Sprünge in der Zeit verhindern
Das Thema „IT-Sicherheit“ gewinnt im Bereich der Kritischen Infrastrukturen (Kritis) und der Öffentlichen Sicherheit zunehmend an Bedeutung. Gestohlene Nutzerdaten und Passwörter, weithin unbekannte Manipulationen im Darknet und vielfältige Hackerangriffe sind Schlagworte, die leider nur die Spitze des Eisbergs beschreiben.
Viele IT-Angriffe werden hingegen gar nicht öffentlich, künftige Bedrohungsszenarien sind nur sehr schwer abzuschätzen und stellen damit ein sehr komplexes, kaum noch greifbares Themengebiet dar.
In der Fülle all dieser Bedrohungen und Aufgaben wird oft übersehen,
wie wichtig eine präzise Systemzeit für IT-Netzwerke und die Endgeräte
ist. So weist das Bundesamt für Sicherheit in der Informationstechnik
(BSI) in seinem Maßnahmenkatalog „Hardware und Software“ darauf hin,
dass „alle bei einem Vorgang betroffenen Rechner eine korrekte
Zeitreferenz besitzen“ sollten. So sei dies „insbesondere bei der
Auswertung von Protokollierungsinformationen […] von zentraler
Bedeutung“, um zum Beispiel Fehlermeldungen, Synchronisierungsprobleme
bei verteilten Systemen oder auch Dokumentationsaufgaben korrekt
aufzulösen. Man spricht in der Praxis vom sogenannten „Zeitstempel“, der
in der Regel mit der Verwendung des Network Time Protokolls
einhergeht. Vielfach werden Kritis-Daten (zum Beispiel bei
Energieversorgern, Wasserwerken, Krankenhäusern, Transport und Verkehr
oder im Finanz- und Versicherungswesen) in Rechenzentren verarbeitet und
gespeichert. Von Leitern derartiger Rechenzentren wird die Bedeutung
einer präzisen und korrekten Systemzeit überwiegend bestätigt. Über die
bereits genannten Gründe hinaus besitze die Zeit gar eine zentrale
Bedeutung für die einwandfreie Funktion eines Rechenzentrums. Denn wenn
die Zeitbasis nicht stimme, liefen
die Softwareanwendungen tlw. nicht mehr zuverlässig und auch das
Rebooten des ITSystems sei dann sehr aufwändig. Und dies wiederum sei
wichtig, da aufgrund der steigenden Anzahl von Cyberangriffen derartige
Rebooting-Prozesse in der betrieblichen Praxis deutlich öfter
durchgeführt werden müssen.
Sichere Zeitbasis im IT-Netzwerk
Das BSI bestätigt in seinen Schriften diese Auffassung und benennt drei mögliche Ausbaustufen, wie man eine zuverlässige Zeitbasis im IT-Netzwerk sicherstellen kann. In der niedrigsten Ausbaustufe würde zumindest eine Synchronisation des Computernetzwerkes durch NTP vermittels einer netzwerkbasierten Zeitquelle (zum Beispiel der Physikalisch Technischen Bundesanstalt) erfolgen. Hingegen stellt man in der mittleren Ausbaustufe bereits darauf ab, dass ein IT-Zeitserver, also ein entsprechend mit Quarzbasis und DCF-Funkantenne ausgestattetes Gerät, im Computernetzwerk als Zeitquelle integriert wird. Schließlich empfiehlt das Bundesamt als höchste Ausbaustufe, beim Empfangsgerät auf die Kombination von DCF- und GPS-Signalen zu gehen und auf einen hochpräzisen, internen Zeitgeber (Oszillator) zu achten. Man darf ergänzend festhalten, dass diese Empfehlungen bereits 2011 so formuliert wurden und sich die IT-Sicherheitslage seit dieser Zeit vermutlich weiter verschärft hat.
In der heutigen Praxis ist es daher so, dass man unter Umständen jedweden physikalischen Zugang zum Internet, etwa bei Nutzung eines Netzwerkdienstes, aus IT-Sicherheitsgründen kategorisch ausschließt. Auch würde man sich als IT-Verantwortlicher vermutlich die Frage stellen, ob denn diese „Zeit aus der Steckdose“ den hohen Ansprüchen im Rechenzentrum bezüglich System-/Geräteverfügbarkeit heute wirklich noch gerecht werden kann. Bei der mittleren Ausbaustufe wäre zu kritisieren, dass das DCF-Funksignal nicht unbedingt als manipulationssicher gilt, weshalb das BSI alternativ auch eine höhere Ausbaustufe mit entsprechender Differenzerkennung vorschlägt.
Unabhängig verbunden
Bei Kraftwerken hat sich mittlerweile eine hohe Ausbaustufe dergestalt als Standardlösung durchgesetzt, dass zwei lokale IT-Zeitserver mit präziser, interner Quarzbasis als NTP-/PTP- Zeitquellen im Computernetzwerk eingebunden sind. Beide Geräte sind unabhängig vom Netzwerk optisch miteinander verbunden und gleichen ihre Quarzbasis permanent zueinander ab. Dies ist notwendig, da jeder Oszillator eine noch so kleine Quarzdrift hat und sich daher beim Umschalten von einem Gerät auf das andere ein Zeitsprung ergeben könnte. Derartige Zeitsprünge sind in IT-Netzwerken technisch nicht verträglich. Diese hochwertigen Zeitserver sind darüber hinaus in der Lage, über eine einstellbare Plausibilitätsprüfung die jeweils eingehenden GPS-Zeitsignale zu verifizieren und im Falle von Störungen oder gar Angriffen diesbezügliche Fehlermeldungen abzusetzen.
Unter dem Strich deuten all diese technischen Argumente bei sachlicher Bewertung darauf hin, dass man derart präzise, sichere und hochverfügbare NTP-/PTP-Zeitdienstlösungen auch für IT-Systeme bei Kritis-Strukturen nutzen sollte.