Bundesamt für Sicherheit in der Informationstechnik

G 2.61 Unberechtigte Sammlung personenbezogener Daten

Beim Einsatz von Managementsystemen fallen im Rahmen des normalen Ablaufes auch viele Protokolldaten an, die in der Regel automatisch erzeugt und ausgewertet werden. Dies trifft im besonderen Maße auf die Bereiche der Netz- und Systemüberwachung zu. Ohne ausführliche Protokollierung der Systemaktivitäten ist es z. B. auch nicht möglich, Sicherheitsverletzungen aufzudecken. Eine Anforderung im Rahmen der Überwachung ist jedoch auch die eindeutige Zuordnung bestimmter Zugriffe zu Benutzern. Damit müssen die überwachten Benutzeraktivitäten aber personenbezogen protokolliert werden. In der Regel wird durch die Managementstrategie organisationsübergreifend und im Einvernehmen mit dem Datenschutzbeauftragten festgelegt, welche Benutzeraktivitäten aus Sicherheitsgründen überwacht werden sollen. Hierüber sind die betroffenen Benutzer entsprechend zu informieren. Die Einhaltung der durch die Managementstrategie festgelegten Vorgaben ist jedoch im Rahmen der Systemrevision zu überprüfen. Es ist zudem möglich, dass das Managementsystem im Rahmen einer regulären Funktion temporäre Protokolldateien erstellt, die z. B. im wenig geschützten Bereich für temporäre Dateien abgelegt werden. Die Protokolldateien sind dann potentiell zumindest für die Zeit ihrer Existenz zugreifbar und können zudem Benutzerinformationen enthalten.

Stand: Stand 2005