Audit Trail - volle Kontrolle

Patrik Bless ist Security Engineer von Open Systems, Zürich.

Eine IT-Umgebung ist eine dynamische Sache: Sie lebt und entwickelt sich weiter - in alle erdenklichen Richtungen. Gewisse Änderungen können geplant, andere müssen schnell und pragmatisch in die Systemlandschaft integriert werden. Zudem stellen immer mehr interne und externe Audits basierend auf neuen Regulatorien hohe Anforderungen an ein solides System zur Erfassung von Infrastrukturanpassungen.

Dennoch müssen der Security oder Compliance Officer sicherstellen, dass alles korrekt dokumentiert und nachvollziehbar ist. Für diese Aufgabe bietet der sogenannte «Audit Trail» eine wichtige und notwendige Unterstützung im täglichen Betrieb. Die Idee des Audit Trails stammt aus der Finanzbuchhaltung. Dort wird er zur Validierung von Buchungen benutzt. Die verschiedenen Zu- oder Abgänge müssen lückenlos überwacht werden und nachvollziehbar sein. Nur so ist eine optimale Transparenz für das interne Controlling und die externe Überwachung gewährleistet.

Im IT-Bereich treffen wir oft ähnliche Situationen an. Sei es im Zusammenhang mit der Dokumentation eines Netzwerk-Layouts oder den verschiedenen Regeln einer Firewall: Überall handelt es sich jeweils um Komponenten, die einem ständigen Wandel unterworfen sind. Bei kleinen Teams sind die Wege oft vermeintlich kürzer. Eine lückenlose Dokumentation und Änderungshistorie scheint deshalb auf den ersten Blick überflüssig. Doch der Schein trügt: Mag dies über lange Zeit gut funktionieren, erhöht das Nichtdokumentieren die Personenabhängigkeit ungemein. Gerade wenn es um kritische Prozesse oder Infrastrukturen geht, muss zwingend eine Redundanz geschaffen werden, mit der auch Personalabgänge und -ausfälle überbrückt und verkraftet werden können.

Ein weiterer Aspekt ist die Nachvollziehbarkeit. Es geht in den meisten Fällen nicht nur darum, weshalb eine Änderung veranlasst wurde, sondern auch darum, wer sie schluss-endlich umgesetzt hat. Im Sicherheitskontext ist dies von entscheidender Bedeutung. Auf Grund der heutigen Bedrohungslage kann eine Einstellung am falschen Ort je nach Exposition zu grossem Schaden führen. Ein Audit Trail kann dieses Risiko zwar nicht eliminieren. Er erlaubt aber eine detaillierte Analyse, falls ein solches Ereignis eintreten sollte. Auf jeden Fall soll ein Eintrag im Audit Trail - wie bei Datenbanken üblich - mit Benutzerdaten und Zeitstempel versehen sein. Dazu gehört eine Nachricht über die Hintergründe einer Anpassung. Zusätzlich können sign-off-Prozesse hinterlegt werden, womit die Verantwortung klar abgegrenzt wird.

Eine hervorragende Möglichkeit, solche Audit Trails zu dokumentieren, bieten gut ausgebaute Ticketingsysteme. Sie nehmen durch verschiedene Typen von Einträgen in einem Ticket sowohl Diskussionen als auch Entscheidungen auf. Zudem können dadurch Konfigurationsänderungen sichtbar gemacht und dokumentiert werden. Auch das Referenzieren eines solchen Tickets wird durch eine eindeutige Ticketnummer vereinfacht. Auf dem Zielsystem selbst ist es daher nicht mehr nötig, jede Änderung ausführlich zu dokumentieren, da dies im Ticket schon getan ist. Eine Referenz auf die Ticketnummer reicht aus, um die lückenlose Dokumentation und Auditierbarkeit zu gewährleisten. Dies vereinfacht die Handhabung enorm. Trotzdem kann dadurch der Audit Trail erzwungen werden, indem durch Konfigurationsmanagementsysteme die Eingabe einer Ticketnummer für die Durchführung einer Änderung vorausgesetzt wird. Ein weiterer Vorteil des Ticketings ist die zentrale Position. Anstelle verteilter Konfigurations- und Dokumentationsdateien kann ein zentraler Punkt als Referenz im Zusammenhang mit Auditing angegeben werden.