Bundesamt für Sicherheit in der Informationstechnik

G 5.11 Vertraulichkeitsverlust von in TK-Anlagen gespeicherten Daten

In TK-Anlagen werden personenbezogene und interne Daten für längere Zeit gespeichert, beispielsweise auf Festplatten oder Speicherkarten. Personenbezogene Daten sind beispielsweise Gebührendaten, Konfigurationsdaten, Berechtigungen und elektronische Telefonbücher, Passwörter und Verrechnungsnummern. Für die Rechnungserstellung können TK -Anlagen oft Verbindungsdatensätze aufzeichnen, die mindestens Informationen über die angerufene Teilnehmernummer, den Anrufzeitpunkt und die Dauer des Gesprächs enthalten. Hieraus lassen sich Kommunikationsprofile für einzelne Endgeräte oder Nutzer ableiten. Verbindungsdaten sind daher für Unbefugte interessant und müssen vor einem unautorisierten Zugriff geschützt werden.

Beim Betrieb von VoIP -TK-Anlagen können auch Sprachinformationen sehr effizient protokolliert werden, da diese schon digital vorliegen. So können beispielsweise auch alle geführten Telefongespräche vollständig auf Festplatten gespeichert und zur Auswertung auf ein anderes System kopiert werden. Es besteht das Risiko, dass eine solche Protokollierung der Telefonate unzulässigerweise aktiviert und für Angriffe auf die Vertraulichkeit missbraucht wird.

Viele TK-Applikationen arbeiten mit personenbezogenen Daten und reichen diese unter Umständen an andere Anwendungen weiter. Besonders hervorzuheben sind Unified Messaging-Systeme, bei denen die Auswirkungen eines Vertraulichkeitsverlustes aufgrund der zentralen Sammlung unterschiedlicher Nachrichtentypen gravierend sein können.

Die gespeicherten Daten könnten durch das TK-Administrationspersonal eingesehen und verändert werden. Art und Umfang dieser Eingriffe sind vom Anlagentyp und, falls vorgesehen, von der Rechtevergabe abhängig. Das Administrationspersonal hat diese Möglichkeit sowohl vor Ort als auch über Fernwartung. Bei einer externen Fernwartung hat der damit Beauftragte (im Regelfall der Hersteller oder ein Dienstleister) jederzeit diese Möglichkeit.

Stand: 12. EL Stand 2011