Computersicherheit: Protokollierung und Auswertung

Diplomarbeit, 1997
155 Seiten, Note: 1,7

Informatik - Angewandte Informatik

Leseprobe

Inhaltsverzeichnis

1. Übersicht

Teil 1: Grundlagen des Auditing

2. Einführung

2.1 Fallschilderung

2.2 Protokollierung in der Informationstechnik

2.2.1 Übertragungsprotokolle

2.2.2 Übersetzungsprotokolle

2.2.3 Datenbank-Logs

2.2.4 Auditprotokolle

2.3 Protokollierung und Zugriffsschutz

2.4 Das Auditing im Zeitablauf

3. Zweck der Protokollierung

3.1 Schutz durch Abschreckung

3.2 Beweissicherung

3.3 Fehlerfindung

3.4 Kostenverrechnung

3.5 Auslastungsfeststellung

3.6 Erfüllung gesetzlicher Vorgaben

3.7 Allgemeines Ziel der Protokollierung

4. Allgemeine Probleme der Protokollierung

4.1 Platzbedarf

4.2 Zeitaufwand

4.3 Schwierigkeiten der Auswertung im Verbund

4.4 Schutz der Protokolldatei

4.5 Interpretationsbedürftige Protokolldaten

4.6 Die Ortsbestimmung der Datenhaltung im Netz

5. Das Aufzeichnen

5.1 Protokollierungsintensität

5.1.1 Systembezogene Kriterien

5.1.2 Anwenderbezogene Kriterien

5.2 Technische und logische Aktionen

5.2.1 Protokollierung technischer Aktionen

5.2.2 Protokollierung logischer Aktionen

5.3 Protokollierung in Trusted-Database-Management-Systemen

5.4 Beweiskräftiges Aufzeichnen

5.4.1 Sichere Personenidentifikation

5.4.2 Technische Sicherungen

5.4.3 Mathematische Sicherungen

6. Die Auswertung des Protokolls

6.1 Das Entdecken von Angriffen

6.2 Online-Auswertungen

6.2.1 Stichproben durch das Personal

6.2.2 Auswertung durch den Rechner

6.3 Offline-Auswertungen

6.3.1 Manuelle Auswertungen

6.3.2 Auswertungen mit Abfragesprachen

6.3.3 Programmierte Recherchen

7. Datenstrukturen und Ablauforganisation

7.1 Intensive Protokollierung

7.1.1 Seitenweises Abspeichern

7.1.2 Zeitlich lineare Speicherung

7.1.3 Event-Logs

7.2 Häufige Auswertungen

7.2.1 Ressourcenorientierte Zeigerstruktur

7.2.2 Anwenderorientierte Zeigerstruktur

7.2.3 Sitzungsorientierte Zeigerstruktur

8. Protokollierung in bestehenden Systemen

8.1 Spezielle Werkzeuge für den Datenschutz

8.1.1 CA-Unicenter

8.1.2 Resource Access Control Facility (RACF)

8.2 Datenbanksysteme

8.2.1 ORACLE

8.2.2 ADABAS

8.3 Betriebssysteme

8.3.1 SINIX

8.3.2 BS2000

8.4 Ein Zugangskontrollsystem

Teil 2: Der Fachentwurf eines Auditsystems

9. Anforderungen an ein Auditsystem

9.1 Die Hardwareumgebung

9.2 Die Softwareumgebung

9.3 Die Oberfläche

9.4 Aufzuzeichnende Aktionen

9.5 Die Auswertungsrechte

9.6 Das Zeitverhalten der Auswertungskomponente

9.7 Aktive Reaktionsmöglichkeiten des Systems

10. Andere Entwicklungen

11. Das Datenmodell des Auditsystems

11.1 Die Struktur der Protokolldatensätze

11.2 Die Profildatenstruktur

12. Die Schnittstellen

12.1 Die Oberfläche für den Systemadministrator

12.2 Die Schnittstelle für den Anwendungsentwickler

13. Funktionale Eigenschaften des Auditsystems

13.1 Die Steuerung

13.2 Die automatisierte Online-Auswertung (OA)

13.3 Die Offline-Auswertung

13.4 Die Integration der Notebookaktionen

14. Szenarien

14.1 Ein lokaler Anwender

14.2 Datenabfrage per DFÜ

14.3 Eine Netzauswertung

15. Zusammenfassung

Zielsetzung & Forschungsthemen

Die Arbeit untersucht das Feld der Computersicherheit mit dem Ziel, Konzepte für das Aufzeichnen und Auswerten sicherheitskritischer Aktionen in Rechnersystemen zu entwickeln, die über eine simple Protokollierung hinausgehen. Die zentrale Fragestellung konzentriert sich darauf, wie ein automatisiertes Auditsystem gestaltet sein muss, um Angriffe in Echtzeit zu erkennen und geeignete Gegenmaßnahmen einzuleiten.

