Suchen

Protokolle zur Kontrolle

Enterprise Fraud Management – Überwachung interner Aktivitäten

Seite: 2/3

Firma zum Thema

Aktiver Ansatz per Enterprise Fraud Management (EFM)

Einen weitaus effizienteren Weg, dieses Problem zu lösen, versprechen EFM-Systeme. Hier werden in Echtzeit alle Interaktionen in Web-Sessions und Firmen-Applikationen protokolliert. Wie bei einer Videoaufzeichnung lassen sich bei Bedarf bestimmte Sitzungen abspielen, so als blickte der Auditor über die Schultern des betreffenden Users.

Mit einem solchen Audit-Trail lässt sich klar und transparent nachweisen, wer wann was mit welcher Anwendung gemacht hat. Weitere Unterstützung für Auswertungen bieten Suchfunktionen, über die sich auch archivierte Protokoll-Informationen im Stile von Suchmaschinen nach bestimmten Schlüsselbegriffen durchforsten lassen.

Die technische Realisierung läuft über Sensoren, die mit dem Monitor-Port der Netzwerk-Switches verbunden werden. Jeder Switch verfügt über ein solches zentrales Überwachungs-Port, das den gesamten Switch-Verkehr beobachtet. Die Sniffer-ähnliche Software kann auf einem PC installiert sein.

Neben der Datensammlung übernimmt sie bereits eine Art Vorfilterung, bevor sie ihre Informationen an einen zentralen Server zur Konsolidierung, Koordination und weiteren Auswertung hinsichtlich Regeln und Ereignissen schickt. Lösungen wie beispielsweise das neue „Luminet“ von Attachmate binden zusätzlich noch einen Archiv- und einen Reporting-Server mit ein, wo Vorgänge je nach Situation gespeichert werden. An den Switches ist neben der reinen Anbindung keinerlei Installation erforderlich.

Für jeden Fall gerüstet

Bei den Sensoren ist es wichtig, dass sie alle im Unternehmen eingesetzten Applikationen und Kommunikationsprotokolle unterstützen. Hierzu zählen nicht nur TCP/IP-, MQ-Series-, MSMQ- und SMB-Verkehr von Client-/Server-Anwendungen sowie HTTP/HTTPS der Web-Sessions, sondern auch Emulationen wie 3270 und 5250 (IBM), T27 (Unisys), 6680 (Fujitsu) und VT (Unix-Welt).

Marktuntersuchungen verschiedener Institute belegen, dass auch heute noch mehr als 80 Prozent der firmenkritischen Daten weltweit auf Mainframes liegen. Dort werden sie mithilfe traditioneller Host-Applikationen und -Protokolle bearbeitet. Diese Anwendungen sind zum Teil aber zum Teil über 20 Jahre alt. Deshalb verfügen sie meist über keinerlei Auditing-Funktionen und bieten somit auch keine Hilfe für einen lückenlosen Nachweis aller Benutzerzugriffe auf sensible Informationen.

Im Hinblick auf heutige Compliance-Anforderungen sollte dieses kritische Manko von der EFM-Lösung in besonderem Maße adressiert werden. Mit ins Überwachungsportfolio gehören auch SQL- und FTP-Zugriffe. Im Idealfall lassen sich darüber hinaus weitere Anwendungskommunikations-Protokolle frei konfigurieren.

Die Methode, Datenströme auf Applikationsebene zu überwachen, bindet alle Mitarbeiter des Unternehmens in gleicher Weise mit ein. Weder Geschäftsführer noch IT-Administratoren („Privileged User“) haben irgendwelche Sonderrechte, sobald sie eine entsprechende Applikation nutzen. Administratoren bleiben bei ihrer Arbeit mit Tools, die ihre Rechte etwa aus Active Directory beziehen, komplett unberührt. Auf Applikationen mit firmenkritischen Daten haben sie in der Regel ohnehin kein Konto – und wenn, greift dort automatisch die EFM-Überwachung.

Seite 3: Persönlichkeitsrechte und Datenschutz sicherstellen

(ID:2051578)