Bundesamt für Sicherheit in der Informationstechnik

M 4.172 Protokollierung der Archivzugriffe

Verantwortlich für Initiierung: Leiter IT

Verantwortlich für Umsetzung: Administrator, Leiter IT

Die Zugriffe auf elektronische Archive sind zu protokollieren. Hierdurch soll die Nachvollziehbarkeit der Aktivitäten gewährleistet und eventuelle Fehlerkorrekturen ermöglicht werden. Die folgende Aufzählung gibt einen Überblick darüber, welche Arten von Ereignissen mit Hilfe der Protokollierung erkannt werden können:

  • Vertraulichkeits- bzw. Integritätsverlust von Daten durch Fehlverhalten der IT-Benutzer,
  • fehlerhafte Administration von Zugangs- und Zugriffsrechten,
  • Ausschalten des Servers im laufenden Betrieb,
  • Verstoß gegen rechtliche Rahmenbedingungen beim Einsatz von Archivsystemen,
  • defekte Datenträger,
  • Verlust gespeicherter Daten,
  • Datenverlust bei erschöpftem Speichermedium,
  • Manipulation an Daten oder Software,
  • unberechtigtes Kopieren der Datenträger,
  • Manipulation eines Kryptomoduls,
  • Kompromittierung kryptographischer Schlüssel und
  • unberechtigtes Überschreiben oder Löschen von Archivmedien.

Der Umfang der Protokollierung richtet sich einerseits nach den Anforderungen an die Nachvollziehbarkeit und Authentizität der in Archiven gespeicherten Dokumente. Andererseits müssen auch die organisationsintern abgestimmten Regelungen, z. B. zum Datenschutz, beachtet werden.

Sofern möglich, sollten mindestens folgende Daten protokolliert werden:

  • Datum und Uhrzeit des Zugriffs,
  • Clientsystem, von dem aus zugegriffen wurde,
  • Archivbenutzer und ausgeübte Benutzerrolle,
  • ausgeführte Aktionen sowie
  • eventuelle Fehlermeldungen und -codes.

Die Zeitdauer der Aufbewahrung der Protokolldaten ist im Archivierungskonzept festzulegen.

Die Protokolldaten müssen unter Beachtung organisationsinterner Vorgaben regelmäßig ausgewertet werden, um Missbrauch und Systemfehler zu erkennen. Die Auswertung kann manuell oder mit Unterstützung eines Tools erfolgen. Im Vorfeld sollten kritische Ereignisse definiert werden, also solche, bei deren Auftreten ein Administrator zu benachrichtigen ist. Solche Vorfälle sollten umgehend signalisiert werden, z. B. unter Nutzung vorhandener Systemmanagement-Umgebungen. Außerdem ist es wichtig, dass die Benachrichtigung rollenbezogen, nicht personenbezogen erfolgt. Wird beispielsweise eine E-Mail an eine konkrete Person geschickt, bleibt die Nachricht unter Umständen unbeachtet, wenn diese Person nicht anwesend ist.

Folgende Ereignisse weisen bei der Archivierung typischerweise eine hohe Kritikalität auf und sollten daher permanent protokolliert, überwacht und bei Auftreten umgehend signalisiert werden:

  • Kopieren von Archivmedien,
  • Kopieren von Archivsystem-Datenträgern,
  • Löschen oder Löschmarkierung von Datensätzen,
  • Offline-Schaltung von Archivmedien in Archivsystemen,
  • Entnahme von Archivmedien aus dem Archivsystem,
  • Einlegen von Archivmedien,
  • Online-Schalten von Archivmedien,
  • Fehler oder Probleme beim Zugriff auf das Archiv,
  • Systemfehler und Timeouts,
  • Katastrophenszenarien (Brand, unzulässige Temperatur, Wasser etc.), die in der Regel durch externe Sensorik gemeldet werden.

Nach der Signalisierung sollte das Ereignis sofort geprüft und gegebenenfalls weiter eskaliert werden. Typischerweise erfolgt eine erste Eskalation an den Leiter IT. Organisationsspezifisch können jedoch auch andere Eskalationsprozesse vorgesehen sein.

Prüffragen:

  • Werden Zugriffe auf elektronische Archive protokolliert?

  • Werden organisationsinterne Regelungen, zum Beispiel zum Datenschutz, bei der Protokollierung von Archivzugriffen beachtet?

  • Werden, falls möglich, zu jedem Zugriff Datum, Uhrzeit, Benutzer, Clientsystem und die ausgeführten Aktionen sowie Fehlermeldungen protokolliert?

  • Ist die Aufbewahrungsdauer der Protokolldaten im Archivierungskonzept festgelegt?

  • Werden Protokolldaten von Archivzugriffen unter Beachtung organisationsinterner Vorgaben regelmäßig ausgewertet?

  • Sind kritische Ereignisse bei Archivzugriffen und deren rollenbezogene Signalisierung definiert?

  • Werden kritische Ereignisse sofort nach der Signalisierung geprüft und, falls nötig, laut den organisationsspezifischen Eskalationsprozessen weiter eskaliert?

Stand: 13. EL Stand 2013