Ein Plädoyer fürs Protokoll, immer und überall

Durchdachtes Log-Management für die Industrie 4.0

| Autor / Redakteur: Pierre Gronau / Peter Schmitz

Log-Management ist ein wesentlicher Bestandteil eines ISMS und unerlässlich für eine sichere Industrie 4.0.
Log-Management ist ein wesentlicher Bestandteil eines ISMS und unerlässlich für eine sichere Industrie 4.0. (Bild: Pixabay / CC0)

Log- und Protokollmanagement ist eine oft wenig beachtete, aber dennoch eine der dringlichsten Herausforderungen zur Absicherung von IT-Strukturen. Der Security-Experte Pierre Gronau entwirft einen Best Case in Form eines Sicherheitskonzeptes über zehn Etappen und bedient sich dabei zur Veranschaulichung bei der Industrie 4.0-Themenwelt.

Sichere Identitäten gelten als wesentlicher Ausgangspunkt für Sicherheitsketten, die Datenerhebung, Datentransport und Datenverarbeitung auf Hardware-, Software- und Prozess-Ebene absichern. Damit bilden sie die Voraussetzung für viele weitere Schutzmaßnahmen, die Unternehmen in puncto Datensicherheit ergreifen sollten, um sich compliant und wettbewerbsfähig aufzustellen. Denn klar ist: Sobald es einem Angreifer gelingt, sich unberechtigt einer Identität zu bemächtigen, laufen alle darauf aufbauenden Maßnahmen wie zum Beispiel der Zugriffsschutz ins Leere. So bietet die Gewährleistung sicherer Identitäten über automatisierte Kommunikation ein solides Startglied in der Vertrauenskette.

Mit der Einführung eines Sicherheitsprozesses leiten IT-Verantwortliche die notwendigen organisatorischen Veränderungen ein, definieren eine Strategie und nutzen Hilfsmittel zur Erreichung der Sicherheitsziele. Aufgrund der übergeordneten Bedeutung des Sicherheitsprozesses betrachte ich diesen im nachfolgenden Abschnitt detaillierter.

Log-Management in der Industrie 4.0

Log-Management ist ein wesentlicher Bestandteil des Managementsystems für Informationssicherheit (englisch kurz ISMS) und eine der dringlichsten Aufgaben bei der sicheren Ausgestaltung von ITK-Systemen. Hier genießt die Sicherstellung der Authentizität des jeweiligen Nutzers oberste Priorität. Pharmazie, Lebensmittel-Branche und chemische Industrie achten seit jeher darauf. Organisationen wie die Food and Drug Administration (FDA) in den USA und die europäische Verordnung REACH (Registration, Evaluation, Authorisation and Restriction of Chemicals) aus dem Jahr 2007 haben in diesen Branchen zu einer erheblichen Regulierung geführt, die wiederum eine Nachvollziehbarkeit der Frage „Wer hat wann wie mit welcher Charge der Substanz an welchem Produktionsschritt mitgearbeitet?“ impliziert. Folglich ist die persönliche Anmeldung eines Mitarbeiters an einer Anlage der chemischen Industrie durchaus üblich, während andere Industrien diese Ansätze bisher nicht verfolgten. Mögliche Gründe sind Vorbehalte gegenüber vermuteter Arbeitnehmerüberwachung oder technische Probleme.

Der Weg zur sicheren Industrie 4.0.
Der Weg zur sicheren Industrie 4.0. (Bild: Gronau IT)

Fakt ist, dass die Nachvollziehbarkeit von Handlungen und eine persönliche Zuordenbarkeit nur durch die Nutzung persönlicher Nutzerkonten an den Anlagen und Maschinen sowie den Bedienrechnern erreicht werden können. Dies erfordert wiederum die Verwaltung einer weitaus größeren Zahl an Konten, die bisher eher nur zwischen Einrichter, Instandhalter und Nutzer unterschieden haben. Diese Personalisierung der Benutzerkonten führt wiederum zum Bedarf, diese auch auf einer Vielzahl von Anlagen und Maschinen parallel und effizient zu verwalten. Zumindest sollte eine persönliche Zuordenbarkeit auf Ebene der Fachanwendung möglich sein, wenn der Zugang zu den Betriebssystemen aus technischen Gründen nicht personalisiert werden kann oder soll.

