dark

Durchdachtes Log-Management für Industrie 4.0

Avatar

Log- und Protokollmanagement ist eine oft wenig beachtete, aber dennoch eine der dringlichsten Herausforderungen zur Absicherung von IT-Strukturen. Dieser Artikel zeigt ein Best Case in Form eines Sicherheitskonzeptes über zehn Etappen und bedient sich dabei zur Veranschaulichung aus der Industrie 4.0-Themenwelt.

Sichere Identitäten gelten als wesentlicher Ausgangspunkt für Sicherheitsketten, welche die Datenerhebung, Datentransport und Datenverarbeitung auf Hardware-, Software- und Prozess-Ebene absichern. Damit bilden sie die Voraussetzung für viele weitere Schutzmaßnahmen, die Unternehmen in puncto Datensicherheit ergreifen sollten, um sich compliant und wettbewerbsfähig aufzustellen. Denn klar ist: Sobald es einem Angreifer gelingt, sich unberechtigt einer Identität zu bemächtigen, laufen alle darauf aufbauenden Maßnahmen wie zum Beispiel der Zugriffsschutz ins Leere. So bietet die Gewährleistung sicherer Identitäten über automatisierte Kommunikation ein solides Startglied in der Vertrauenskette. Mit der Einführung eines Sicherheitsprozesses leiten IT-Verantwortliche die notwendigen organisatorischen Veränderungen ein, definieren eine Strategie und nutzen Hilfsmittel zur Erreichung der Sicherheitsziele.

Log-Management in der Industrie 4.0

Log-Management ist ein wesentlicher Bestandteil des Managementsystems für Informationssicherheit (ISMS) und eine der dringlichsten Aufgaben bei der sicheren Ausgestaltung von ITK-Systemen. Hier genießt die Sicherstellung der Authentizität des jeweiligen Nutzers oberste Priorität. Pharmazie, Lebensmittelbranche und chemische Industrie achten seit jeher darauf. Organisationen wie die Food and Drug Administration (FDA) in den USA und die europäische Verordnung REACH (Registration, Evaluation, Authorisation and Restriction of Chemicals) aus dem Jahr 2007 haben in diesen Branchen zu einer erheblichen Regulierung geführt, die wiederum eine Nachvollziehbarkeit der Frage „Wer hat wann, wie, mit welcher Charge der Substanz, an welchem Produktionsschritt mitgearbeitet?“ impliziert. Folglich ist die persönliche Anmeldung eines Mitarbeiters an einer Anlage der chemischen Industrie durchaus üblich, während andere Industrien diese Ansätze bisher nicht verfolgten. Mögliche Gründe sind Vorbehalte gegenüber vermuteter Arbeitnehmerüberwachung oder technische Probleme.

Fakt ist, dass die Nachvollziehbarkeit von Handlungen und eine persönliche Zuordenbarkeit nur durch die Nutzung persönlicher Nutzerkonten an den Anlagen und Maschinen sowie den Bedienrechnern erreicht werden können. Dies erfordert wiederum die Verwaltung einer weitaus größeren Zahl an Konten, die bisher eher nur zwischen Einrichter, Instandhalter und Nutzer unterschieden haben. Diese Personalisierung der Benutzerkonten führt wiederum zum Bedarf, diese auch auf einer Vielzahl von Anlagen und Maschinen parallel und effizient zu verwalten. Zumindest sollte eine persönliche Zuordenbarkeit auf Ebene der Fachanwendung möglich sein, wenn der Zugang zu den Betriebssystemen aus technischen Gründen nicht personalisiert werden kann oder soll.

Letztlich ist nicht auszuschließen, dass es zu Unregelmäßigkeiten oder offensichtlich missbräuchlicher Nutzung von Anlagen und Applikationen kommt. Hier müssen Administratoren detailliert nachverfolgen können, wer wann, wo zugegriffen und wer wann, wo, welche Änderungen vorgenommen hat. Dies setzt jedoch voraus, dass die Anwendung entsprechend detaillierte Log-Meldungen erzeugt, diese speichert und sie auch über längere Zeitfenster möglichst unveränderbar zentral vorhält. Im Sinne einer in der IT üblichen Log-Zentralisierung erweisen sich Funktionen zur direkten, zugriffgeschützten Speicherung der Logs auf einem zumindest logisch abgesetzten Log-Management-Server als sinnvoll. Idealerweise beachten Entscheider hier Standardformate, wie sie etwa durch Syslog, Log Event Extended Format (LEEF), Common Event Format (CEF), DMTF’s Common Information Model (CIM) oder Cloud Auditing Data Federation (CADF) vorgegeben werden. Dies erleichtert die zentrale Auswertung und Korrelation von Meldungen und ermöglicht die Definition zentraler Schwellenwerte (thresholds). Dazu gehört auch die Alarmierung der IT-Sicherheit, falls mit einem Benutzerkonto mehrfach innerhalb kurzer Zeit an diversen Geräten erfolglose Zugriffsversuche unternommen werden. Diese Benachrichtigung erfolgt am besten vornehmlich über die Nutzung von sogenannten Security-Information-&-Event-Management-(SIEM)-Lösungen. In diesem Zusammenhang sollten Entscheider eine skalierbare Lösung wählen, da zum einen wirklich umfangreiche Datensammlungen entstehen können und Angreifer zum anderen mit DDoS-Attacken bewusst die Grenzen solcher Systeme ausloten, um unprotokollierten Schabernack zu treiben.

