M 2.133 Kontrolle der Protokolldateien eines Datenbanksystems

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement

Verantwortlich für Umsetzung: Administrator, Revisor

Die in einem Datenbanksystem mögliche Protokollierung bzw. Auditierung ist in einem sinnvollen Umfang zu aktivieren. Werden zuviele Ereignisse protokolliert, wird die Performance der Datenbank negativ beeinflußt und die Protokolldateien wachsen stark an. Es muß also immer zwischen dem Bedürfnis, möglichst viele Informationen zur Sicherheit der Datenbank zu sammeln, und der Möglichkeit, diese Informationen zu speichern und auszuwerten, abgewogen werden.

Dabei sind insbesondere folgende Vorkommnisse von Interesse:

• Anmeldezeiten und -dauer der Benutzer,
• Anzahl der Verbindungen zur Datenbank,
• fehlgeschlagene bzw. abgewiesene Verbindungsversuche,
• Auftreten von Deadlocks innerhalb des Datenbanksystems,
• I/O-Statistik für jeden Benutzer,
• Zugriffe auf die Systemtabellen (siehe auch M 4.69 Regelmäßiger Sicherheitcheck der Datenbank),
• Erzeugung neuer Datenbankobjekte und
• Datenmodifikationen (evtl. mit Datum, Uhrzeit und Benutzer).

Die Protokollierung sicherheitsrelevanter Ereignisse ist als Sicherheitsmaßnahme allerdings nur dann wirksam, wenn die protokollierten Daten auch ausgewertet werden. Daher sind die Protokolldateien in regelmäßigen Abständen durch einen Revisor auszuwerten. Ist es organisatorisch oder technisch nicht möglich, einen unabhängigen Revisor mit der Auswertung der Protokolldateien zu betrauen, ist eine Kontrolle der Tätigkeiten des Administrators nur schwer möglich.

Die Protokolldaten müssen regelmäßig gelöscht werden, um ein übermäßiges Anwachsen der Protokolldateien zu verhindern. Sie dürfen allerdings nur dann gelöscht werden, wenn die Protokolldateien vorher ausgewertet und kontrolliert wurden. Dies kann manuell oder automatisch geschehen, falls entsprechende Werkzeuge zur Verfügung stehen.

Weiterhin ist der Zugriff auf die Protokolldateien strikt zu beschränken. Einerseits muß verhindert werden, daß Angreifer ihre Aktionen durch nachträgliche Änderung der Protokolldateien verbergen können, andererseits könnten über die gezielte Auswertung von Protokolldateien Leistungsprofile der Benutzer erstellt werden. Deshalb dürfen beispielsweise Änderungen überhaupt nicht vorgenommen werden können und lesender Zugriff darf nur den Revisoren gestattet werden.

Um die Auswertung der Protokolldaten zu vereinfachen, können vom Datenbank-Administrator zusätzliche Tools eingesetzt werden, die eine automatisierte Überwachung durchführen. Solche Produkte können beispielweise die Log-Dateien von Datenbanksystemen nach vorgegebenen Mustern auswerten und bei Bedarf einen Alarm erzeugen.

Weitere Maßnahmen, die in diesem Zusammenhang beachtet werden müssen, sind in M 2.64 Kontrolle der Protokolldateien zu finden.

Ergänzende Kontrollfragen:

• Wer wertet die Protokolldateien aus? Findet das Vier-Augen-Prinzip Anwendung?
• Können die Aktivitäten des Administrators ausreichend kontrolliert werden?
• Wird das IT-Sicherheitsmanagement bei Auffälligkeiten unterrichtet?

© Copyright by Bundesamt für Sicherheit in der Informationstechnik 2000