Cisco führte im Jahr 2005 die 5500 Serie der Adaptive Security Appliances, kurz ASA, ein. Mit den vier Zeilen aus Listing 1 lässt sich eine Protokollierung aktivieren, die nur noch die interne IP-Adresse des Rechners, die NAT-IP und den NAT-Port der Verbindung der ASA protokolliert. Da in den Warnmeldungen des DFN der Quellport der Verbindungen angegeben wird, lässt sich mit dieser Information der interne Rechner identifizieren. In Listing 2 sind die Protokoll-Einträge zu sehen, die zur Warnmeldung aus Abbildung 1 gehören. Der datenschutzrechtliche (und beschäftigtenfreundliche) Vorteil dieses Verfahrens ist, dass der Inhalt der Protokoll-Datei völlig wertlos ist, solange es keine Beschwerden von Externen gibt. Es kann lediglich ausgewertet werden, wie viele Verbindungen ein Rechner aufgebaut hat. Da die Ziel-IP und der Zielport fehlen, sind keine weiteren Auswertungen möglich.
Listing 1
Protokollierung auf einer Cisco ASA
Listing 2
Logeinträge des NAT-Gateway
Listing 1 zeigt die Konfiguration einer Cisco ASA, um das beschriebene Protokoll zu generieren. In der zweiten Zeile wird die Nummer der Loginformation angegeben, die zusätzlich protokolliert werden soll. In der letzten Zeile wird das Logging auf einen Syslog-Server (193.aaa.bbb.ddd) konfiguriert. Hier werden zusätzlich das Protokoll (17 = UDP) und der Zielport (1514) angegeben.
Die Zuordnung der Einträge aus dem NAT-Gateway ( Listing 2 , ASA mit Version 8.2) zur Warnmeldung aus Abbildung 1 erfolgt über die Quellports. Über den Quellport wird dann die interne IP aufgedeckt. Die Uhrzeit in diesem Log ist in Mitteleuropäischer Zeit (GMT+0100) angegeben.
Eine Mitarbeitervertretung tut sich leicht, einem solchen Protokoll zuzustimmen, da letztendlich keine Überwachung der Beschäftigten möglich ist. Erst eine Beschwerde oder Warnmeldung liefert die Zusatzinformation, die erforderlich ist, um eine konkrete Verbindung aufzudecken. Und in diesen Fällen ist es dann auch zwingend erforderlich, den Vorfall zu verfolgen.
Manchmal kommt eine Beschwerde, die keine Quellports beinhaltet. Ein Apache Web-Server protokolliert zum Beispiel typischerweise nur die Quell-IPs und nicht die Quellports. Da aber das Protokoll eines solchen Abrufs in der Regel mehrere Verbindungen beinhaltet, kann über die zeitlichen Abstände der Verbindungen zueinander in den meisten Fällen der interne Rechner identifiziert werden. Die zeitlichen Abstände der Verbindungen eines Abrufs sind dafür individuell genug, sodass sie eindeutig gefunden werden können. Dieses Verfahren hat sogar noch den Vorteil, dass es keine wirklich synchronisierten Uhren auf beiden Seiten benötigt. Ein eventueller Offset der Uhren der beteiligten Rechner fällt beim Bilden der Zeitdifferenzen heraus.
IT-Sicherheit und Datenschutz sind bei sachgerechter Anwendung der Protokollierung (unter Maßgabe der Erforderlichkeit, das heißt die Daten sind tatsächlich nötig) kein Widerspruch. Mit ein bisschen Kreativität lassen sich sehr datenschutzfreundliche Lösungen finden. Diese Lösungen schützen die Beschäftigten vor permanenter Überwachung und stellen gleichzeitig den IT-Sicherheitsbeauftragten zufrieden, da er Sicherheitsvorfälle aufklären kann. Datenschutz und IT-Sicherheit müssen kein Widerspruch sein. ( jcb )