungen
Voraussetzung: Bei diesem Verfahren werden die privilegierten Aktivitäten in den Logfiles der Anwendung dokumentiert. Die Anwendung bietet die Option alle privilegierten Aktivitäten mit mindestens folgenden Informationen in Logfiles zu protokollieren:
- ausführender Benutzer
- Aktivität
- Zeitpunkt der Ausführung
Die Logfiles können ausreichend gegen Manipulation geschützt werden. Ist kein ausreichender Schutz möglich, sollte geprüft werden, ob das Logfile vor einer möglichen Manipulation archiviert werden kann. Im Monitoring-Umfeld sind oft bereits Syslog Server im Einsatz. Dieser kann genutzt werden, um die Log-Meldungen in Echtzeit in ein zentrales Repository zu archivieren und damit gegen Manipulationen zu schützen.
Vorteile:
- Kann mit überschaubarem Aufwand in eine bestehende Anwendungslandschaft integriert werden.
- Syslog Server als zentraler Sammelpunkt für alle Logfiles.
Nachteile:
- Die Auswertung der protokollierten Informationen setzt teilweise spezifisches Fachwissen voraus.
- Gerade auf Infrastrukturebene sind Log-Informationen nicht durchgängig ausreichend präzise.
Session-Monitoring
Bei diesem Verfahren wird der ganze Bildschirm oder einzelne Anwendungsfenster aufgezeichnet. Es gibt Lösungen, die den Bildschirminhalt als Video aufzeichnen und diese zentral abspeichern. Andere Lösungen zeichnen auf Protokollebene auf.
Hierbei wird eine begrenzte Auswahl von Protokollen als Stream aufgezeichnet und in einem eigenen Format abgespeichert. Über spezielle Player können die Streams wie eine Video-Aufzeichnung wiedergegeben werden. Die Aufzeichnungen können bei einigen Lösungen um weitere Informationen wie Tastatureingaben oder Mausbewegungen angereichert werden.
Voraussetzung: Session-Monitoring Lösungen müssen meist im Netzwerk zwischen dem Arbeitsplatz des privilegierten Benutzers und dem System, auf dem die privilegierten Aktivitäten stattfinden, platziert werden. Daher ist eine entsprechende Netzwerksegmentierung notwendig.
Vorteile:
- Das Bewusstsein, dass jede Aktivität aufgezeichnet wird, wirkt abschreckend auf Innentäter.
- Zentrale und manipulationssichere Ablage der protokollierten Informationen.
Nachteile:
- Session-Monitoring-Lösungen sind kostenintensiv (initiale und laufende Kosten).
- Hohes Datenvolumen für die Protokollierung.
- Gegebenenfalls ist ein aufwendiger Umbau der Netzwerk-Strukturen notwendig.
- Die Protokollierung kann umgangen werden, zum Beispiel durch das verdeckte Ausführen von Skripten oder Verschieben von Fenstern mit brisanten Inhalten aus dem aufgezeichneten Bildschirm heraus.
- Protokollaufzeichnungen müssen vor Missbrauch, beispielsweise Mitarbeiterüberwachung und Passwortspionage, geschützt werden.
- Einzelne Aktivitäten lassen sich nur eingeschränkt automatisiert aus den Protokollaufzeichnungen selektieren.
Effizienzsteigerung
Folgende Maßnahmen steigern die Effizienz der Protokollierung von Aktivitäten privilegierter Benutzer:
- Protokollierung nur für Anwendungen mit erhöhten Schutzbedarf umsetzen
- privilegierten Aktivitäten von dem Einfluss auf die Schutzziele der Anwendung herleiten
- Kritische Berechtigungen ausschließlich separaten Admin-Accounts zuweisen
- Möglichst auf ein Session-Monitoring verzichten. Die privilegierten Aktivitäten in Logfiles protokollieren
- Monitoring Tools für die Protokollierung nutzen
Über den Autor: Jörg Thurau ist Managing Consultant Information Security bei ARCA-Consult. Über 20 Jahre Erfahrung auf den Gebieten Information-Security, IT-Security und IT-Betrieb zeichnen ihn als Spezialisten aus. Einer seiner fachlichen Schwerpunkte befasst sich mit dem Identity & Access Management in stark regulierten Umgebungen.
(ID:46754041)
:quality(80)/images.vogel.de/vogelonline/bdb/1791600/1791677/original.jpg "Windows-Netzwerke verwalten (Image by Gerd Altmann from Pixabay) (Windows-Netzwerke verwalten (Image by Gerd Altmann from Pixabay))")
:quality(80)/images.vogel.de/vogelonline/bdb/1941000/1941076/original.jpg "„Redfish“ hat sich als Standard für ein herstellerunabhängiges System-Management durchgesetzt und IPMI weitgehend abgelöst. (Dell Technologies)")