Bundesamt für Sicherheit in der Informationstechnik

G 3.116 Fehlende Zeitsynchronisation bei der Protokolldatenauswertung

Wenn in einem Informationsverbund die Zeit nicht auf allen IT-Systemen synchronisiert wird, können die Protokolldaten unter Umständen nicht miteinander verglichen werden, da die unterschiedlichen Zeitstempel von Ereignissen keine gemeinsame Basis aufweisen. So kann beispielsweise die Korrelation einer Regelverletzung bei einem Sicherheitsgateway (Firewall) mit fehlgeschlagenen Anmeldeversuchen missglücken. Diese Gefahr besteht besonders, wenn eine zentrale Protokollierung eingesetzt wird. Ohne gemeinsame Zeitbasis sind Meldungen von unterschiedlichen IT -Systemen nicht miteinander korrelierbar.

Die Zeit- und Datumseinstellungen bei einer Zeitstempelfunktion hängen sehr oft von der regionalen Einstellung ab. So wird beispielsweise im angelsächsischen Raum das Datum in der Schreibweise MM/DD/YYYY (Monat/Tag/Jahr, z. B. (05/09/2009) angegeben. Dies kann bei einer automatischen Auswertung, wie beispielsweise durch ein IT-Frühwarnsystem, zu Fehlinterpretationen führen.

Des Weiteren fehlt, vor allem bei Unix-Systemen, oft die Angabe einer Jahreszahl in den Protokolldateien. Dies ist besonders problematisch im Bezug auf die Beweiskraft der Daten, wenn weiter zurückliegende Ereignisse betrachtet werden müssen und diese zeitlich nicht eingeordnet werden können.

Beispiele

  • In einem Informationsverbund wird ein zentraler Protokollierungsserver in Betrieb genommen. Das gesamte Netz erhält seinen Zeittakt von einem internen NNTP -Server im LAN . Der Informationsverbund wird mehrfach Ziel von Angriffen, bei denen der NTP-Server kompromittiert wird. Auf diese Weise wird die Uhrzeit, die der NTP-Server verteilt, geändert, sodass die restlichen IT-Systeme über eine unterschiedliche Uhrzeit als der Protokollierungsserver verfügen. Dies hat zur Folge, dass die Protokolldaten der IT-Systeme inkonsistent sind und sich nicht mehr untereinander vergleichen lassen.
  • Ein deutsches Unternehmen integriert ein neues Sicherheitsgateway (Firewall), das im außereuropäischen Ausland entwickelt und hergestellt wurde, in seinen Informationsverbund. Da im Unternehmen alle IT-Systeme und Anwendungen mithilfe eines IT-Frühwarnsystems überwacht werden, wird auch dieses Sicherheitsgateway eingebunden. Am IT-Frühwarnsystem ist die Einstellung aktiv, dass alle Protokolldaten, die ein anderes Datum enthalten als das Tagesdatum, einen Alarm auslösen. Dadurch sollen mögliche Manipulationen der Protokolldaten aufgedeckt werden. Das Datum wird am Frühwarnsystem in der Form DD/MM/YY (Tag/Monat/Jahr) interpretiert. Die Protokolldateien des neuen Sicherheitsgateways liefert Datumseinträge allerdings im Format MM/DD/YY (Monat/Tag/Jahr). Dies führt dazu, dass das Sicherheitsgateway bereits am ersten Tag, an dem es in das IT-Frühwarnsystem integriert ist, eine große Menge an Fehlalarmen produziert.

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK