Weitere Maßnahmen

Moderne Betriebssysteme bieten mehrere Hilfsmittel, die es dem Administrator erlauben, die Systemsicherheit durch Kontrollen zu erhöhen. Solche Kontrollen können aktiv oder passiv erfolgen:

• passive Kontrollen
  Um Einbruchsversuche oder sonstige Systemabnormalitäten aufdecken zu können, werden Vorgänge, die augenscheinlich verdächtig sind, mitprotokolliert. Der Einsatz weiterer Programme, die diese Log-Daten augenblicklich weiter analysieren und je nach Ergebnis und Konfiguration den Administrator bei einer Gefährdung benachrichtigen oder selbstständig Maßnahmen zum Schutz ergreifen, empfiehlt sich.

  Als auffällig sind alle Vorgänge einzuordnen, die bei ordnungsgemäßem Betrieb nicht oder nur in Ausnahmefällen auftreten. Beispiele für solche Vorgänge sind:³⁰⁶

  • Anmeldeversuche mit ungültigen Benutzerkennungen
  • wiederholte Anmeldeversuche mit ungültigen Passwörtern
  • Anmeldungen zu ,,unüblichen`` Zeiten
  • Anmeldungen und Anmeldeversuche unter Systemverwalterkennungen
  • Verstöße gegen Zugriffsregelungen
  • zurückgewiesene Programm- und Funktionsaufrufe
  In den meisten Fällen werden die Ursachen hierfür in irrtümlich fehlerhaften Eingaben liegen. Wichtig ist, dass solche Vorgänge erkennbar werden und erst damit in den Fällen, in denen andere Ursachen zur Protokollierung führen, Handlungsmöglichkeiten geschaffen werden.
• aktive Kontrollen
  Spezielle Programme sind für die Sicherheitsprüfung des Rechners zuständig. Ihr Aufgabenbereich umfasst die Unterstützung des Administrators bei der Entdeckung von Sicherheitslücken. Ein Beispiel ist das SECURITY ADMINISTRATOR'S TOOL FOR ANALYZING NETWORKS (SATAN).

In Rheinland-Pfalz wird der Einsatz insbesondere der vorgestellten passiven Kontroll-Mechanismen dringend empfohlen:

,,Die Protokollierung des Zugangs zum System, des Zugriffs auf Daten sowie sicherheitsrelevanter Ereignisse ... sollte unbedingt vorgesehen werden.``³⁰⁷

Gewonnene Log-Daten bieten nun den auswertenden Personen die Möglichkeit, Informationen über das Verhalten von Angreifern zu erhalten. Sie können aber auch dazu eingesetzt werden, Benutzerprofile zu bilden ,,und sind somit aus der Sicht des Datenschutzes bedenklich``<sup>308</sup>, dennoch ist es wichtig, die Auditfunktionalität zu benutzen, ,,damit bestimmte Verhaltensmuster eines Fehlers oder Angriffe bestimmt werden können.``³⁰⁹

Sowohl passive als auch aktive Kontroll-Mechanismen legen Log-Daten an, wodurch beim laufenden Betrieb die Festplatte ständig gefüllt wird. Um Probleme mit anderen Programmen oder auf Grund nicht mehr vorhandenen Speicherplatzes zu umgehen, empfiehlt es sich, die Log-Dateien auf einer eigenen, dedizierten Partition abzulegen. Damit wird auch verhindert, dass ein Angreifer durch ein absichtliches Füllen der gesamten Festplatte das Anlegen von Log-Daten verhindern kann.³¹⁰Die sicherste Methode, die jedoch ein automatisiertes Auswerten verhindert, stellt das parallele Mitschreiben sämtlicher Log-Daten auf einem direkt angeschlossenen Drucker dar. Dadurch wird gewährleistet, dass

• Angreifer Log-Daten nicht nachträglich manipulieren können,
• das Festplattensystem nicht durch Log-Daten überläuft,
• die Log-Daten kaum missbraucht werden können, da sie nicht in elektronischer Form vorliegen.

Zu Auswertungszwecken ist diese Vorgehensweise aber eher hinderlich, da dann meterlange Ausdrucke manuell kontrolliert werden müssen. Ein Durchsuchen nach Schlüsselbegriffen ist nicht mehr möglich.

Die Auswertung der gewonnenen Log-Daten sollte einem Spezialisten vorbehalten bleiben. In Systemen mit besonders hohem Sicherheitsbedarf sollte der Nutzungsrechte vergebende Personenkreis strikt vom die Log-Daten auswertenden Personenkreis getrennt werden.³¹¹

Abschließend wird exemplarisch eine Beurteilung des LfD hinsichtlich der Kontrollierbarkeit von Vorgängen des eMail-Dienstes aus datenschutzrechtlicher Sicht wiedergegeben:

,,Hinsichtlich der Überwachung der ordnungsgemäßen Nutzung eines dienstlich bereitgestellten eMail-Zugangs bestehen gegen die Protokollierung

• des Versands von Nachrichten an gesperrte Empfängeradressen,
• des Versands/Empfangs von Nachrichten die einen festgelegten Umfang überschreiten,
• des Versands/Empfangs von Massensendungen (Spam-Mail),
• des Empfangs von Nachrichten mit Schadensfunktionen ..., sowie
• von Fehlermeldungen

keine Bedenken. ... Ausdrücklich untersagt ist die Nutzung zu Zwecken der Verhaltens- oder Leistungskontrolle (§31 Abs. 5 LDSG).``³¹²

In der REALSCHULE SPEICHER werden die oben aufgelisteten Vorgänge mitprotokolliert, zusätzlich aber auch:

• wer sich wann an welchem Gerät anmeldet
• von welchem Gerät aus wann auf welche WWW-Seiten zugegriffen wird
• von welchen Geräten zu welcher Zeit Zugriffversuche auf eine von den Filterregeln des WWW-Proxies gesperrte Seite getätigt werden
• Zeiten, zu denen eine Verbindung zum Internet aufgebaut wird

Die ältesten Daten werden regelmäßig überschrieben, so dass -- je nach Intensität der Nutzung -- nur die Log-Daten der letzten Tage bis Wochen vorliegen.