Bundesamt für Sicherheit in der Informationstechnik

G 2.76 Unzureichende Dokumentation von Archivzugriffen

Ebenso wie bei anderen IT -Systemen bestehen auch bei Archivsystemen Manipulationsmöglichkeiten, wenn diese schlecht geschützt sind. Benutzer könnten versuchen, gefälschte Dokumente in das Archiv einzubringen und durch Angabe entsprechender Kontextinformationen diese Dokumente bestehenden Verwaltungsvorgängen zuzuweisen oder komplett neue Vorgänge zu fälschen. Systemadministratoren könnten Manipulationen am Archivsystem vorbei durchführen und die Manipulation durch Veränderung von Protokolldateien verbergen.

Üblicherweise wird Protokolldateien ein geringerer Wert beigemessen als den zu archivierenden Dokumenten selbst. Dies äußert sich häufig in geringeren Aufbewahrungsfristen für Protokolldateien und im weniger sorgsamen Umgang mit Protokolldateien.

Wenn archivierte Dokumente in spätere Verwaltungsvorgänge einfließen sollen, ist es unerlässlich, die Authentizität nachweisen zu können, also korrekte von manipulierten Dokumenten unterscheiden und im Falle von strittigen Dokumenten die Dokumenthistorie belegen zu können. Dies wird gefährdet durch

  • eine nicht ausreichende Protokollierung der Archivzugriffe, insbesondere der Speichervorgänge,
  • einen nicht ausreichenden Schutz der Protokolldaten vor Manipulation durch Benutzer sowie Systemadministratoren,
  • den Verlust von Protokolldaten,
  • zu kurze Aufbewahrungsfristen der Protokolldaten.

Sofern die zu archivierenden Dokumente nach Vertraulichkeitsstufen klassifiziert sind, muss auch immer nachvollziehbar sein, wer zu welchem Zeitpunkt Einsicht in Dokumente genommen hat. Dies ist nicht mehr gewährleistet, wenn Lesezugriffe und Suchanfragen nicht dokumentiert werden.

Beispiele:

  • Im Rahmen einer Archiv-Recherche wird ein Dokument aufgefunden, das in einem laufenden Verwaltungsvorgang eine Person in bestimmter Weise belastet. Anhand der mitgespeicherten Kontextinformationen wird das Dokument als authentisch bewertet. Das Dokument wurde aber seinerzeit von einem Unberechtigten erzeugt, der bewusst falsche Kontextinformationen ( u. a. Ersteller des Dokuments und Erstelldatum) angegeben hatte, um später die fragliche Person belasten zu können. Da die Protokolldateien der Archivzugriffe zwischenzeitlich gelöscht wurden, kann dies aber nun nicht mehr erkannt werden. Der betroffene Mitarbeiter wird dadurch fälschlich belastet.
  • Ein Benutzer mit administrativen Privilegien manipuliert Dateien im Cache-Bereich des Archivsystems, bevor diese auf dauerhaften Medien abgelegt werden. Die Manipulation ist nicht nachvollziehbar, da der Benutzer am Archivsystem vorbei sowohl die Daten selbst als auch die Protokolldateien manipuliert hat.

Stand: Stand 2005