Grundlagen des Auditing und Abgrenzung zum Zugriffsschutz
Entwicklung und Anforderungsanalyse für automatisierte Auditsysteme
Datenstrukturen und Algorithmen für die effiziente Protokollierung
Methoden der Online- und Offline-Auswertung zur Angriffserkennung
Erstellung eines Fachentwurfs für ein modulares Auditsystem

Auszug aus dem Buch

2.1 Fallschilderung

Am 20.01.95, gegen 11.30 Uhr, bemerkte der 35jährige Richard Kaufmann am Odeonsplatz in München einen weißen VW-Golf mit dem amtlichen Kennzeichen M-KM 8107, der von einer blonden Frau gesteuert wurde. Da Kaufmann die Frau kennenlernen wollte, wandte er sich an den ihm vom Sportverein her bekannten 17jährigen Angestellten Ronald Lex, der seit 5 Monaten in der Zulassungsstelle der Landeshauptstadt München beschäftigt war. Dieser hatte Zugriff auf die städtischen Kraftfahrzeugdateien. Unter anderem war Lex berechtigt, Kfz-Halter-Abfragen durchzuführen.

Auf diesem Weg erhielt Kaufmann am 22.01.95 die Adresse der verheirateten 32jährigen Arzthelferin Olivia Mertens. Kaufmann suchte anfangs telefonisch und brieflich den Kontakt zu dieser Frau. Als sie jedoch keine Anstalten machte, sich mit Kaufmann zu treffen, begann er seine 'Angebetete' zu terrorisieren.

Etwa drei Monate zog sich der Terror gegen Frau Mertens hin. Zuerst handelte es sich 'nur' um Beleidigungen und harmlose Drohungen. Als Kaufmann jedoch telefonisch am 02.04.95 eine Morddrohung gegen Frau Mertens äußerte und diese daraufhin einen Nervenzusammenbruch erlitt, wurde vom Ehemann der Frau die Polizei verständigt. Eine Strafanzeige wegen fortgesetzter Beleidigung und Bedrohung wurde aufgenommen.

Bis zu diesem Zeitpunkt war der Täter Frau Mertens nur mit dem Vornamen bekannt. Sie wußte, daß er ihren Namen und die Adresse aufgrund des Autokennzeichens erhalten hatte. Die Telefonnummer hatte er daraufhin selbständig dem Telefonbuch entnommen.

Da wegen der Bekanntgabe von Halterdaten der Verdacht eines Vergehens nach dem Bayerischen Datenschutzgesetz bestand, ermittelte die Münchner Polizei gleichzeitig wegen dieses Tatbestands. Schon frühzeitig dachte man an Beamte oder Angestellte der Münchner Zulassungsstelle. Um die Personalien des Unbekannten zu erfahren, veranlaßte die Münchner Polizei die Auswertung des Protokollbestandes am Hauptrechner der Zulassungsstelle.

Zusammenfassung der Kapitel

1. Übersicht: Die Einleitung erläutert die Zielsetzung der Studie, im Bereich der Computersicherheit das Aufzeichnen und Auswerten von Aktionen als automatisierten Prozess (Auditing) zu etablieren.

2. Einführung: Anhand eines Praxisbeispiels werden die Notwendigkeit des Auditing, regulatorische Rahmenbedingungen und die Abgrenzung zu anderen Sicherheitsmaßnahmen dargestellt.

3. Zweck der Protokollierung: Es werden zentrale Gründe für das Auditing aufgeführt, darunter Abschreckung, Beweissicherung, Fehlerfindung und die Erfüllung gesetzlicher Anforderungen.

4. Allgemeine Probleme der Protokollierung: Die Kapitel untersuchen Herausforderungen wie Platzbedarf der Daten, Rechenzeitaufwand, Schutz der Protokolldateien vor Manipulation und Schwierigkeiten bei der Auswertung im Rechnerverbund.

5. Das Aufzeichnen: Dieses Kapitel widmet sich der technischen Umsetzung der Aufzeichnung, den Intensitätsstufen sowie der Protokollierung in komplexen Datenbanksystemen und betriebssystemnahen Umgebungen.

6. Die Auswertung des Protokolls: Es wird erörtert, wie mit Online- und Offline-Methoden sowie statistischen Verfahren (wie Profilbildung) Angriffe oder Anomalien in den Protokolldaten erkannt werden können.

7. Datenstrukturen und Ablauforganisation: Das Kapitel analysiert, wie Daten effizient gespeichert und strukturiert werden müssen, um sowohl die schnelle Protokollierung als auch die gezielte Auswertung zu ermöglichen.

8. Protokollierung in bestehenden Systemen: Es erfolgt eine Bestandsaufnahme zu den Audit-Funktionalitäten marktgängiger Produkte wie CA-Unicenter, RACF, ORACLE oder BS2000.

9. Anforderungen an ein Auditsystem: Der Teil definiert die globalen Anforderungen an ein neues Auditsystem, inklusive Hardware- und Softwarevorgaben sowie der benötigten Funktionalität für den Sicherheitsbeauftragten.

10. Andere Entwicklungen: Ein historischer Rückblick auf Expertensysteme und Ansätze wie das ISOA-Projekt ordnet die Arbeit in den wissenschaftlichen Kontext ein.

