Sie befinden sich hier: Themen IT-Grundschutz-Kataloge. Inhalt. Dokumententitel: G 2.22 Fehlende Auswertung von Protokolldaten - IT-Grundschutz-Kataloge - Stand 2006
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

G 2.22 Fehlende Auswertung von Protokolldaten

Die meisten IT-Systeme und Anwendungen bieten Funktionalitäten an, um die Nutzung der Operationen, ihre Reihenfolge und ihre Auswirkungen zu protokollieren.

Im Lebenszyklus eines IT-Systems kommen verschiedene Protokollierungskonzepte zum Einsatz. Während der Entwicklungsphase werden ausführliche Protokolle erstellt, um im Fehlerfall die Protokolldaten für eine detaillierte Problemanalyse heranziehen zu können und die Fehlerbehebung zu erleichtern.

In der Einführungsphase werden Protokolle genutzt, um unter anderem die Performance des IT-Systems in der Produktivumgebung zu optimieren oder um die Wirksamkeit des Sicherheitskonzepts erstmals in der Praxis zu überprüfen.

In der Produktivphase werden Protokolle hauptsächlich auf die Sicherstellung des ordnungsgemäßen Betriebs bezogen. Protokolldaten dienen dann dem Zweck, nachträglich feststellen zu können, ob Sicherheitsverletzungen im IT-System stattgefunden haben oder ob ein Angriffsversuch unternommen wurde. Protokolldaten werden für die Fehleranalyse im Schadensfall und zur Ursachenermittlung bzw. zur Integritätsprüfung genutzt. Die Protokollierung kann auch der Täterermittlung und damit auch der Abschreckung von potenziellen Tätern dienen. Durch regelmäßige Auswertung der Protokolldaten können vorsätzliche Angriffe auf ein IT-System unter Umständen frühzeitig erkannt werden. Findet die Auswertung der Protokolldaten nicht oder nur unzureichend statt, können diese nicht für Präventivmaßnahmen genutzt werden.

Bei einigen IT-Systemen oder Anwendungen fehlen ausreichende Protokollierungsmöglichkeiten. Häufig ist es mit systemeigenen Mitteln nicht oder nur schwer möglich, bei der Protokollierung nach der Art der Ereignisse zu differenzieren. Teilweise ist überhaupt keine Protokollierung vorgesehen.

Beispiele: