Revisionssichere Auditierung: ein technisches und organisatorisches Problem

Ohne internen Schutz kann jeder, der umfangreiche Admin-Rechte hat oder sich diese auf die eine oder die andere Art verschafft, auf sensible, unternehmenskritische Daten zugreifen, sie manipulieren, kopieren oder löschen – und seine Spuren durch manipulierte Log-Dateien verwischen. Üblicherweise speichern Firmen unternehmenskritische Daten auf einem zentralen Server, auf den nur spezielle Anwendungen, etwa die Buchhaltungssoftware, zugreifen können.

Um den gesetzlichen Anforderungen zu genügen, müssen solche Anwendungen Logs und Berichte generieren. Das reicht aber bei weitem nicht aus: Denn gewöhnlich registrieren die Systeme nur die Zugriffe auf die Datensätze innerhalb der Applikation. Was Systemadministratoren, autorisierte Mitarbeiter und externe Dienstleister mit den Daten machen, bleibt im Dunkeln.

Lückenlose Kontrolle mit Shell Control Box

Um lückenlose und aussagekräftige Beweismittel zu erhalten, die rechtssicher belegen, was im Unternehmensnetzwerk administrativ passiert, sind spezielle Lösungen notwendig: Balabit IT Security bietet mit der Shell Control Box (SCB) ein System an, das die Anforderungen der Unternehmen für Nachvollziehbarkeit und Transparenz erfüllt.

Mit Hilfe dieser Lösung werden die Aktivitäten bei Server-Zugriffen kontrolliert und lückenlos augezeichnet sowie Fehlerquellen ebenso beweissicher dokumentiert wie absichtliches Fehlverhalten. Die SCB kontrolliert und protokolliert die Zugriffe transparent auf Protokollebene. Die dabei entstehenden Aufzeichnungen (Audit Trails) werden verschlüsselt und signiert abgelegt. Damit entsteht eine beweiskräftige Dokumentation und die Basis für forensische Analysen. Zudem archiviert die Shell Control Box alle Vorkommnisse innerhalb der IT und der Geschäftsprozesse. Der komplette Administrationsvorgang wird visuell dargestellt.

Anwendungsbereich: Outsourcing und Cloud

Die Mehrheit der Unternehmen betreibt heute ihre Anwendungen nicht mehr selbst. Portale, Online-Shops, Unternehmenssoftware – viele geschäftskritische Applikationen werden an spezialisierte Partner übergeben oder „über die Cloud“ via Internet bezogen. Dies birgt neben den Vorteilen für beide Seiten auch Risiken.

Zwar sind die Regeln und Inhalte der Zusammenarbeit mit dem externen Dienstleistern in den Service Level Agreements (SLA) genau beschrieben, doch bei Nichterfüllung und Schadensfällen gibt es immense Grauzonen. Wenn die Leistung nun aber nicht oder fehlerhaft erbracht wurde, wer ist verantwortlich? Das festzustellen ist schwierig, denn oft arbeiten Kunde und Outsourcer an den gleichen Systemen, Applikationen und Daten.

Hier ist der Einsatz eines Systems wie der SCB sowohl für Auftraggeber, als auch für Dienstleister sinnvoll. Denn damit lässt sich belegen, wer bei welchem Zugriff durch sein Verhalten, die Fehler und Probleme ausgelöst hat. Es lässt sich somit der Nachweis führen, wer von den Vertragspartnern seine Sorgfaltspflicht verletzt hat. Ein Dienstleister kann zudem mit der SCB nicht nur die Arbeit der eigenen Administratoren überprüfen und protokollieren, sondern Kunden gegenüber auch deren Leistungsfähigkeit und Effizienz dokumentieren.

Weitere Anwendungsbereiche

Die SCB kann auch die von Thin-Client Lösungen verwendeten Protokolle aufzeichnen und bietet so die Möglichkeit, auch die Aktivitäten auf Clients durchgängig zu überprüfen. Sie iegnet sich zudme aber auch für den Betrieb von sogenannten Honeypot-Systemen. Denn das Gerät zeichnet auf, wann und wie sich Angreifer in die Server einhacken – ohne Angreifern die Möglichkeit zu lassen, die Aufzeichnungen zu verfälschen oder sogar zu löschen.

Auch für DLP-Systeme (Data Leakage Prevention) kann die SCB den Zugriff auf Netzerkverkehr ermöglichen, der bisher nicht zu kontrollieren war. Dadurch ist es möglich, auch verschlüsselte Protokolle wie SSH und SFTP in die Echtzeitüberwachung einzubeziehen. Viele Unternehmen müssen SSH-Verbindungen zulassen, in denen man letztlich jedes Protokoll tunneln kann. Dafür gab es bisher keine nennenswerten Kontrollmöglichkeiten. Mit der SCB lässt sich vorgeben, welche Art von Datenverkehr (zum Beispiel Shell, SCP, SFTP, Port-, X11- oder Agent-Forwarding) in einer SSH-Verbindung überhaupt erlaubt ist.