Die Notwendigkeit des Log-Managements ergibt sich aus dem Dreiklang von gesetzlichen Auflagen, notwendiger Analyse der Sicherheitsvorfälle und kontinuierlichen Analyseprozessen wie bei der Hardware- und Softwareentwicklung. Dabei folgt effizientes Log-Management stets diesem Prozess:

Annahme -> Verarbeitung -> Auswertung -> Visualisierung

Jeder am Log-Management Beteiligte sollte verstehen, dass sich hinter dem Begriff ein Prozess und kein Produkt verbirgt. Dementsprechend liegt im Wissensmanagement, im internen Aufbau von Logging-Knowhow, der wahre Benefit. Dazu gehören zwangsläufig der Aufbau von Strukturen, die Definition aller personenbezogener Daten im Betrieb, eine sinnhafte Archivierung der Protokolle sowie eine übergreifende Konzernbetriebsvereinbarung (KBV).

Vom Log- zum Protokollmanagement

In den letzten zehn Jahren hat die Weiterentwicklung verteilter Systeme neue Komplexitäten in der Verwaltung von Protokolldaten geschaffen. Heutige Systeme können Tausende von Serverinstanzen oder Microservice-Container enthalten, die jeweils ihre eigenen Protokolldaten erzeugen. Mit der raschen Entstehung und Dominanz von cloudbasierten Systemen erleben wir ein explosionsartiges Wachstum maschinell generierter Protokolldaten. Infolgedessen ist das Protokollmanagement zu einem Grundpfeiler moderner IT-Operationen geworden und unterstützt eine Reihe von Anwendungsfällen wie Debugging, Produktionsüberwachung, Leistungsüberwachung, Support und Fehlerbehebung. Da kann es in der Praxis durchaus vorkommen, dass Unternehmen bis zu einem halben Petabyte Daten prozessieren müssen.

Ein ideales Log-Szenario in 10 Schritten

Während verteilte Systeme eine hohe Effizienz in Bezug auf die Skalierbarkeit bieten, stellen sie Teams, die sich auf Protokolldaten beziehen, vor Herausforderungen: Wo sollen sie anfangen und welchen Aufwand benötigen sie, um die benötigten Protokolldateien zu finden? IT-Administratoren, DevOps-Profis und Mitarbeiter, die den protokollerstellenden Systemen am nächsten stehen, haben die Aufgabe dezentrale Protokolldateien unter Einhaltung von Sicherheits- und Complianceprotokollen zu verwalten. Entwickler und Ingenieure, die Probleme auf Anwendungsebene beheben müssen, könnten sich durch den Zugriff auf Protokolldateien auf Produktionsniveau eingeschränkt fühlen. Betriebs-, Entwicklungs-, Datenwissenschaftler- und Support-Teams, die Einblicke in das Benutzerverhalten für Trendanalysen und Fehlerbehebungen benötigen, fehlt oft das technische Fachwissen, um Protokolldaten effizient zu nutzen. Angesichts dieser Herausforderungen ist es wichtig, bei der Implementierung einer Protokollierungslösung für Unternehmen, Best Practices unbedingt zu berücksichtigen.

1. Festlegung der Strategie

Kein Mitarbeiter sollte sich blind einloggen. Vor jedem Logvorgang muss vielmehr die sorgfältige Überlegung stehen, was der Anwender protokollieren möchte und warum. Die Protokollierung muss, wie jede wichtige IT-Komponente, eine Strategie verfolgen. Schon bei der Strukturierung des DevOps-Setups und selbst bei der Veröffentlichung jeder neuen Funktion, achten IT-Leiter oder IT-Administratoren im Idealfall darauf, dass sie einen organisierten Protokollierungsplan beifügen. Ohne eine klar definierte Strategie kann die Menge permanent anwachsender Protokolldaten ausschließlich manuell verwaltet werden, was letztendlich den Prozess der Identifizierung wichtiger Informationen erschwert. Dieser Plan sollte auch Hinweise beinhalten, ob personenbezogene Daten, Archivierungsanforderungen oder Ähnliches involviert sind. Ein Tipp am Rande: Wenn eine IP angegeben ist geht die Rechtsprechung fast immer davon aus, dass die EU-DSGVO im Spiel ist.