11. Das Datenmodell des Auditsystems: Das Kapitel erläutert das logische Datenmodell für Protokoll- und Profildatensätze mittels ER-Diagrammen.

12. Die Schnittstellen: Hier wird die benutzerfreundliche Oberfläche für den Administrator sowie die technische Schnittstelle für Anwendungsentwickler beschrieben.

13. Funktionale Eigenschaften des Auditsystems: Es werden die zentralen Prozesse wie Steuerung, Online-Auswertung und die Integration mobiler Geräte (Notebooks) detailliert dargestellt.

14. Szenarien: Anhand konkreter Geschäftsprozesse wie einer lokalen Anmeldung oder einer Netzauswertung wird das Zusammenspiel der Systemkomponenten praxisnah durchgespielt.

15. Zusammenfassung: Die Arbeit schließt mit einer Reflexion über die gewonnenen Erkenntnisse zur Synergie von Zugriffsschutz und automatisiertem Auditing.

Schlüsselwörter

Auditing, Protokollierung, Computersicherheit, Zugriffsschutz, Angriffserkennung, Profildatensätze, Protokolldatensätze, IT-Sicherheit, Datenmodell, Online-Auswertung, Fehlerfindung, Beweissicherung, Datenschutz, Datenbank-Logs, Systemüberwachung.

Häufig gestellte Fragen

Worum geht es in dieser Arbeit grundsätzlich?

Die Diplomarbeit behandelt das Konzept des "Auditing" zur Steigerung der Computersicherheit, wobei der Fokus auf dem automatisierten Aufzeichnen und Auswerten sicherheitskritischer Aktionen in vernetzten Rechnersystemen liegt.

Was sind die zentralen Themenfelder der Untersuchung?

Zentrale Themen sind die theoretischen Grundlagen des Auditing, die Abgrenzung zum Zugriffsschutz, die technische Auswertung von Protokolldaten, die Modellierung von Anwenderprofilen zur Anomalieerkennung sowie die praktische Entwurfskonzeption eines Auditsystems.

Was ist das primäre Ziel der Arbeit?

Das primäre Ziel ist der Fachentwurf eines Auditsystems, das durch die automatisierte Analyse von Auditdaten in der Lage ist, Angriffe oder Regelverstöße frühzeitig zu erkennen, zu bewerten und Gegenmaßnahmen auszulösen.

Welche wissenschaftliche Methode wird primär verwendet?

Es werden verschiedene Methoden der Informatik angewendet, darunter Systemanalyse, Entwurf von relationalen Datenmodellen mittels ER-Diagrammen, statistische Verfahren zur Profilbildung (z.B. Standardabweichungen) und der Entwurf von Mensch-Maschine-Schnittstellen (Maskenabläufe).

Was wird im Hauptteil der Arbeit behandelt?

Der Hauptteil gliedert sich in eine theoretische Einführung in Protokollierungsarten, eine Analyse bestehender Softwareprodukte, die Erstellung eines detaillierten Datenmodells, den Entwurf von Systemoberflächen und eine detaillierte Szenario-Betrachtung der Systemfunktionalität.

Welche Schlüsselbegriffe definieren die Arbeit?

Die Arbeit ist durch Begriffe wie "Auditing", "Protokolldatenbestand", "Profildatensätze", "Gefahrenstufe" und "Echtzeitauswertung" charakterisiert.

Wie wird im Entwurf mit dem Problem der Massendaten umgegangen?

Das System nutzt ein zweistufiges Speicherverfahren mit einem Event-Log für kritische Ereignisse und einer normalen Auditdatei. Zudem wird die Datenstruktur durch den Einsatz von Zeigern auf Tabellen optimiert, um den Platzbedarf gering zu halten.

Wie unterscheidet sich die Online- von der Offline-Auswertung?

Die Online-Auswertung zielt auf die sofortige Erkennung und Unterbindung von Angriffen während des Betriebs ab, während die Offline-Auswertung der nachträglichen Analyse und Beweissicherung bei bereits bekannten Schadensfällen dient.

Ende der Leseprobe aus 155 Seiten - nach oben

Details

Titel: Computersicherheit: Protokollierung und Auswertung
Hochschule: FernUniversität Hagen (Fachbereich Informatik)
Note: 1,7
Autor: Oliver A. Herzog (Autor:in)
Erscheinungsjahr: 1997
Seiten: 155
Katalognummer: V65
ISBN (eBook): 9783638100465
Dateigröße: 864 KB
Sprache: Deutsch
Schlagworte: Computersicherheit IT-Sicherheit IT-Security Protokollierung Auditing Auswertung
Produktsicherheit: GRIN Publishing GmbH
Preis (Ebook): US$ 45,99

Arbeit zitieren: Oliver A. Herzog (Autor:in), 1997, Computersicherheit: Protokollierung und Auswertung, München, Page::Imprint:: GRINVerlagOHG, https://www.diplomarbeiten24.de/document/65