Computersicherheit: Protokollierung und Auswertung

Inhaltsverzeichnis

1. Übersicht

Teil 1: Grundlagen des Auditing

2. Einführung

2.1 Fallschilderung

2.2 Protokollierung in der Informationstechnik

2.2.1 Übertragungsprotokolle

2.2.2 Übersetzungsprotokolle

2.2.3 Datenbank-Logs

2.2.4 Auditprotokolle

2.3 Protokollierung und Zugriffsschutz

2.4 Das Auditing im Zeitablauf

3. Zweck der Protokollierung

3.1 Schutz durch Abschreckung

3.2 Beweissicherung

3.3 Fehlerfindung

3.4 Kostenverrechnung

3.5 Auslastungsfeststellung

3.6 Erfüllung gesetzlicher Vorgaben

3.7 Allgemeines Ziel der Protokollierung

4. Allgemeine Probleme der Protokollierung

4.1 Platzbedarf

4.2 Zeitaufwand

4.3 Schwierigkeiten der Auswertung im Verbund

4.4 Schutz der Protokolldatei

4.5 Interpretationsbedürftige Protokolldaten

4.6 Die Ortsbestimmung der Datenhaltung im Netz

5. Das Aufzeichnen

5.1 Protokollierungsintensität

5.1.1 Systembezogene Kriterien

5.1.2 Anwenderbezogene Kriterien

5.2 Technische und logische Aktionen

5.2.1 Protokollierung technischer Aktionen

5.2.2 Protokollierung logischer Aktionen

5.3 Protokollierung in Trusted-Database-Management-Systemen

5.4 Beweiskräftiges Aufzeichnen

5.4.1 Sichere Personenidentifikation

5.4.2 Technische Sicherungen

5.4.3 Mathematische Sicherungen

6. Die Auswertung des Protokolls

6.1 Das Entdecken von Angriffen

6.2 Online-Auswertungen

6.2.1 Stichproben durch das Personal

6.2.2 Auswertung durch den Rechner

6.3 Offline-Auswertungen

6.3.1 Manuelle Auswertungen

6.3.2 Auswertungen mit Abfragesprachen

6.3.3 Programmierte Recherchen

7. Datenstrukturen und Ablauforganisation

7.1 Intensive Protokollierung

7.1.1 Seitenweises Abspeichern

7.1.2 Zeitlich lineare Speicherung

7.1.3 Event-Logs

7.2 Häufige Auswertungen

7.2.1 Ressourcenorientierte Zeigerstruktur

7.2.2 Anwenderorientierte Zeigerstruktur

7.2.3 Sitzungsorientierte Zeigerstruktur

8. Protokollierung in bestehenden Systemen

8.1 Spezielle Werkzeuge für den Datenschutz

8.1.1 CA-Unicenter

8.1.2 Resource Access Control Facility (RACF)

8.2 Datenbanksysteme

8.2.1 ORACLE

8.2.2 ADABAS

8.3 Betriebssysteme

8.3.1 SINIX

8.3.2 BS2000

8.4 Ein Zugangskontrollsystem

Teil 2: Der Fachentwurf eines Auditsystems

9. Anforderungen an ein Auditsystem

9.1 Die Hardwareumgebung

9.2 Die Softwareumgebung

9.3 Die Oberfläche

9.4 Aufzuzeichnende Aktionen

9.5 Die Auswertungsrechte

9.6 Das Zeitverhalten der Auswertungskomponente

9.7 Aktive Reaktionsmöglichkeiten des Systems

10. Andere Entwicklungen

11. Das Datenmodell des Auditsystems

11.1 Die Struktur der Protokolldatensätze

11.2 Die Profildatenstruktur

12. Die Schnittstellen

12.1 Die Oberfläche für den Systemadministrator

12.2 Die Schnittstelle für den Anwendungsentwickler

13. Funktionale Eigenschaften des Auditsystems

13.1 Die Steuerung

13.2 Die automatisierte Online-Auswertung (OA)

13.3 Die Offline-Auswertung

13.4 Die Integration der Notebookaktionen

14. Szenarien

14.1 Ein lokaler Anwender

14.2 Datenabfrage per DFÜ

14.3 Eine Netzauswertung

15. Zusammenfassung

Zielsetzung & Forschungsthemen

Die Arbeit untersucht das Feld der Computersicherheit mit dem Ziel, Konzepte für das Aufzeichnen und Auswerten sicherheitskritischer Aktionen in Rechnersystemen zu entwickeln, die über eine simple Protokollierung hinausgehen. Die zentrale Fragestellung konzentriert sich darauf, wie ein automatisiertes Auditsystem gestaltet sein muss, um Angriffe in Echtzeit zu erkennen und geeignete Gegenmaßnahmen einzuleiten.

• Grundlagen des Auditing und Abgrenzung zum Zugriffsschutz
• Entwicklung und Anforderungsanalyse für automatisierte Auditsysteme
• Datenstrukturen und Algorithmen für die effiziente Protokollierung
• Methoden der Online- und Offline-Auswertung zur Angriffserkennung
• Erstellung eines Fachentwurfs für ein modulares Auditsystem

Auszug aus dem Buch

Zusammenfassung der Kapitel

1. Übersicht: Die Einleitung erläutert die Zielsetzung der Studie, im Bereich der Computersicherheit das Aufzeichnen und Auswerten von Aktionen als automatisierten Prozess (Auditing) zu etablieren.

2. Einführung: Anhand eines Praxisbeispiels werden die Notwendigkeit des Auditing, regulatorische Rahmenbedingungen und die Abgrenzung zu anderen Sicherheitsmaßnahmen dargestellt.

3. Zweck der Protokollierung: Es werden zentrale Gründe für das Auditing aufgeführt, darunter Abschreckung, Beweissicherung, Fehlerfindung und die Erfüllung gesetzlicher Anforderungen.