Bei der Entwicklung einer Logging-Strategie sollten Verantwortliche definieren was aus Unternehmenssicht am wichtigsten ist und welchen Wert sie von den Logs erwarten. Ein guter Plan enthält Protokollierungsmethoden und -werkzeuge, Datenhosting-Standorte und vor allem eine Vorstellung von den spezifischen Informationen, nach denen Mitarbeiter suchen.

2. Strukturierung der Logdaten

Parallel zur Entwicklung einer Protokollierungsstrategie ist es wichtig, das Format der Protokolle zu berücksichtigen. Wer effektive Protokollierungsformate nicht versteht, kann aus den hinterlegten Informationen keine Erkenntnisse gewinnen. Logstrukturen sollten klar und verständlich sein, sowohl aus der Sicht des Menschen als auch aus der Sicht der Maschine. Lesbare Protokolle machen potenzielle Fehlerbehebungen einfacher. Die Simplifizierung ermöglicht es zudem, dass Protokollverwaltungsdienste die Informationen weiterverarbeiten. Bessere Analysemöglichkeiten und Optionen zu Datenvisualisierungen sind die positiven Folgen. Zwei gängige Protokollstrukturierungsformate sind JSON und KVP (Key Value Pair). Beide liefern kohärente Protokolldaten für das menschliche Verständnis und ermöglichen es Protokollierungssoftwarelösungen Informationen aus einem semistrukturierten Format zu extrahieren.

3. Protokolldaten separieren und zentralisieren

Protokolle sollten immer automatisch gesammelt und an einen zentralen Ort geschickt werden – getrennt von ihrer Produktionsumgebung. Die Konsolidierung von Protokolldaten erleichtert die organisierte Verwaltung und erweitert die Analysefunktionen, sodass Verantwortliche Cross-Analysen effizient durchführen und Korrelationen zwischen verschiedenen Datenquellen identifizieren können. Die Zentralisierung von Protokolldaten reduziert auch das Risiko des Datenverlusts in einer Umgebung mit automatischer Skalierung.

Eine Weiterleitung von Protokolldaten an einen zentralen Ort ermöglicht es Systemadministratoren, Entwicklern, QS- und Support-Teams den Zugriff auf die Daten zu gewähren, ohne Zugang zu Produktionsumgebungen bereitzustellen. Dadurch können diese Teams Protokolldaten verwenden, um Probleme zu beheben, ohne das komplette Projekt zu gefährden. Die Replikation und Isolierung von Protokolldaten minimiert auch das Risiko, dass Angreifer Protokolldaten löschen, um Sicherheitsverletzungen zu verbergen. Selbst wenn das System gefährdet ist bleiben die Protokolle intakt.

4. Anwendung von End-to-End-Protokollierung

Um häufig auftretende Komplexitäten bei der Fehlerbehebung zu überwinden und eine ganzheitliche Sicht auf Anwendungen und Systeme zu erhalten, sollten Systemadministratoren alle Systemkomponenten überwachen und protokollieren. IT-Mitarbeiter sollten daran denken aus Server-Protokollen wie zum Beispiel Windows-Sicherheitsprotokollen zu protokollieren. Ebenso wichtig ist jedoch die Protokollierung aller relevanten Metriken und Ereignisse aus der zugrunde liegenden Infrastruktur, den Anwendungsschichten und den Endbenutzer-Clients.

Die End-to-End-Protokollierung ermöglicht es, die Leistung der Systeme aus Sicht des Endnutzers zu verstehen. Dies gelingt, wenn Systemadministratoren Faktoren wie Netzlatenz, Seitenladezeiten und Verzögerungen bei Datenbanktransaktionen berücksichtigen. Die hierdurch erzeugte Transparenz gewährleistet eine nahtlose Benutzerführung.

5. Datenquellen verknüpfen

Die End-to-End-Protokollierung an einem zentralen Ort ermöglicht es Verantwortlichen, Datenströme aus diversen Quellen wie Anwendungen, Servern, Middleware, Benutzern und Content Delivery Networks (CDNs) dynamisch zu aggregieren, um die wichtigsten Trends und Kennzahlen in Beziehung zueinander zu setzen. Die Korrelation von Daten unterstützt dabei Ereignisse, die Systemstörungen verursachen, schnell und sicher zu identifizieren und zu verstehen. So kann beispielsweise das Aufdecken von Echtzeit-Korrelationen zwischen der Nutzung von Infrastrukturressourcen und Anwendungsfehlerraten helfen, Anomalien zu identifizieren und zu reagieren, bevor Endnutzer betroffen sind.