Letztlich ist nicht auszuschließen, dass es zu Unregelmäßigkeiten oder offensichtlich missbräuchlicher Nutzung von Anlagen und Applikationen kommt. Hier müssen Administratoren detailliert nachverfolgen können, wer wann wo zugegriffen und wer wann wo welche Änderungen vorgenommen hat. Dies setzt jedoch voraus, dass die Anwendung entsprechend detaillierte Log-Meldungen erzeugt, diese speichert und sie auch über längere Zeitfenster möglichst unveränderbar zentral vorhält. Im Sinne einer in der IT üblichen Log-Zentralisierung erweisen sich Funktionen zur direkten, zugriffgeschützten Speicherung der Logs auf einem zumindest logisch abgesetzten Log-Management-Server als sinnvoll. Idealerweise beachten Entscheider hier Standardformate, wie sie etwa durch Syslog, Log Event Extended Format (LEEF), Common Event Format (CEF), DMTF’s Common Information Model (CIM) oder Cloud Auditing Data Federation (CADF) vorgegeben werden. Dies erleichtert die zentrale Auswertung und Korrelation von Meldungen und ermöglicht die Definition zentraler Schwellenwerte (thresholds). Dazu gehört auch die Alarmierung der IT-Sicherheit, falls mit einem Benutzerkonto mehrfach innerhalb kurzer Zeit an diversen Geräten erfolglose Zugriffsversuche unternommen werden. Diese Benachrichtigung erfolgt am besten vornehmlich über die Nutzung von sogenannten Security-Information-&-Event-Management-(SIEM)-Lösungen. In diesem Zusammenhang sollten Entscheider eine skalierbare Lösung wählen, da zum einen wirklich umfangreiche Datensammlungen entstehen können und Angreifer zum anderen mit DDoS-Attacken bewusst die Grenzen solcher Systeme ausloten, um unprotokollierten Schabernack zu treiben.

Logmanagement ist ein Prozess, kein Produkt.
Logmanagement ist ein Prozess, kein Produkt. (Bild: Gronau IT)

Die Notwendigkeit von Log-Management ergibt sich aus dem Dreiklang aus gesetzlichen Auflagen, notwendiger Analyse von Sicherheitsvorfällen und kontinuierlichen Analyseprozessen wie bei der Hardware/Software-Entwicklung. Dabei folgt effizientes Log-Management stets diesem Prozess:

Annahme -> Verarbeitung -> Auswertung -> Visualisierung

Jeder am Log-Management Beteiligte sollte verstehen, dass sich hinter dem Begriff ein Prozess und kein Produkt verbirgt. Dementsprechend liegt im Wissensmanagement, im internen Aufbau von Logging-Knowhow, der wahre Benefit. Dazu gehören zwangsläufig der Aufbau von Strukturen, die Definition aller personenbezogener Daten im Betrieb, eine sinnhafte Archivierung der Protokolle sowie eine übergreifende Konzernbetriebsvereinbarung (KBV).

Vom Log- zum Protokollmanagement

In den letzten zehn Jahren hat die Weiterentwicklung verteilter Systeme neue Komplexitäten in der Verwaltung von Protokolldaten geschaffen. Heutige Systeme können Tausende von Serverinstanzen oder Micro-Service-Container enthalten, die jeweils ihre eigenen Protokolldaten erzeugen. Mit der raschen Entstehung und Dominanz von Cloud-basierten Systemen erleben wir ein explosionsartiges Wachstum maschinell generierter Protokolldaten. Infolgedessen ist das Protokollmanagement zu einem Grundpfeiler moderner IT-Operationen geworden und unterstützt eine Reihe von Anwendungsfällen wie Debugging, Produktionsüberwachung, Leistungsüberwachung, Support und Fehlerbehebung. Da kann es in der Praxis durchaus vorkommen, dass Unternehmen bis zu einem halben Petabyte Daten prozessieren müssen.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45684023 / Monitoring und KI)