Ohne Logs keine Einbruchserkennung Marc Ruef | 12.02.2007 Ich schreibe viel und gern. So mancher hat mir schon Extrovertiertheit angedichtet ob dieses Charakterzugs. Doch viel eher sind Vergesslichkeit der Grund dafür, warum ich so viel schreibe. Meine ersten Publikationen waren eigentlich nur "Abfallprodukte" meiner Recherche-Tätigkeiten, die ich sodann zusammengefasst und erst später als eigenständigen Artikel publiziert habe. Auch heute noch entsteht die eine oder andere Geschichte vor diesem Hintergrund. Wenn wir ehrlich sind, dann ist das menschliche Gehirn vieler Zeitgenossen nicht für die längere und vor allem akkurate Informationsaufnahme geschaffen. Es liegt in der Natur des Homo Sapiens, Dinge zu vergessen oder sich falsch an etwas zu erinnern (siehe z.B. Kryptomnesie bei Sigmund Freud in "Psychopathologie des Alltagslebens"). Ähnlich geht es auch Computern. Viele von diesen Dingern sind gar nicht oder nur begrenzt in der Lage zu dokumentieren, was sie eigentlich so den ganzen lieben langen Tag machen. Da wird Taktzyklus für Taktzyklus gearbeitet und für die Nachwelt nur das festgehalten, was auch verlangt wurde. Meistens nur die Resultate der Berechnungen. Auf das Einsetzen von Log-Dateien wird gerne verzichtet. Schliesslich erfordern die zusätzlichen Schreibprozesse wiederum Taktzyklen, die den Berechnungen gestohlen werden würden. Zudem ist (Festplatten-)Speicher begrenzt und man will ja schliesslich nicht unnötig irgendwelche Daten bunkern. Den Computer und seine Ressourcen will man schonen. Doch kommt es zu Problemen, dann steht man nun plötzlich auf verlorenem Posten. Das Fehlen eines umfassenden und zuverlässigen Loggings kann dazu führen, dass sich Fehlerquellen nicht zurückverfolgen und identifizieren lassen. Man ist quasi blind - Die Auswirkungen des Fehlers versperren einem die Sicht auf die Wurzel dessen. Wirklich problematisch wird es, wenn ein elektronischer Einbruch gegeben ist und eine forensische Analyse ansteht. Der Forensiker ist im schlimmsten Fall weder in der Lage eine Spurensicherung zu machen (es sind keine Spuren da) und damit ist auch keine Analyse dieser umsetzbar. Der Angreifer fliegt dann quasi unter dem Radar des Verteidigers. Eine sehr unangenehme Situation, die die ansonsten schon schwer handelbaren Zustände noch schwerer macht. Nur wenige Leute in der IT-Industrie haben begriffen, wie wichtig ein durchdachtes Log-Management wirklich ist. Schon nur einfache Lösungen, bei denen Zustände in eine Datei oder mittels Syslog geschrieben werden, können in hektischen Situationen zum goldenen Vorteil werden. Wirklich elegant und effizient kann man einer Lage aber erst Herr werden, wenn da denn zentralisierte und normalisierte Systeme zum Einsatz kommen, dank deren Hilfe man innert kürzester Zeit Überblick der Situation erhalten und die Quellen der Probleme eruieren kann. Ich muss gestehen, dass ich heutzutage jedem Administrator empfehlen würde, sich Gedanken über eine solide Log-Lösung zu machen. Dies noch lange bevor man ein redundantes Firewall-System, eine verteilte Intrusion Detection-Lösung oder gar strenge Authentisierung (z.B. Chipkarte) einsetzen möchte. Logs bedeuten Absicherung zu jedem Zeitpunkt. Obschon man eine solche Versicherung nur selten braucht - am besten gar nie -, ist man dann umso glücklicher, kann man in schlimmen Zeiten auf sie zurückgreifen. Ohne Logs würde ein System vergessen, was passiert ist. Und ohne dass wir wissen, was passiert ist, können wir keine forensische Analyse durchführen.