Revisionssichere Auditierung: ein technisches und organisatorisches Problem

Ohne internen Schutz kann jeder, der umfangreiche Admin-Rechte hat oder sich diese auf die eine oder die andere Art verschafft, auf sensible, unternehmenskritische Daten zugreifen, sie manipulieren, kopieren oder löschen – und seine Spuren durch manipulierte Log-Dateien verwischen. Üblicherweise speichern Firmen unternehmenskritische Daten auf einem zentralen Server, auf den nur spezielle Anwendungen, etwa die Buchhaltungssoftware, zugreifen können.

Um den gesetzlichen Anforderungen zu genügen, müssen solche Anwendungen Logs und Berichte generieren. Das reicht aber bei weitem nicht aus: Denn gewöhnlich registrieren die Systeme nur die Zugriffe auf die Datensätze innerhalb der Applikation. Was Systemadministratoren, autorisierte Mitarbeiter und externe Dienstleister mit den Daten machen, bleibt im Dunkeln.

Lückenlose Kontrolle mit Shell Control Box

Um lückenlose und aussagekräftige Beweismittel zu erhalten, die rechtssicher belegen, was im Unternehmensnetzwerk administrativ passiert, sind spezielle Lösungen notwendig: Balabit IT Security bietet mit der Shell Control Box (SCB) ein System an, das die Anforderungen der Unternehmen für Nachvollziehbarkeit und Transparenz erfüllt.

Mit Hilfe dieser Lösung werden die Aktivitäten bei Server-Zugriffen kontrolliert und lückenlos augezeichnet sowie Fehlerquellen ebenso beweissicher dokumentiert wie absichtliches Fehlverhalten. Die SCB kontrolliert und protokolliert die Zugriffe transparent auf Protokollebene. Die dabei entstehenden Aufzeichnungen (Audit Trails) werden verschlüsselt und signiert abgelegt. Damit entsteht eine beweiskräftige Dokumentation und die Basis für forensische Analysen. Zudem archiviert die Shell Control Box alle Vorkommnisse innerhalb der IT und der Geschäftsprozesse. Der komplette Administrationsvorgang wird visuell dargestellt.

Anwendungsbereich: Outsourcing und Cloud

Die Mehrheit der Unternehmen betreibt heute ihre Anwendungen nicht mehr selbst. Portale, Online-Shops, Unternehmenssoftware – viele geschäftskritische Applikationen werden an spezialisierte Partner übergeben oder „über die Cloud“ via Internet bezogen. Dies birgt neben den Vorteilen für beide Seiten auch Risiken.

Zwar sind die Regeln und Inhalte der Zusammenarbeit mit dem externen Dienstleistern in den Service Level Agreements (SLA) genau beschrieben, doch bei Nichterfüllung und Schadensfällen gibt es immense Grauzonen. Wenn die Leistung nun aber nicht oder fehlerhaft erbracht wurde, wer ist verantwortlich? Das festzustellen ist schwierig, denn oft arbeiten Kunde und Outsourcer an den gleichen Systemen, Applikationen und Daten.

Hier ist der Einsatz eines Systems wie der SCB sowohl für Auftraggeber, als auch für Dienstleister sinnvoll. Denn damit lässt sich belegen, wer bei welchem Zugriff durch sein Verhalten, die Fehler und Probleme ausgelöst hat. Es lässt sich somit der Nachweis führen, wer von den Vertragspartnern seine Sorgfaltspflicht verletzt hat. Ein Dienstleister kann zudem mit der SCB nicht nur die Arbeit der eigenen Administratoren überprüfen und protokollieren, sondern Kunden gegenüber auch deren Leistungsfähigkeit und Effizienz dokumentieren.

Weitere Anwendungsbereiche

Die SCB kann auch die von Thin-Client Lösungen verwendeten Protokolle aufzeichnen und bietet so die Möglichkeit, auch die Aktivitäten auf Clients durchgängig zu überprüfen. Sie iegnet sich zudme aber auch für den Betrieb von sogenannten Honeypot-Systemen. Denn das Gerät zeichnet auf, wann und wie sich Angreifer in die Server einhacken – ohne Angreifern die Möglichkeit zu lassen, die Aufzeichnungen zu verfälschen oder sogar zu löschen.

Auch für DLP-Systeme (Data Leakage Prevention) kann die SCB den Zugriff auf Netzerkverkehr ermöglichen, der bisher nicht zu kontrollieren war. Dadurch ist es möglich, auch verschlüsselte Protokolle wie SSH und SFTP in die Echtzeitüberwachung einzubeziehen. Viele Unternehmen müssen SSH-Verbindungen zulassen, in denen man letztlich jedes Protokoll tunneln kann. Dafür gab es bisher keine nennenswerten Kontrollmöglichkeiten. Mit der SCB lässt sich vorgeben, welche Art von Datenverkehr (zum Beispiel Shell, SCP, SFTP, Port-, X11- oder Agent-Forwarding) in einer SSH-Verbindung überhaupt erlaubt ist.

AUTOR

Martin Grauel ...

... ist Consultant bei BalaBit IT Security. Das Unternehmen entwickelt und vertreibt Produkte für die Verwaltung von privilegierten IT-Nutzern sowie Logging- und Firewall-Lösungen. Als aktives Mitglied der Open-Source-Bewegung stellt es Lösungen für eine breite Palette von Open-Source- und proprietären Plattformen zur Verfügung. Dazu gehört auch "syslog-ng", eine Log-Server-Anwendung, die als Open Source zur Verfügung steht. Sie nutzen weltweit über 650.000 Kunden.

Page: 1 2

ZDNet.de Redaktion

Recent Posts

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

3 Tagen ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

3 Tagen ago

Netzwerk-Portfolio für das KI-Zeitalter

Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…

4 Tagen ago

Internet-Tempo in Deutschland: Viel Luft nach oben

Höchste Zeit für eine schnelle Kupfer-Glas-Migration. Bis 2030 soll in Deutschland Glasfaser flächendeckend ausgerollt sein.

4 Tagen ago

Erste Entwickler-Preview von Android 16 verfügbar

Schon im April 2025 soll Android 16 den Status Plattformstabilität erreichen. Entwicklern gibt Google danach…

4 Tagen ago

Kaspersky warnt vor Cyberangriff auf PyPI-Lieferkette

Die Hintermänner setzen KI-Chatbot-Tools als Köder ein. Opfer fangen sich den Infostealer JarkaStealer ein.

4 Tagen ago