Sicherheit: Log-Files werden nur unzureichend ausgewertet

Q1 Labs verweist auf den »2011 Data Breach Investigations Report«, für den das RISK-Team von Verizon Business in Zusammenarbeit mit dem Secret Service und der niederländischen National High Tech Crime Unit etwa 1700 Fälle von Datendiebstahl untersuchte. 41 Prozent davon waren zwar in den Logs dokumentiert, blieben aber unentdeckt. Mit einer SIEM-Lösung (Security Information und Event Management) hätte man diese Vorfälle frühzeitig aufspüren und auf sie reagieren können, meint Chris Poulin, Chief Security Officer von Q1 Labs. Er bemängelt, dass Log-Management vor allem Mittel zur Erfüllung von Compliance-Vorschriften gesehen und nicht aktiv für die Abwehr von Angriffen genutzt wird.

»Die Realität ist, dass viele Organisationen SIEM- oder Log-Management-Lösungen lediglich betreiben, um in unterschiedlichen Standards wie PCI, FISMA, GLBA, SOX und GPG 13 festgelegte Richtlinien zu erfüllen und damit den vorgegebenen Compliance-Anforderungen zu entsprechen. Allerdings verfügen sie oftmals weder über die notwendigen Ressourcen noch die technische Expertise, um Warnmeldungen zu überprüfen oder angemessen auf diese zu reagieren«, so Poulin.

Laut der Studie werden viele Kontrollsysteme mangelhaft konfiguriert, an falscher Stelle eingesetzt oder gar nicht genutzt. Poulin zufolge ist eine Abkehr vom »dummen Logging« zu intelligenten Lösungen unabdingbar, um in der Vielzahl der Meldungen den Überblick zu behalten. Andernfalls bestehe das Risiko, dass Sicherheitsvorfälle übersehen oder ignoriert würden, weil sie in der Masse untergehen.