Was bedeutet „Security Logging and Monitoring Failures“?
Damit sind Fehler bei der Protokollierung und Überwachung von sicherheitsrelevanten Ereignissen gemeint.
Einfach gesagt:
Wenn eine Anwendung Angriffe nicht erkennt oder nicht meldet, können Angreifer ungestört Schaden anrichten – manchmal über Monate oder Jahre.
Typische Beispiele aus der Praxis
- Fehlende Logs
– Login-Versuche, Fehler oder Admin-Aktivitäten werden gar nicht protokolliert. - Unvollständige Logs
– Wichtige Details wie IP-Adressen oder Benutzer-IDs fehlen. - Keine Überwachung der Logs
– Selbst wenn protokolliert wird, schaut niemand regelmäßig hinein. - Unsichere Log-Speicherung
– Logs liegen offen oder können von Angreifern manipuliert werden. - Keine Alarme bei Auffälligkeiten
– Z. B. hunderte fehlgeschlagene Login-Versuche bleiben unbemerkt.
Warum ist das so gefährlich?
- Angriffe werden oft erst spät erkannt – im Schnitt dauert es laut Studien über 200 Tage, bis ein Sicherheitsvorfall auffällt.
- Ohne Logs ist eine forensische Analyse nach einem Angriff kaum möglich.
- Fehlende Überwachung führt dazu, dass kleine Vorfälle zu großen Katastrophen werden.
Wie schützt man sich?
- Umfassende Protokollierung einführen
– Wichtige Aktionen (Login, Rechteänderungen, Admin-Zugriffe, Fehler) immer loggen. - Logs zentral sammeln
– z. B. mit SIEM-Systemen (Security Information and Event Management). - Alarmierung bei Auffälligkeiten
– Automatische Benachrichtigung bei verdächtigen Mustern (z. B. Brute-Force-Angriff). - Logs vor Manipulation schützen
– Nur autorisierte Systeme dürfen schreiben, nicht löschen oder verändern. - Regelmäßige Auswertung und Tests
– Monitoring-Prozesse prüfen und sicherstellen, dass Alarme auch in der Praxis funktionieren.
Schreibe einen Kommentar