Bundesamt für Sicherheit in der Informationstechnik

M 4.302 Protokollierung bei Druckern, Kopierern und Multifunktionsgeräten

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Die Aktivitäten an Druckern, Kopierern und Multifunktionsgeräten sollten aus vielen Gründen überwacht und protokolliert werden. Zum Einen hilft eine aktivierte Protokollierung, potentielle Schwachstellen möglichst frühzeitig zu erkennen und zu beseitigen. Zum Anderen dient die Protokollierung dazu, Verstöße gegen die Sicherheitsrichtlinie zu erkennen (siehe M 2.398 Benutzerrichtlinien für den Umgang mit Druckern, Kopierern und Multifunktionsgeräten ) oder Nachforschungen über einen Sicherheitsvorfall anzustellen. Außerdem kann die Überwachung meist auch genutzt werden, um frühzeitig zu erkennen, ob Verbrauchsmaterialien nachgefüllt werden müssen.

Folgende zentrale Fragen sollten im Rahmen der Protokollierung an Druckern, Kopierern und Multifunktionsgeräten mindestens beantwortet werden:

  • Welche Informationen sollen protokolliert werden?
  • Wie soll protokolliert werden?
  • Wer ist berechtigt bzw. zuständig, die Protokolle auszuwerten?
  • Wie und wann werden die Protokolle ausgewertet?
  • Wer soll wie beim Eintreten bestimmter Ereignisse benachrichtigt werden?
  • Wie lange müssen und dürfen die Protokolldaten aufbewahrt werden und wie erfolgt die Löschung?

Es muss sorgfältig ausgewählt werden, welche Informationen protokolliert werden sollen. Werden zu viele Informationen gespeichert, kann es passieren, dass bei der Auswertung wichtige Ereignisse übersehen werden. Wird zu wenig protokolliert, kann es passieren, dass wichtige Informationen nicht erfasst werden.

Aus Sicherheitssicht haben sich die folgenden Ereignisse als besonders relevant für die Protokollierung erwiesen, die Aufzählung ist dabei absteigend nach der Priorität sortiert:

  • Änderungen der Konfigurationseinstellungen sind immer zu protokollieren.
  • Es sollten fehlgeschlagene und bei einem höheren Schutzbedarf zusätzlich auch erfolgreiche Authentisierungsvorgänge protokolliert werden. Dies betrifft sowohl lokale Anmeldungen als auch Zugriffe über das Netz.
  • Die Systemressourcen und Messwerte zur Betriebssicherheit sind immer auf kritische Werte hin zu überwachen. Hierzu gehören beispielsweise Informationen über die Temperatur, die Auslastung und den freien Speicherplatz.
  • Um Engpässe bei der Versorgung zu vermeiden, sollten Informationen zum Verbrauch von Papier und Toner protokolliert und ausgewertet werden.
  • Einträge, wer zu welcher Uhrzeit gedruckt oder das Gerät benutzt hat, können eventuell ebenfalls aufgezeichnet werden.

Je nach Gerät und Anwendungsfall kann es zweckmäßig sein, bei der Festlegung des Protokollierungsumfangs von diesen Ereignissen abzuweichen oder zusätzliche Ereignisse zu betrachten, beispielsweise das Einschalten und Ausschalten des Geräts. Der Protokollierungsumfang hängt in der Praxis auch davon ab, inwieweit der jeweilige Gerätetyp die Protokollierung der unterschiedlichen Ereignisse technisch unterstützt.

Nachdem festgelegt wurde, welche Informationen protokolliert werden sollen, muss geklärt werden, wo die Protokolldaten abgelegt werden. Falls möglich, sollten hierfür zentrale Protokollierungsserver genutzt werden. Ansonsten müssen die Protokolldateien lokal auf den einzelnen Geräten gespeichert werden.

Für die Protokollierung bei vernetzten IT-Systemen sollte eine Zeitsynchronisation eingesetzt werden. Dies dient dazu, die Ereignisse zuverlässig mit den zu protokollierenden Informationen von anderen Systemen vergleichen zu können (siehe M 4.227 Einsatz eines lokalen NTP-Servers zur Zeitsynchronisation ).

Protokolldaten müssen nicht nur gespeichert, sondern auch systematisch ausgewertet werden. Auch hierfür muss festgelegt werden, wer zuständig ist und welche Vorgehensweise einzuhalten ist. Empfehlungen dazu finden sich unter anderem in M 2.64 Kontrolle der Protokolldateien .

Wenn unerwartete oder auffällige Ereignisse in den Protokollen auftreten, muss entsprechend hierauf reagiert werden. Eine Vielzahl fehlerhafter Authentisierungsversuche kann beispielsweise auf einen Angriff oder auf nicht ausreichend informierte Benutzer hindeuten. Aber auch normale Ereignisse können eine Reaktion erforderlich machen. Erreichen beispielsweise Verbrauchsmaterialien einen minimalen Füllstand, muss rechtzeitig für Ersatz gesorgt werden. Daher sollte der zuständige Administrator beziehungsweise Verantwortliche für die Verbrauchsmaterialen zeitnah informiert werden.

Sofern personenbezogene Daten archiviert werden, müssen die hierfür geltenden Gesetze und Vorschriften eingehalten werden. Dazu gehören vor allem das Bundesdatenschutzgesetz ( BDSG ) und die entsprechenden Gesetze der Länder. Weitere Informationen hierzu sind in M 2.110 Datenschutzaspekte bei der Protokollierung zu finden.

Prüffragen:

  • Werden die Aktivitäten auf Druckern, Kopierern und Multifunktionsgeräten geeignet protokolliert?

  • Werden bei der Auswertung Datenschutzaspekte berücksichtigt?

  • Wird sichergestellt, dass alle Geräte eine korrekte Systemzeit haben?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK