Eine Kontrolle, die in vielen ISMS-Dokumentationen als „trivial” abgehakt wird — und dann bei der Vorfalluntersuchung fehlt. Zwei Minuten Zeitdifferenz zwischen Firewall und Active Directory machen es unmöglich, den chronologischen Ablauf eines Angriffs zu rekonstruieren. A.8.17 verlangt, dass alle informationsverarbeitenden Systeme ihre Uhren mit einer autorisierten Zeitquelle synchronisieren.
Die Kontrolle ist die Grundlage für jede sinnvolle Log-Korrelation, forensische Untersuchung und rechtliche Beweissicherung.
Was verlangt die Norm?
- Einheitliche Zeitquelle. Alle Systeme synchronisieren sich mit derselben genehmigten Zeitquelle.
- Autoritative Zeitquelle verwenden. Nationale Atomuhren, GPS oder vergleichbare Quellen als Referenz.
- NTP oder PTP einsetzen. Network Time Protocol (NTP) oder Precision Time Protocol (PTP) für die Synchronisation.
- Zeitabweichungen überwachen. Abweichungen zwischen Systemen werden erkannt und korrigiert.
- Cloud- und On-Premises-Systeme einbeziehen. Auch hybride Umgebungen brauchen konsistente Zeitsynchronisation.
In der Praxis
Interne NTP-Hierarchie aufbauen. Ein oder zwei interne NTP-Server synchronisieren sich mit einer externen autoritativen Quelle. Alle anderen Systeme (Server, Clients, Netzwerkgeräte) synchronisieren sich mit den internen NTP-Servern. Das reduziert den externen Datenverkehr und erhöht die Ausfallsicherheit.
Alle Gerätetypen einbeziehen. Server, Clients, Switches, Router, Firewalls, Kameras, IoT-Geräte — jedes System, das Logs erzeugt, braucht synchronisierte Zeit. Netzwerkgeräte werden oft vergessen und laufen nach einigen Monaten merklich aus der Zeit.
Zeitabweichungs-Monitoring konfigurieren. Überwache die Zeitabweichung jedes Systems zum NTP-Server. Alarm bei Abweichung über 1 Sekunde. Die meisten Monitoring-Systeme (Nagios, Zabbix, Prometheus) bieten fertige NTP-Checks.
Zeitzone und Format standardisieren. Alle Logs in UTC speichern — unabhängig von der lokalen Zeitzone. Das vermeidet Verwechslungen bei der Korrelation, besonders in Organisationen mit mehreren Standorten.
Typische Audit-Nachweise
Auditoren erwarten bei A.8.17 typischerweise diese Nachweise:
- NTP-Konfiguration — Nachweis der konfigurierten Zeitquellen auf allen Systemen (→ IT-Betriebsrichtlinie im Starter Kit)
- Zeitabweichungs-Berichte — Monitoring-Daten, die zeigen, dass Systeme synchron laufen
- NTP-Server-Konfiguration — Konfiguration der internen NTP-Server mit externer Referenz
- Alarm-Konfiguration — Nachweis, dass Zeitabweichungen erkannt und gemeldet werden
KPI
Anteil der Systeme, die mit einer autoritativen Zeitquelle synchronisiert sind
Gemessen als Prozentsatz: Wie viele deiner Systeme sind nachweislich mit einer autorisierten NTP-Quelle synchronisiert und innerhalb der definierten Toleranz? Ziel: 100%.
Ergänzende KPIs:
- Maximale Zeitabweichung über alle Systeme (Ziel: unter 1 Sekunde)
- Anzahl der Systeme ohne NTP-Konfiguration (Ziel: 0)
- Verfügbarkeit der internen NTP-Server
BSI IT-Grundschutz
A.8.17 mappt auf BSI-Bausteine für Protokollierung und Zeitsynchronisation:
- OPS.1.1.5 (Protokollierung) — verlangt synchronisierte Systemuhren als Voraussetzung für korrelierbare Protokolldaten.
- OPS.1.2.6 (NTP-Zeitsynchronisation) — spezifischer Baustein für die Konfiguration von NTP in der IT-Infrastruktur.
Verwandte Kontrollen
- A.8.15 — Protokollierung: Logs sind nur korrelierbar, wenn die Zeitstempel stimmen.
- A.8.16 — Überwachungsaktivitäten: Echtzeit-Überwachung setzt synchronisierte Uhren voraus.
- A.5.28 — Sammlung von Beweismitteln: Forensische Beweissicherung erfordert nachweislich korrekte Zeitstempel.
Quellen
- ISO/IEC 27001:2022 Annex A, Control A.8.17 — Uhrensynchronisation
- ISO/IEC 27002:2022 Abschnitt 8.17 — Umsetzungshinweise zur Uhrensynchronisation
- BSI IT-Grundschutz, OPS.1.2.6 — NTP-Zeitsynchronisation