Nicht nur für KRITIS- oder NIS2-Umgebungen ist es wichtig, einen vollumfänglichen und auf Rohdaten basierenden Syslog ausreichend lange vorzuhalten. Die Möglichkeit zu haben, auf historische Logs zugreifen zu können, wird häufig erst dann gesehen, wenn es zu spät ist. Es gibt viele Szenarien, die einen solchen Zugriff nötig machen. Angefangen zur Unterstützung bei der Fehleranalyse bis hin, um bei Cyberattacken den Forensik Teams ausreichend (Roh) Daten zur Verfügung stellen zu können.
Der primäre Anspruch an einen solchen Syslog ist es, Logdaten für eine ausreichend lange Zeit mit entsprechender Kapazität aufzunehmen und sicher zu speichern. Was erst einmal einfach klingt, ist auf den zweiten Blick schon etwas anspruchsvoller. Ein Syslog kommt traditionell aus der UNIX-Welt und somit liegt es nahe, ein Linux System für diesen Zweck zu verwenden. Grundsätzlich ist dies eine gute Wahl, stellt sich jetzt aber die Frage nach der geeigneten Distribution, dem Syslog-Dienst, der Partitionierung und der Wahl des geeigneten Dateisystems. Die Logdateien sollten auf einem Dateisystem liegen, welches Prüfsummen für Daten und Metadaten nutzt und somit einen entsprechenden Schutz bei einer langen Aufbewahrungszeit bietet. Da Logdatei selbstverständlich auch unter die DSGVO fallen, gilt es hier entsprechende Dinge im Vorfeld zu klären. Die Daten haben eine ganz klare Zweckbestimmung und die Aufbewahrungszeit ergibt sich aus diversen Faktoren. Das BSI hat ermittelt, dass eine Cyberattacke unter Umständen erst nach über zwei Jahren auffallen kann, woraus sich ergibt, wie lange die Daten mindestens sicher aufbewahrt werden müssen, damit diese im Fall der Fälle auch zur Aufklärung beitragen können. Durch die Zweckbestimmung als forensische Daten darf es natürlich keine automatische Auswertung geben und die Nutzung der Daten nur hinsichtlich ihrer Zweckbestimmung erfolgen. Bei KRITIS oder NIS2 ergibt sich die Pflicht, einen solchen Syslog durch die gesetzlichen Vorgaben an den Betreiber solcher Anlagen.
Der Betrieb des Syslogs beinhaltet auch dessen Sicherung und es ist der Betrieb so zu gestalten, dass ein potentieller Angreifer keine Möglichkeit hat, Daten des Syslogs zu manipulieren oder gar zu löschen. Das System auf dedizierter Hardware zu betreiben, sollte ebenfalls mit in Betracht gezogen werden. Damit besteht die Möglichkeit, noch Syslog Meldungen zu verarbeiten, wenn die primäre Infrastruktur schon gestört ist. In diesem Fall lassen sich dann in den Logfiles Hinweise auf den Grund des Ausfalls oder der Störung finden, die sonst nicht existieren würden. Als Synergieeffekt eines solchen Syslog bzw. eines hierarchischen Aufbau von Syslog Systemen, kann der Syslog dazu genutzt werden, die so gesammelten Daten zentral an ein SIEM zu übergeben, ohne dass diese mehrfach übertragen werden müssen. Betreiber von KRITIS Anlagen erfüllen somit gleich zwei Anforderungen, den Betrieb eines zentralen Syslog und den eines SIEM, ohne den doppelten Aufwand und zusätzlicher Last bei den Datenquellen. Gerade im OT-Bereich muss mit den Ressourcen der Komponenten entsprechend sorgfältig umgegangen werden, da deren Hauptaufgabe die Steuerung der Anlage ist.
Auch wenn einige noch den Betrieb von zentralen Syslog Systemen nur als “Spielzeug” der IT sehen oder generell keinen Nutzen darin sehen, weil ein solches System ja nicht primär für den Betrieb der Infrastruktur und somit für die Wertschöpfungskette beiträgt, ist dieser wichtiger als man glaubt. Hier können wir aus Erfahrung sprechen, alleine bei den Fällen, bei denen wir zur Unterstützung nach einer Cyberattacke hinzugebeten wurden. Einer der ersten Fragen war und ist immer: Gibt es Logdateien, wenn ja welche und wie lange reichen diese zurück? Handelt es sich dabei um Rohdaten und wurden diese schon in einem System, wie einem SIEM, verarbeitet? Natürlich nimmt ein Forensik Team das, was es bekommen kann, aber Rohdaten sind immer bevorzugt, denn hier kann das Team mit seinen Analysetools die Daten verarbeiten und somit auch schneller die Analyse abschließen. Denn wenn ein Unternehmen nach einer Cyberattacke stillsteht, ist Zeit ein sehr kostbares Gut und viele wünschen sich spätestens dann, entsprechende Log-Daten vorgehalten zu haben.