Logging as a Service
Schneller Zugriff auf Protokolldaten ist für den sicheren und zuverlässigen Betrieb von IT-Umgebungen unverzichtbar. Allerdings steigt die Menge an Logdaten derzeit durch neue Entwicklungen wie containerisierte Anwendungen und hybride Multi-Cloud-Infrastrukturen rasant an. Ein zentraler Logserver hilft IT-Abteilungen, weiterhin den Überblick über ihre Umgebung zu behalten.
Insbesondere aus den folgenden fünf Gründen sollten Unternehmen heute ihre Protokolldaten zentral speichern und verwalten:
1. Höhere Sicherheit und vereinfachte Forensik:
Ein zentraler Logserver führt alle Daten zusammen, die für die Überwachung und Analyse von IT-Systemen und Netzwerken relevant sind. Genau diese Daten werden benötigt, um mögliche Sicherheitsrisiken zu erkennen und Cyber-Incidents forensisch zu untersuchen. Ohne einen zentralen Logserver kann es sehr schwierig sein, die Ursachen von Sicherheitsvorfällen zu ermitteln und geeignete Schutzmaßnahmen zu etablieren. Zentrale Logserver müssen daher auch besonders gut geschützt sein – denn professionelle Angreifer versuchen immer, Protokolldaten zu löschen, um ihre Spuren zu verwischen.
2. Unterstützung bei Compliance-Themen:
Zentrales Logging vereinfacht für Unternehmen auch die Einhaltung von Compliance-Standards. Vorschriften wie die Datenschutz-Grundverordnung (DSGVO) oder der Payment Card Industry Data Security Standard (PCI-DSS) schreiben eine lückenlose Aufzeichnung und Überwachung von Log-Daten vor.
Erst vor wenigen Monaten hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) etwa die Anforderungen an Systeme zur Angriffserkennung für die Betreiber kritischer Infrastrukturen (KRITIS) konkretisiert. In einer im Herbst 2022 veröffentlichen Orientierungshilfe heißt es: „Alle gesammelten sicherheitsrelevanten Protokoll- und Protokollierungsdaten MÜSSEN an für den jeweiligen Netzbereich zentralen Stellen gespeichert werden.“ Mit einem zentralen Logserver sind Unternehmen jederzeit in der Lage, auf die geforderten Compliance-Daten zuzugreifen.
3. Business Continuity bei Cyber-Incidents:
Im Falle eines strafrechtlich relevanten Sicherheitsvorfalls benötigen die Ermittlungsbehörden sofort Zugang zu den erfassten Log-Daten. Wenn diese nicht zentral gespeichert sind, greifen die Ermittler für ihre Arbeit möglicherweise auf die Quellrechner zurück und beschlagnahmen produktive IT-Systeme des Unternehmens. Dies kann weitere Einschränkungen des Geschäftsbetriebs nach sich ziehen. Zentrales Logging ermöglicht es hingegen, alle benötigten Protokolldaten sehr schnell für Untersuchungen zur Verfügung zu stellen und weiterhin arbeitsfähig zu bleiben.
4. Kosteneffiziente Basis für SIEM-Systeme:
Große Vorteile bietet zentrales Logging auch für die Einrichtung eines Security Information & Event Management (SIEM) Systems. Der Logserver aggregiert nicht nur die Daten, die das SIEM-System für seine Analysen benötigt – er kann die Daten auch bereits sortieren und filtern. Das reduziert die Datenmenge, die das SIEM-System verarbeiten muss, und damit gleichzeitig die Kosten für das Unternehmen. Denn die Lizenzgebühren von SIEM-Systemen sind meist an die Menge der überwachten und ausgewerteten Daten gekoppelt.
5. Intelligente Datendrehscheibe für weitere Dienste:
Nicht zuletzt kann ein zentraler Logserver die gesammelten Protokolldaten auch weiteren Anwendungen zur Verfügung stellen – wie etwa Monitoring-Lösungen, Ticketing-Systemen oder Streaming-Plattformen wie Apache Kafka. Die Einsatzmöglichkeiten für diese Daten sind vielfältig. Sie können dabei helfen, Fehler in Anwendungen zu finden, Performance-Probleme frühzeitig zu erkennen oder auch Auswertungen zur Nutzung von Services zu erstellen. Effizient umsetzen lassen sich diese Use Cases aber nur, wenn eine zentrale Datenbasis dafür vorhanden ist.
