M 4.6 Revision der TK-Anlagenkonfiguration

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, TK-Anlagen-Verantwortlicher

Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter, Revisor

Um die Sicherheit der TK-Anlagen zu gewährleisten, sind Revisionen der TK-Anlagenkonfiguration in regelmäßigen Abständen durchzuführen. Zur Revisionstätigkeit gehört speziell die Kontrolle der Tätigkeit der Systemverwaltung, des Wartungspersonals, des Ist-Zustands der TK-Anlage und der Einhaltung der datenschutzrechtlichen Vorschriften.

Jede Konfigurationsänderung, wie die Erteilung von Berechtigungen für einen Benutzer, sollte in eine Ist-Bestandsliste eingetragen werden. Diese Liste kann per Hand oder automatisiert geführt werden. In regelmäßigen Abständen, beispielsweise alle 6 Monate, sollte diese Ist-Bestandsliste zumindest stichprobenartig mit der Realität verglichen werden. Durch eine kontinuierliche Revision der Bestandsliste kann das angestrebte Sicherheits- und Datenschutzniveau sichergestellt werden. Werden Unstimmigkeiten festgestellt, sind diese mit Hilfe der Protokolle der TK-Anlage aufzuklären.

Es sollte beispielsweise kontrolliert werden, ob

Ist es nicht gewünscht oder nicht möglich, die Rolle eines unabhängigen Revisors einzurichten, kann die Auswertung der Protokolldateien auch durch den Administrator erfolgen. Für diesen Fall bleibt zu beachten, dass damit eine Kontrolle der Tätigkeiten des Administrators selbst nur schwer möglich ist. Zudem kann der Administrator möglicherweise Einblick in geschützte Daten (Anrufprotokolle) erhalten (siehe M 2.110 Datenschutzaspekte bei der Protokollierung). Das Ergebnis der Auswertung sollte daher zumindest dem IT-Sicherheitsbeauftragten, dem IT-Verantwortlichen oder einem anderen, besonders zu bestimmenden Mitarbeiter vorgelegt werden.

Prüffragen: