G 3.116 Fehlende Zeitsynchronisation bei der Protokolldatenauswertung

Wenn in einem Informationsverbund die Zeit nicht auf allen IT-Systemen synchronisiert wird, können die Protokolldaten unter Umständen nicht miteinander verglichen werden, da die unterschiedlichen Zeitstempel von Ereignissen keine gemeinsame Basis aufweisen. So kann beispielsweise die Korrelation einer Regelverletzung bei einem Sicherheitsgateway (Firewall) mit fehlgeschlagenen Anmeldeversuchen missglücken. Diese Gefahr besteht besonders, wenn eine zentrale Protokollierung eingesetzt wird. Ohne gemeinsame Zeitbasis sind Meldungen von unterschiedlichen IT -Systemen nicht miteinander korrelierbar.

Die Zeit- und Datumseinstellungen bei einer Zeitstempelfunktion hängen sehr oft von der regionalen Einstellung ab. So wird beispielsweise im angelsächsischen Raum das Datum in der Schreibweise MM/DD/YYYY (Monat/Tag/Jahr, z. B. (05/09/2009) angegeben. Dies kann bei einer automatischen Auswertung, wie beispielsweise durch ein IT-Frühwarnsystem, zu Fehlinterpretationen führen.

Des Weiteren fehlt, vor allem bei Unix-Systemen, oft die Angabe einer Jahreszahl in den Protokolldateien. Dies ist besonders problematisch im Bezug auf die Beweiskraft der Daten, wenn weiter zurückliegende Ereignisse betrachtet werden müssen und diese zeitlich nicht eingeordnet werden können.

Beispiele