Auditing (Informationstechnik)
Beim Auditing geht es um das Protokollieren von Datensätzen, die angeben, welcher Nutzer bzw. welche Person (siehe Benutzer) in IT-Systemen zu welchem Zeitpunkt was getan hat. Die zu speichernden Datensätze beziehen sich auf sicherheitsrelevante Ereignisse in IT-Systemen. Die Protokollierung kann durch einen Audit Monitor oder durch die Geschäftslogik implementiert werden. Die Sicherung der Audit-Daten muss aber auf einem externen und geeignet gesichertem System erfolgen.
Sicherheitsaspekte
Da Auditing sicherheitskritische Operationen von Softwareprozessen aufzeichnet, muss die Operation abgebrochen werden, falls das Auditing fehlschlägt.
Zudem muss das Audit, mittels Verschlüsselung, elektronischer Signierung und ggf. kryptographischer Verkettung, kryptographisch abgesichert werden, falls vertrauliche Daten enthalten sind. Einzelne Einträge können beispielsweise als Security Event Token (SET) übermittelt und gesichert werden. Wenn die Daten kryptographisch verkettet sind, können sie nicht gelöscht werden. Stattdessen kann jedoch der kryptographische Schlüssel gelöscht werden, damit die Daten nicht mehr entschlüsselt werden können.
Da die Daten für das Auditing teilweise über Jahre hinweg aufbewahrt werden müssen, müssen diese im Gegensatz zu Logdateien sicher verwahrt werden.
Nutzen
- Ermöglicht Recherche der historischen Versionen eines Datensatzes, die bei jeder Änderung abgespeichert wurden (Sonderform der Logdatei)
- Ermöglicht die Aufarbeitung von Sicherheitsvorfällen im Rahmen der IT-Forensik.
- Durch aus dem Auditing gewonnene Kenntnissen können Sicherheitsvorfälle präventiv verhindert werden.
- Monitoring (d. H. Überwachung in Echtzeit) von Zugriffen auf sicherheitsrelevante Funktionen bzw. Daten, sofern ein entsprechendes Monitoring vorgesehen wird.
Beispiele
- Anlegen oder Löschen eines Users in einem Directory
- Änderungen der Bankverbindung eines Kunden in einer Anwendung