M 4.172 Protokollierung der Archivzugriffe
Verantwortlich für Initiierung: Leiter IT
Verantwortlich für Umsetzung: Leiter IT, Administrator
Die Zugriffe auf elektronische Archive sind zu protokollieren. Hierdurch soll die Nachvollziehbarkeit der Aktivitäten gewährleistet und eventuelle Fehlerkorrekturen ermöglicht werden. Die folgende Aufzählung gibt einen Überblick darüber, welche Arten von Ereignissen mit Hilfe der Protokollierung erkannt werden können:
- Vertraulichkeits- bzw. Integritätsverlust von Daten durch Fehlverhalten der IT-Benutzer,
- fehlerhafte Administration von Zugangs- und Zugriffsrechten,
- Ausschalten des Servers im laufenden Betrieb,
- Verstoß gegen rechtliche Rahmenbedingungen beim Einsatz von Archivsystemen,
- defekte Datenträger,
- Verlust gespeicherter Daten,
- Datenverlust bei erschöpftem Speichermedium,
- Manipulation an Daten oder Software,
- unberechtigtes Kopieren der Datenträger,
- Manipulation eines Kryptomoduls,
- Kompromittierung kryptographischer Schlüssel und
- unberechtigtes Überschreiben oder Löschen von Archivmedien.
Der Umfang der Protokollierung richtet sich einerseits nach den Anforderungen an die Nachvollziehbarkeit und Authentizität der in Archiven gespeicherten Dokumente. Andererseits müssen auch die organisationsintern abgestimmten Regelungen, z. B. zum Datenschutz, beachtet werden.
Sofern möglich, sollten mindestens folgende Daten protokolliert werden:
- Datum und Uhrzeit des Zugriffs,
- Clientsystem, von dem aus zugegriffen wurde,
- Archivbenutzer und ausgeübte Benutzerrolle,
- ausgeführte Aktionen sowie
- eventuelle Fehlermeldungen und -codes.
Die Zeitdauer der Aufbewahrung der Protokolldaten ist im Archivierungskonzept festzulegen.
Die Protokolldaten müssen unter Beachtung organisationsinterner Vorgaben regelmäßig ausgewertet werden, um Missbrauch und Systemfehler zu erkennen. Die Auswertung kann manuell oder mit Unterstützung eines Tools erfolgen. Im Vorfeld sollten kritische Ereignisse definiert werden, also solche, bei deren Auftreten ein Administrator zu benachrichtigen ist. Solche Vorfälle sollten umgehend signalisiert werden, z. B. unter Nutzung vorhandener Systemmanagement-Umgebungen. Außerdem ist es wichtig, dass die Benachrichtigung rollenbezogen, nicht personenbezogen erfolgt. Wird beispielsweise eine E-Mail an eine konkrete Person geschickt, bleibt die Nachricht unter Umständen unbeachtet, wenn diese Person nicht anwesend ist.
Folgende Ereignisse weisen bei der Archivierung typischerweise eine hohe Kritikalität auf und sollten daher permanent protokolliert, überwacht und bei Auftreten umgehend signalisiert werden:
- Kopieren von Archivmedien,
- Kopieren von Archivsystem-Datenträgern,
- Löschen oder Löschmarkierung von Datensätzen,
- Offline-Schaltung von Archivmedien in Archivsystemen,
- Entnahme von Archivmedien aus dem Archivsystem,
- Einlegen von Archivmedien,
- Online-Schalten von Archivmedien,
- Fehler oder Probleme beim Zugriff auf das Archiv,
- Systemfehler und Timeouts,
- Katastrophenszenarien (Brand, unzulässige Temperatur, Wasser etc.), die in der Regel durch externe Sensorik gemeldet werden.
Nach der Signalisierung sollte das Ereignis sofort geprüft und gegebenenfalls weiter eskaliert werden. Typischerweise erfolgt eine erste Eskalation an den Leiter IT. Organisationsspezifisch können jedoch auch andere Eskalationsprozesse vorgesehen sein.
Ergänzende Kontrollfragen:
- Erfolgt eine Protokollierung der Aktivitäten am Archivsystem?
- Werden organisationsinterne und rechtliche Vorgaben bei der Protokollierung eingehalten?
- Wird protokolliert, ob und welche Medien der Jukebox entnommen oder darin eingesetzt wurden?
- Erfolgt eine Signalisierung beim Auftreten von Sicherheitsverletzungen?
- Bestehen Regelungen zur Eskalation beim Auftreten von Sicherheitsverletzungen?