Zum Inhalt springen

Logdateien – ein wertvolles Gut

IBI-IT Letter

Der IBI-IT Letter versorgt Sie mit aktuellen IT-Sicherheitsthemen. Registrieren Sie sich unter "Abonnieren", um nichts mehr zu verpassen!

An vielen Stellen weisen wir bereits darauf hin, wie wichtig interne Präventions- und Sicherheitsmassnahmen im Hinblick auf Cyberattacken (z.B. Phishing) sind. Was aber, wenn es doch passiert und trotz aller Sicherheitsvorkehrungen ein System befallen wird?

Wanted: Logdateien

In aller Regel gilt es dann erstmal schnell zu sein und das infizierte System auszuschalten, um eine weitere Verbreitung zu stoppen. Anschliessend wird dann üblicherweise auf ein Backup zurückgegriffen, um das System wiederherzustellen. Hierbei stellt sich eine entscheidende Frage: Welches Backup ist das richtige?

An dieser Stelle gibt es – ohne gesonderte Vorkehrungen – keine Informationsbasis darüber, wann genau der Angriff erfolgt ist und welche Backup-Version die letzte nicht-infizierte ist. Um hier Licht ins Dunkle zu bringen und genau dieses Informationsdefizit zu schliessen, müssen Logdateien gesammelt und gespeichert werden. Diese stellen sich im Ernstfall als ein wertvolles Gut heraus, was auch das Schweizerische Nationale Zentrum für Cybersicherheit (NCSC) in seinem "Merkblatt Informationssicherheit für KMUs" wie folgt unterstreicht: "Sogenannten 'Logdateien' kommt bei der Nachbearbeitung eines IT-Vorfalles zentrale Bedeutung zu. Stellen Sie sicher, dass kritische Systeme wie Buchhaltungssoftware, Domain Controller, Firewall oder E-Mail-Server solche Logdateien anlegen. [...]"

Quelle: https://www.ncsc.admin.ch/dam/ncsc/de/dokumente/infos-unternehmen/ncsc-merkblatt-kmu-sicherheit.pdf.download.pdf/ncsc-merkblatt-kmu-sicherheit_de.pdf (S. 5, Stand: 04.10.2023)

 

IBITECH empfiehlt: 'Rapid7 InsightIDR'

Mit Rapid7 InsightIDR erweitern Sie Ihr Sicherheitskonzept um ein nützliches Analyseinstrument, das im Angriffsfall wichtige Informationen über die Ursachen abbildet. Als zentrale Log-Sammlung ermöglicht es InsightIDR Ihnen, wichtige Rückschlüsse über die Ursache und Entstehung einer Cyberattacke zu ziehen. So können Sie z.B. bei / nach einem Angriff genau erkennen, wann die Schadware in Ihr System eingedrungen ist und welches Backup entsprechend verwendet werden muss; um so eine Wiederherstellung einer bereits infizierten Version zu verhindern.

InsightIDR ergänzt jede Protokollzeile automatisch mit Benutzer- und Anlagendetails und korreliert Ereignisse aus verschiedenen Datenquellen. Jede Meldung erstellt eine detaillierte, intuitive und visuelle Untersuchungszeitleiste. Sie erhalten das, was Sie brauchen, ohne die Notwendigkeit, mitten in einem Angriff zwischen Tools und Registerkarten hin- und herspringen zu müssen.

Das NCSC empfiehlt im bereit obig referenzierten Merkblatt, Logdateien für mindestens sechs Monate aufzubewahren und in den Backup-Prozess fest zu integrieren. Weiter wird ausgeführt: "Die Analyse der Logfiles setzt umfangreiche Kenntnisse voraus, weshalb die Auslagerung an einen IT-Dienstleister sinnvoll sein könnte." Gerne setzen wir unsere umfassende Expertise für Sie ein und unterstützen Sie hier individuell.

Aufgrund unseres Status als Security Service Provider (MSSP) können Sie über uns auch ein kleineres Volumen an Lizenzen erwerben, als dies sonst auf dem Markt möglich ist. Somit können KMU und Konzern gleichermassen vom Nutzen dieses Tools profitieren.

 

Kontaktieren Sie uns gerne, um mehr über Rapid7 InsightIDR und die Einsatzmöglichkeiten in Ihrem Unternehmen oder Ihrer Organisation zu erfahren. Gerne unterstützen wir Sie beim Alarmierungsprozess und stehen Ihnen als IT-Security-Experte zur Seite.

Kontaktieren Sie uns gerne bei Fragen und Anregungen.

Zurück zur IBI-IT Letter Themenübersicht.