Betroffene Basis-Ziele
Konkretes Ziel
Aufzeichnung von Ereignissen und Generierung von Beweismaterial.
Maßnahme
Es sind Ereignisprotokolle anzufertigen, aufzubewahren und regelmäßig zu prüfen, in denen Aktivitäten der Benutzer, Ausnahmen, Fehler und Informationssicherheitsereignisse aufgezeichnet werden.
Umsetzung:
1.) Applikationen im Rechenzentrum
Die Applikationen im Rechenzentrum protokollieren alle relevanten Ereignisse in der Datenbank. Diese Einträge sind teilweise auch in der Oberfläche der Anwendungen abrufbar. Kunden und Administratoren können diese Verlaufseinträge abrufen. Diese werden mindestens ein Jahr gespeichert.
Fehler werden in den Systemen protokolliert und können auf Betriebssystem-Ebene eingesehen werden (Log-Files). Das Monitoring-Tool Kibana trackt die Anwendungen und gibt (Fehler-)Warnungen via Email an die Administratoren weiter.
Die Fehlermeldungen werden durch die Administratoren ausgewertet und ggf. Gegenmaßnahmen eingeleitet.
2.) Virtuelle Maschinen und SAN-System
Auf Betriebssystem-Ebene werden die virtuellen Maschinen durch das VMWare vCenter überwacht. Ereignisse werden laufend protokolliert. Vergleichbares gilt für das Storage-System. Hier läuft die Protokollierung über die SAN-Verwaltungssoftware. Sicherheitskritische Ereignisse werden via Mail an die IT-Leitung geschickt.
3.) ERP-System
Unerwartete Fehler des ERP-Systems werden im System protokolliert. Schwerwiegende Fehler können durch die Anwender direkt bei Auftreten an den ERP-Hersteller gesendet werden.
Maßnahme
Protokollierungseinrichtungen und Protokollinformationen müssen vor Manipulationen und unbefugtem Zugriff geschützt werden.
Umsetzung
Kunden können nur ihre eigenen Protokollinformationen abrufen. Dies ist in der Produktbeschreibung dokumentiert.
Administratoren haben die Möglichkeit, Protokolle übergreifend auszuwerten. Zur Auswertung ist ein Administratorenzugang notwendig.
Maßnahme
Es sind Protokolle der Aktivitäten von Systemadministratoren und Systembetreibern anzufertigen, zu schützen und regelmäßig zu prüfen.
Umsetzung
Der RZ-Betreiber (= Systembetreiber) informiert die IT-Leitung via Mail über jegliche Aktivitäten am System.
Die Aktivitäten der internen Administratoren werden automatisch über das Windows-Event-Logging aufgezeichnet.
Ein regelmäßiger Prüfungsbedarf besteht nicht.
Maßnahme
Die Uhren aller relevanten Datenverarbeitungssysteme innerhalb der Organisation oder einer Sicherheitsdomäne müssen auf eine einzelne Referenz-Zeitquelle synchronisiert werden.
Umsetzung
Alle relevanten Serversysteme der u-form Testsysteme nutzen den NTP-Dienst zur Synchronisierung der Zeit. Die Einstellungen werden dabei so vorgenommen, dass auf einen Zeitserverpool statt dedizierter Zeitserver zurück gegriffen wird um keinen Single Point of Failure zu haben.
Neben der korrekten Protokollierung ist dies auch für einen technisch korrekten Ablauf von Transaktionen in Datenbanken notwendig.
Reviewdatum: 12.11.2024, Johannes Imhof