‹ Zurück Basiswissen Cybersecurity

Audit-Protokolle

An den meisten modernen Softwareentwicklungsprojekten sind mehrere Entwickler, Operations Engineers, QA-Tester und Manager beteiligt – und alle benötigen Zugriff auf die Projektinfrastruktur. Schreibrechte an der Infrastruktur führen jedoch zu einem höheren Risiko von Sicherheitsverletzungen und Rechtsstreitigkeiten. Daher verlassen sich Unternehmen auf Audit-Protokolle, um mögliche Sicherheitsbedenken auszuräumen, indem sie präzise Aktionen und Änderungen an ihrer Infrastruktur aufzeichnen.

In diesem Artikel definieren wir Audit-Protokolle und untersuchen ihre Anwendungsfälle in der Infrastruktur. Dabei befassen wir uns speziell mit der Cloud- und Datenbankaktivität. Wir berücksichtigen auch die Einhaltung gesetzlicher Vorschriften sowie allgemeine Herausforderungen im Zusammenhang mit Datenmengen, Protokollaufbewahrungsfristen und Korrelationen zwischen verschiedenen Systemen, die eine sorgfältige Bewertung erfordern.

Was sind Audit-Protokolle?

Audit-Protokolle sind eine Sammlung von Aufzeichnungen interner Aktivitäten im Zusammenhang mit einem Informationssystem. Um einen Nutzen zu bieten, müssen diese Aufzeichnungen die folgenden Informationen enthalten:

  • Welche Komponente war von einer Aktion betroffen?
  • Wer hat diese Aktion durchgeführt?
  • Wann wurde diese Aktion durchgeführt?
  • Was für eine Aktion wurde durchgeführt?

Audit-Protokolle unterscheiden sich von Anwendungsprotokollen und Systemprotokollen. Anwendungsprotokolle zeichnen Aktivitäten auf, die von externen Benutzern ausgeführt werden, und Systemprotokolle zeichnen Aktivitäten auf, die von Software wie Betriebssystemen ausgeführt werden. Audit-Protokolle hingegen befassen sich ausschließlich mit Aktivitäten, die von internen Benutzern und Diensten innerhalb der Systeminfrastruktur durchgeführt werden.

Unveränderlichkeit ist ein wichtiger Aspekt von Audit-Protokollen. Keine Person sollte die Möglichkeit haben, Audit-Protokolldatensätze zu ändern, da dies die Integrität der Protokolle beeinträchtigen und sie unbrauchbar machen würde.

Anwendungsszenarien

Audit-Protokolle sind nicht nur praktisch und nützlich, sondern erfüllen auch einen wichtigen Zweck für die Sicherheit und Compliance, insbesondere in Bezug auf Cloud-Infrastrukturen und Datenbanken.

Verfolgen von Änderungen an der Cloud-Infrastruktur

Cloudnative Projekte umfassen häufig zahlreiche Cloud-Dienste. Die Attraktivität der Public Cloud hängt von ihrer Infrastrukturanpassungsfähigkeit ab, was bedeutet, dass Umfang und Konfigurationen dieser Cloud-Dienste sehr dynamisch sind. Aus diesem Grund benötigen Unternehmen, die Cloud-Anbieter zur Bereitstellung und Verwaltung ihrer Software nutzen, die Möglichkeit, jede in ihrer Infrastruktur vorgenommene Änderung zu verfolgen, egal wie unbedeutend sie auch erscheinen mag. Darüber hinaus müssen böswillige Aktivitäten in der Cloud-Infrastruktur erkennbar sein, um den genauen Täter, Zeitpunkt und die Art der böswilligen Aktionen zu ermitteln.

Viele Cloud-Anbieter bieten integrierte Audit-Protokollierungsdienste an, darunter:

Verfolgung der Datenbankverwaltung und Systemaktivität

Die Backend-Infrastruktur ist auf Datenbanken angewiesen. Obwohl Entwickler in der Cloud bereitgestellte Datenbanken möglicherweise als Teil der Cloud-Infrastruktur betrachten, konzentrieren sich Datenbank-Audit-Protokolle stärker auf Aktionen, die auf dem Datenbanksystem ausgeführt werden. Beispielsweise melden Datenbank-Audit-Protokolle, wann Clients Verbindungen herstellen und trennen, sowie die Gründe für diese Aktionen. Diese Informationen sind wichtig, um einen möglichen Missbrauch und eine Verfälschung von Daten festzustellen.

Über Audit-Protokolle lässt sich außerdem nachverfolgen, wer Änderungen an einem Datenbankschema vornimmt, sowie Änderungen an Schemakomponenten, die sich auf Format, Datenstruktur und Datensatzaktualisierungen auswirken. Einige Datenbanken sind schemalos, sodass Überwachungsprotokolle in diesen Fällen möglicherweise weniger wichtig sind. Für relationale Datenbanken sind Audit-Protokolle jedoch von entscheidender Bedeutung.

