Bundesamt für Sicherheit in der Informationstechnik

M 5.25 Nutzung von Sende- und Empfangsprotokollen

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter

Verantwortlich für Umsetzung: Fax-Verantwortlicher, IT-Sicherheitsbeauftragter, Fax-Poststelle

Bei der Nutzung von Fax-Diensten ist bei der Verwendung von Sende- und Empfangsprotokollen zwischen herkömmlichen Faxgeräten und Faxservern zu unterscheiden.

Einsatz eines herkömmlichen Faxgerätes

Listenmäßige Protokolle von Übertragungsvorgängen, die automatisch vom Faxgerät geführt werden (Kommunikationsjournal), sind regelmäßig auszudrucken. Es bedarf einer Festlegung, wer diese Ausdrucke veranlasst, wo und wie lange sie aufbewahrt werden und in welcher Weise sie stichprobenartigen Prüfungen auf Unregelmäßigkeiten unterzogen werden. Auf die Erfordernisse des Bundesdatenschutzgesetz ( BDSG ) ist Rücksicht zu nehmen. Insbesondere ist der Zugriff Unbefugter zu verhindern.

Es sollte zusätzlich ein Faxtagebuch geführt werden, aus dem ersichtlich wird, wer wann ein Fax an wen versandt hat. Optional kann darüber hinaus ein Faxeingangsbuch geführt werden.

Es sei darauf hingewiesen, dass eine weitere Kontrollmöglichkeit besteht, wenn das Faxgerät an eine moderne TK-Anlage angeschlossen ist. Dann ist es u. U. möglich, die Gebührendatensätze der Faxnummer in der TK-Anlage auszuwerten (siehe auch M 2.40 Rechtzeitige Beteiligung des Personal-/Betriebsrates ).

Einsatz eines Faxservers:

Auch auf Faxservern ist es möglich, die Übertragungsvorgänge zu protokollieren. Diese Protokolle sollten regelmäßig ausgewertet und archiviert werden. Es bedarf insbesondere der Festlegung von Rahmenbedingungen und Zuständigkeiten für die Auswertung und Archivierung der Protokolle.

So ist z. B. denkbar, dass die Fax-Poststelle für diese Tätigkeiten zuständig ist, die Auswertung der Protokolle aber nur im Beisein eines Betriebs- oder Personalratsmitgliedes bzw. eines Angehörigen der Revision oder des Datenschutzes erfolgen darf. Auch hier gilt, dass die Erfordernisse des BDSG zu berücksichtigen sind und insbesondere der Zugriff Unbefugter zu verhindern ist.

Bei der Verwendung von Faxservern ist die manuelle Führung von Fax-Tagebüchern nicht sinnvoll. Vielmehr dürfte die lückenlose Archivierung der Sende- und Empfangsprotokolle ausreichend sein.

Teilweise besteht auch die Möglichkeit, anfallende Gebührendatensätze für abgehende Faxsendungen vom Faxserver für eine verursachungsgerechte Verrechnung zu nutzen.

Prüffragen:

  • Werden Fax-Übertragungsvorgänge protokolliert?

  • Ist festgelegt, wer die Fax-Übertragungsprotokolle regelmäßig auswertet und auf Unregelmäßigkeiten prüft?

  • Ist festgelegt, wo und wie lange die Sende- und Empfangsprotokolle des Faxgerätes aufbewahrt werden?

  • Haben nur berechtigte Personen Zugriff auf die Sende- und Empfangsprotokolle des Faxgerätes?

  • Wird ein Faxtagebuch geführt, aus dem ersichtlich ist, wer wann ein Fax an wen versandt hat?

Stand: 13. EL Stand 2013