6. Eindeutige Identifikatoren verwenden

Eindeutige Identifikatoren nützen im Debugging, Support und bei Analysen. Sie erlauben es, komplette Benutzersitzungen und Aktionen einzelner Benutzer genau zu verfolgen. Wenn IT-Mitarbeiter die eindeutige ID eines Benutzers kennen, können sie die Suche nach allen Aktionen filtern, die dieser Benutzer in einem bestimmten Zeitraum durchgeführt hat. Bei einer Aufschlüsselung seiner Aktivität lässt sich eine gesamte Transaktion vom ersten Klick bis zur ausgeführten Datenbankabfrage verfolgen.

7. Kontext hinzufügen

Sobald Protokolle als Daten verwendet werden, ist es wichtig den Kontext jedes Datenpunkts zu berücksichtigen. Zu wissen, dass ein Werker auf eine Schaltfläche geklickt hat, ist möglicherweise nicht so nützlich, wie zu wissen, dass er beispielsweise gezielt auf die Schaltfläche „Verbrauchsmaterial bestellen“ geklickt hat. Das Hinzufügen eines weiteren Kontextes kann die Art der Aktion offenbaren. So kann bei einer Maschine nach Überschreiten eines Schwellenwertes automatisch ein Techniker angefordert werden, wenn die Protokolldaten einen Verschleiß der Maschine offenbaren. Wenn der Klick des Mitarbeiters zu einem Fehler geführt hat, erleichtert der verfügbare Kontext eine schnellere Lösung.

8. Echtzeit-Überwachung durchführen

Serviceunterbrechungen haben im Endkundengeschäft eine Vielzahl unglücklicher Folgen – darunter unzufriedene Kunden, verlorene Käufe und fehlende Daten. Wenn in der Industrie Probleme auf Produktionsniveau auftreten, kann eine Echtzeitüberwachungslösung entscheidend sein, da oftmals jede Sekunde zählt. Neben einfachen Benachrichtigungen entscheidet die Fähigkeit, Probleme zu untersuchen und wichtige Informationen in Echtzeit zu identifizieren. Eine „Live-Tail“-Sicht auf ihre Protokolldaten kann Entwickler und Administratoren befähigen Protokollereignisse nahezu in Echtzeit zu analysieren, wenn Benutzer mit ihren Anwendungen oder Systemen interagieren. Die Live-Tail-Suche und Berichterstattung ermöglicht es zudem den Support-Teams, Kundenprobleme zu untersuchen und zu lösen, sobald sie auftreten.

Fehlerbehebung und Debugging verkratzen nur die Oberfläche der Protokolldaten. Während Protokolle früher als schmerzhafte, letzte Möglichkeit galten Informationen zu finden, können die heutigen Protokollierungsdienste jeden, vom Entwickler bis zum Datenwissenschaftler, befähigen nützliche Trends und wichtige Erkenntnisse aus ihren Anwendungen und Systemen zu identifizieren.

Die Behandlung von Protokollereignissen als Daten schafft die Möglichkeit, statistische Analysen zukünftig auch mit künstlicher Intelligenz (KI) auf Benutzerereignisse und Systemaktivitäten anzuwenden. Die Berechnung von Durchschnittswerten hilft, anomale Werte besser zu identifizieren. Die Gruppierung von Ereignistypen und Summenwerten ermöglicht es zudem, Ereignisse über die Zeit zu vergleichen. Diese Einblicke öffnen die Tür zu besser fundierten Geschäftsentscheidungen auf der Grundlage von Daten, die außerhalb der Protokolle oft nicht verfügbar sind.

10. Das gesamte Team stärken

Ein Protokollverwaltungs- und Analysedienst, der nur einem hochtechnisierten Team zugänglich ist, schränkt die Möglichkeiten des Unternehmens, von Protokolldaten zu profitieren, erheblich ein. Protokollmanagement- und Analysetools sollte Entwicklern Live-Tail-Debugging, Administratoren Echtzeitalarmierung, Datenwissenschaftlern aggregierte Datenvisualisierungen und Support-Teams Live-Such- und Filterfunktionen bieten, ohne dass jemand jemals auf die Produktionsumgebung zugreifen muss.

Pierre Gronau

Pierre Gronau ist seit über 25 Jahren für namhafte Unternehmen als Senior IT-Berater mit umfangreicher Projekterfahrung tätig. Zu seinen Kompetenzfeldern gehören Server-Virtualisierungen, IT-Sicherheit, moderne Cloud- und Automationslösungen sowie Informationsschutz.

Total
0
Shares
Previous Post

Prototyping spart Zeit und Kosten

Next Post

Die Tücken des Cloud-Computing

Related Posts