Bundesamt für Sicherheit in der Informationstechnik

M 5.172 Sichere Zeitsynchronisation bei der zentralen Protokollierung

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Bei der Protokollierung muss aufgetretenen Ereignissen eine aktuelle Uhrzeit zugeordnet werden, um die Auswertung im Nachhinein zu ermöglichen. Es ist darauf zu achten, dass alle IT-Systeme die gleiche Zeitbasis nutzen. Damit auch in einem großen Informationsverbund alle Systeme zeitsynchron sind, wird in der Regel ein zentraler Network Time Server benutzt. Dieser stellt den zentralen Zeittakt zum Beispiel über das Network Time Protokoll (NTP) zur Verfügung (siehe M 4.227 Einsatz eines lokalen NTP-Servers zur Zeitsynchronisation ). Alle weiteren Systeme im Informationsverbund synchronisieren sich über diesen externen Zeittakt.

Störungen der Zeitsynchronisation

Eine Störung der Zeitsynchronisation kann Probleme bei der zentralen Protokollierung verursachen. Zum Beispiel kann das Auftreten eines Fehler nicht mehr eindeutig dem korrekten Zeitpunkt zugeordnet werden. Möglicherweise verändert sich durch die fehlerhafte Zeitbasis auch die Abfolge von Meldungen, sodass bei der Analyse eine falsche Sequenz der Protokolldaten angezeigt wird.

Ein weiteres Problem ergibt sich, wenn in einem Informationsverbund die Zeit als Grundlage herangezogen wird, um zu überprüfen, ob vertragliche Vereinbarungen bezüglich Service Level Agreements (SLAs) eingehalten wurden. Eine fehlerhafte oder fehlende Zeitsynchronisation der IT-Systeme oder des zentralen Protokollsystems kann dazu führen, dass die Protokollierung nicht zur Beweissicherung herangezogen werden kann. Aus diesem Grund muss sichergestellt sein, dass alle Protokolldateien mit aktuellem Datum und Uhrzeit versehen werden. Hier ist zusätzlich auf eine einheitliche Darstellung der Datums- und Zeiteinstellung in der Protokolldatei zu achten. Werden die Protokolldaten automatisch ausgewertet, sollten alle Protokolldateien ein einheitliches Datums- und Uhrzeitformat enthalten, damit keine Missverständnisse bei der Analyse auftreten.

Um sicherzustellen, dass bei einer zentralen Protokollierung in einem Informationsverbund mit höherem Schutzbedarf alle beteiligten IT-Systeme immer die korrekte Uhrzeit erhalten, kann ein mehrstufiges Zeittakt-Konzept eingesetzt werden. Dabei wird die Systemzeit außer über den NTP-Dienst auch über ein DCF-Funkmodul bereitgestellt.

Prüffragen:

  • Wird die Systemzeit aller IT -Systeme im Informationsverbund synchronisiert, um Angriffe auf IT-Systeme und Anwendungen oder deren Fehlfunktionen erkennen zu können?

  • Wird darauf geachtet, dass das Datum- und Zeitformat der Protokolldateien einheitlich ist?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK