Gemäß Gartner werden 45 % der Unternehmen weltweit bis zum Jahr 2025 Cyber-Angriffe erleiden. Derzeit findet alle 39 Sekunden ein Cyberangriff statt. Angesichts der zunehmenden Anzahl und Komplexität von Angriffen ist die Protokollierung von Informationssystemen eine zentrale Säule der Cybersicherheit. Durch die Protokollierung kann auf Sicherheitsvorfälle reagiert, aber auch auf sie vorbereitet und ihnen vorgebeugt werden.
Nach ISO 27002 ist die Synchronisation der Uhren in einem Informationssystem unerlässlich, um die Aufzeichnung von Ereignissen zu gewährleisten und Beweise zu erzeugen.
In Frankreich weist die französische Behörde für Informationssicherheit („Agence Nationale de la Sécurité des Systèmes d'Information“ (ANSSI) unter anderem mit ihren Empfehlungen auf die Bedeutung einer effektiven Protokollierungsstrategie hin.
Die Bedeutung der Protokollierung
In einem Informationssystem ist jede Aktion ein sicherheitsrelevantes Ereignis. Deshalb muss es aufgezeichnet werden, insbesondere wenn man die Nachvollziehbarkeit von Aktionen, Dateiänderungen, Datenzugriffen usw. gewährleisten will. Diese Aufzeichnung erfolgt in Form von Protokolldateien (engl. „Logs“). Diese Dateien enthalten alle durchgeführten Aktionen, die Identität der Personen oder Einheiten, die die Aktionen durchgeführt haben, sowie den genauen Zeitpunkt, zu dem die Aktion durchgeführt wurde.
Die Protokolldateien bieten also eine solide Grundlage für die Untersuchung und Reaktion auf aufgetretene Vorfälle. Die gesammelten Daten dienen somit zu folgenden Zwecken:
- Vorfälle erkennen.
Anhand der Protokolldateien lassen sich ungewöhnliche Aktivitäten ermitteln, die häufig auf einen versuchten Cyberangriff hindeuten.
- Analyse und Nachbereitung eines Vorfalls.
Bei der sogenannten forensischen Analyse werden die Logs analysiert, um den Ablauf der Ereignisse zu verstehen und ausgenutzte Schwachstellen und Angriffsvektoren zu identifizieren.
- Einhaltung gesetzlicher Vorschriften.
Bestimmte Daten müssen im Rahmen gesetzlicher Vorschriften aufbewahrt werden (oder es ist sinnvoll, sie aufzubewahren), wie z. B. die Archivierung der Zugangsbedingungen zu bestimmten Datenbanken, die sich im Falle eines Beschwerdeverfahrens im Zusammenhang mit der DSGVO (Datenschutz-Grundverordnung) als sinnvoll erweisen.
Bewährte Verfahren für eine sichere und effiziente Protokollierung
In Frankreich bietet die ANSSI detaillierte Empfehlungen für die Verwaltung der Protokollierung. Diese lauten wie folgt:
- Die Integrität der Protokolldateien.
Es wird empfohlen, Lösungen zur Verschlüsselung und digitalen Signatur von Protokolldateien zu implementieren. Denn die erste Handlung von Hackern besteht in der Regel darin, die Protokolle zu verändern, um die Spuren ihrer Missetaten zu verwischen. Geeignete Tools auf der Ebene der Protokollierung heben diese Löschmöglichkeit auf. Bewährte Verfahren beginnen auf der Ebene der Synchronisationsprotokolle, z. B. die Verwendung von NTS in NTP.
- Die Parametrierung der Protokolldateien.
Es empfiehlt sich eine vernünftige Granularität: Sie sollte ausreichen, um den Anforderungen gerecht zu werden, aber keine Datenmassen erzeugen, die schnell nicht mehr analysiert werden können.
- Die Aufbewahrung der Protokolldateien.
Es bedarf einer vernünftigen Richtlinie zur Bereinigung der Protokolldateien. Dazu gehört eine Aufbewahrungsdauer, die mit den gesetzlichen Verpflichtungen und der Speicherkapazität des Unternehmens vereinbar ist.
- Kontinuierliche Überwachung.
Es ist ratsam, die Protokolldateien in Echtzeit analysieren zu können, um während eines Angriffs Warnungen auslösen und proaktiv handeln zu können. Es ist daher empfehlenswert, eine Lösung für das Management von Sicherheitsinformationen und -ereignissen (eng.: Security Information and Event Management bzw. SIEM) zu verwenden.
Die Einführung einer Protokollierung von Aktionen auf der Ebene des Informationssystems wird ein Unternehmen niemals davor bewahren, Ziel von Cyberangriffen zu werden. Dennoch können ein Großteil der Angriffe verhindert, vereitelte Angriffe analysiert (um sie erneut zu verhindern) und die Schuldigen bisweilen sogar gefasst werden.
Um die Einrichtung eines Protokollierungssystems zu verstärken, empfiehlt die französische Behörde ANSSI auch die Verwendung eines internen NTP-Zeitservers.
Die Schlüsselrolle der Zeitserver bei der Protokollierung
Innerhalb des Informationssystems spielt der Zeitserver eine zentrale Rolle bei der Protokollierung. Seine Aufgabe besteht darin, die Uhren aller Geräte im Informationssystem zu synchronisieren. Er ist also der Zeitreferenzgeber und garantiert auf diese Weise die Genauigkeit und Einheitlichkeit aller in den Protokolldateien angegebenen Zeitstempel. Und diese Genauigkeit der Zeitstempel ist unerlässlich, um Unregelmäßigkeiten im Netzwerk zu erkennen, aber auch um Zeitdrifts zu verhindern.
Die Uhren aller Geräte unterliegen nämlich einer natürlichen Drift im Laufe der Zeit. Nach einigen Wochen kann diese Drift in Sekunden oder sogar Minuten gemessen werden, was dazu führen kann, dass die Protokollierung fehlerhaft ist.
Mit seiner eigenen Zeitbasis sorgt ein lokal installierter NTP-Zeitserver für kohärente Zeitstempel und korreliert Ereignisse, um Handlungsabläufe zu rekonstruieren.
Dadurch können Analysten im Nachhinein nachvollziehen, wie ein Angriff zustande gekommen ist – und das ist der erste Schritt zur Implementierung von Patches. Schließlich sind Zeitstempel unerlässlich, um die Gültigkeit der Protokolldateien im Rahmen eines Gerichtsverfahrens zu gewährleisten.
Als Experte der Zeiterfassung und einer Präsenz in mehr als 140 Ländern ist Bodet Time ein führender französischer Akteur auf dem Gebiet der Zeitsynchronisation und Zeitfrequenz. Netsilon NTP-Zeitserver synchronisieren alle Systeme und Geräte in einem Netzwerk und sorgen für einen exakten Zeitstempel, der die Protokollierung von Ereignissen gewährleistet.