Die am häufigsten verwendeten Datenbanksysteme bieten Plugins und Erweiterungen zur Audit-Protokollierung, darunter:

Compliance und Rechtsverteidigung

In bestimmten Branchen ist die Audit-Protokollierungsebene streng geregelt. Fintech- oder Medtech-Unternehmen müssen z. B. umfassende Audit-Protokolle implementieren und regelmäßig Protokollanalysen durchführen, um zu bestätigen, dass über einen bestimmten Zeitraum keine böswilligen Aktivitäten stattgefunden haben. Zusätzlich zu den Branchenvorgaben schreiben auch bestimmte Zertifizierungen strenge Prüfprotokollierungsanforderungen vor, darunter:

Einige Unternehmen müssen ihren Partnern und Kunden Zertifizierungen zur Einhaltung der Informationssicherheit vorlegen. Audit-Protokolle weisen also nach, dass die Regulierungs- und Zertifizierungsanforderungen erfüllt wurden.

Audit-Protokolle sind auch bei der Klärung von Rechtsstreitigkeiten hilfreich. Es kommt häufiger als erwartet zu Streitigkeit, insbesondere in sensiblen Branchen wie dem Finanzwesen und der Medizin. Audit-Protokolle unterstützen Unternehmen dahingehend, indem sie als entscheidende Beweise dienen.

Die Herausforderungen der Audit-Protokollierung

Obwohl Audit-Protokolle eine entscheidende Rolle für die Sicherheit und Compliance spielen, kann ihre Implementierung komplex sein. Betrachten wir einige potenzielle Probleme im Zusammenhang mit der Speicherung von Audit-Protokollen.

Datenvolumen

Softwareprojekte sind oft komplexe Systeme, die aus dynamischen Komponenten bestehen. Die schiere Menge an Audit-Protokolldaten kann enorm sein, und ihre Speicherung ist sehr kostspielig. Aus diesem Grund müssen Unternehmen sorgfältig abwägen, welche Protokolle basierend auf Compliance-Anforderungen, Sicherheitslage und Gesamtsystemfunktionalität am dringendsten gespeichert werden müssen.

Aufbewahrungszeitraum für Protokolle

Einige Vorschriften und Zertifizierungen schreiben Audit-Protokolle nicht nur ausdrücklich vor, sondern Unternehmen müssen diese Protokolle auch über einen längeren Zeitraum aufbewahren, um Compliance-Anforderungen zu erfüllen. Eine Voraussetzung für die HIPAA-Compliance-Zertifizierung besteht beispielsweise darin, dass ein Unternehmen seine Audit-Protokolle sechs Jahre lang aufbewahren muss. Für die ISO 27001-Zertifizierung müssen Unternehmen ihre Audit-Protokolle mindestens drei Jahre lang aufbewahren.

Das Aufbewahren von Protokollen über einen längeren Zeitraum hinweg verursacht Kosten und erfordert außerdem Ressourcen für die Pflege und Verwaltung.

Korrelieren von Audit-Protokollen über verschiedene Systeme hinweg

Das Korrelieren, Vergleichen und Analysieren von Audit-Protokollen verschiedener Cloud- und Datenbankanbieter für unterschiedliche Protokollformate und Protokolle kann mühsam sein. Um der großen Protokollmengen Herr zu werden, müssen Unterschiede ausgemerzt werden, was viel Zeit und Mühe erfordert. Darüber hinaus kommt es häufig zu Unstimmigkeiten auf der Detailebene, was Compliance-Komplikationen nach sich ziehen kann.

Zusammenfassung

Unternehmen müssen sorgfältig darauf achten, Sicherheits- und Rechtsvorfälle in ihren Datenbanken und ihrer Cloud-Infrastruktur zu verhindern. Audit-Protokolle sind für die Bereitstellung wichtiger Aufzeichnungen und Kontexte von entscheidender Bedeutung und werden häufig zur Erfüllung von Compliance-Anforderungen benötigt.

Die Verwaltung von Audit-Protokollen kann sich als Herausforderung erweisen, da große Datenmengen und lange Aufbewahrungsfristen die Kosten in die Höhe treiben und Ressourcen belasten können. Eine Vernachlässigung der Audit-Protokolle führt jedoch früher oder später zu Compliance-Problemen oder erheblichen betrieblichen und finanziellen Auswirkungen. In diesem Sinne dienen Audit-Protokolle als „Versicherungspolice“, da der wahre Wert der Bereitstellung von Ressourcen für die Implementierung der Audit-Protokollierung erst dann zum Tragen kommt, wenn unvorhergesehene Umstände eintreten.