4. Allgemeine Probleme der Protokollierung: Die Kapitel untersuchen Herausforderungen wie Platzbedarf der Daten, Rechenzeitaufwand, Schutz der Protokolldateien vor Manipulation und Schwierigkeiten bei der Auswertung im Rechnerverbund.

5. Das Aufzeichnen: Dieses Kapitel widmet sich der technischen Umsetzung der Aufzeichnung, den Intensitätsstufen sowie der Protokollierung in komplexen Datenbanksystemen und betriebssystemnahen Umgebungen.

6. Die Auswertung des Protokolls: Es wird erörtert, wie mit Online- und Offline-Methoden sowie statistischen Verfahren (wie Profilbildung) Angriffe oder Anomalien in den Protokolldaten erkannt werden können.

7. Datenstrukturen und Ablauforganisation: Das Kapitel analysiert, wie Daten effizient gespeichert und strukturiert werden müssen, um sowohl die schnelle Protokollierung als auch die gezielte Auswertung zu ermöglichen.

8. Protokollierung in bestehenden Systemen: Es erfolgt eine Bestandsaufnahme zu den Audit-Funktionalitäten marktgängiger Produkte wie CA-Unicenter, RACF, ORACLE oder BS2000.

9. Anforderungen an ein Auditsystem: Der Teil definiert die globalen Anforderungen an ein neues Auditsystem, inklusive Hardware- und Softwarevorgaben sowie der benötigten Funktionalität für den Sicherheitsbeauftragten.

10. Andere Entwicklungen: Ein historischer Rückblick auf Expertensysteme und Ansätze wie das ISOA-Projekt ordnet die Arbeit in den wissenschaftlichen Kontext ein.

11. Das Datenmodell des Auditsystems: Das Kapitel erläutert das logische Datenmodell für Protokoll- und Profildatensätze mittels ER-Diagrammen.

12. Die Schnittstellen: Hier wird die benutzerfreundliche Oberfläche für den Administrator sowie die technische Schnittstelle für Anwendungsentwickler beschrieben.

13. Funktionale Eigenschaften des Auditsystems: Es werden die zentralen Prozesse wie Steuerung, Online-Auswertung und die Integration mobiler Geräte (Notebooks) detailliert dargestellt.

14. Szenarien: Anhand konkreter Geschäftsprozesse wie einer lokalen Anmeldung oder einer Netzauswertung wird das Zusammenspiel der Systemkomponenten praxisnah durchgespielt.

15. Zusammenfassung: Die Arbeit schließt mit einer Reflexion über die gewonnenen Erkenntnisse zur Synergie von Zugriffsschutz und automatisiertem Auditing.

Schlüsselwörter

Auditing, Protokollierung, Computersicherheit, Zugriffsschutz, Angriffserkennung, Profildatensätze, Protokolldatensätze, IT-Sicherheit, Datenmodell, Online-Auswertung, Fehlerfindung, Beweissicherung, Datenschutz, Datenbank-Logs, Systemüberwachung.

Häufig gestellte Fragen

Worum geht es in dieser Arbeit grundsätzlich?

Die Diplomarbeit behandelt das Konzept des "Auditing" zur Steigerung der Computersicherheit, wobei der Fokus auf dem automatisierten Aufzeichnen und Auswerten sicherheitskritischer Aktionen in vernetzten Rechnersystemen liegt.

Was sind die zentralen Themenfelder der Untersuchung?

Zentrale Themen sind die theoretischen Grundlagen des Auditing, die Abgrenzung zum Zugriffsschutz, die technische Auswertung von Protokolldaten, die Modellierung von Anwenderprofilen zur Anomalieerkennung sowie die praktische Entwurfskonzeption eines Auditsystems.

Was ist das primäre Ziel der Arbeit?

Das primäre Ziel ist der Fachentwurf eines Auditsystems, das durch die automatisierte Analyse von Auditdaten in der Lage ist, Angriffe oder Regelverstöße frühzeitig zu erkennen, zu bewerten und Gegenmaßnahmen auszulösen.

Welche wissenschaftliche Methode wird primär verwendet?

Es werden verschiedene Methoden der Informatik angewendet, darunter Systemanalyse, Entwurf von relationalen Datenmodellen mittels ER-Diagrammen, statistische Verfahren zur Profilbildung (z.B. Standardabweichungen) und der Entwurf von Mensch-Maschine-Schnittstellen (Maskenabläufe).

Was wird im Hauptteil der Arbeit behandelt?

Der Hauptteil gliedert sich in eine theoretische Einführung in Protokollierungsarten, eine Analyse bestehender Softwareprodukte, die Erstellung eines detaillierten Datenmodells, den Entwurf von Systemoberflächen und eine detaillierte Szenario-Betrachtung der Systemfunktionalität.

Welche Schlüsselbegriffe definieren die Arbeit?

Die Arbeit ist durch Begriffe wie "Auditing", "Protokolldatenbestand", "Profildatensätze", "Gefahrenstufe" und "Echtzeitauswertung" charakterisiert.

Wie wird im Entwurf mit dem Problem der Massendaten umgegangen?

Das System nutzt ein zweistufiges Speicherverfahren mit einem Event-Log für kritische Ereignisse und einer normalen Auditdatei. Zudem wird die Datenstruktur durch den Einsatz von Zeigern auf Tabellen optimiert, um den Platzbedarf gering zu halten.

Wie unterscheidet sich die Online- von der Offline-Auswertung?

Die Online-Auswertung zielt auf die sofortige Erkennung und Unterbindung von Angriffen während des Betriebs ab, während die Offline-Auswertung der nachträglichen Analyse und Beweissicherung bei bereits bekannten Schadensfällen dient.