Sie befinden sich hier: Themen IT-Grundschutz-Kataloge. Inhalt. Dokumententitel: M 4.302 Protokollierung bei Druckern, Kopierern und Multifunktionsgeräten - IT-Grundschutz-Kataloge - 9. EL Stand 2007
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

M 4.302 Protokollierung bei Druckern, Kopierern und Multifunktionsgeräten

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement

Verantwortlich für Umsetzung: Administrator

Die Aktivitäten an Druckern, Kopierern und Multifunktionsgeräten sollten aus vielen Gründen überwacht und protokolliert werden. Zum Einen hilft eine aktivierte Protokollierung, potentielle Schwachstellen möglichst frühzeitig zu erkennen und zu beseitigen. Zum Anderen dient die Protokollierung dazu, Verstöße gegen die Sicherheitsrichtlinie zu erkennen (siehe M 2.398 Benutzerrichtlinien für den Umgang mit Druckern, Kopierern und Multifunktionsgeräten) oder Nachforschungen über einen Sicherheitsvorfall anzustellen. Außerdem kann die Überwachung meist auch genutzt werden, um frühzeitig zu erkennen, ob Verbrauchsmaterialien nachgefüllt werden müssen.

Folgende zentrale Fragen sollten im Rahmen der Protokollierung an Druckern, Kopierern und Multifunktionsgeräten mindestens beantwortet werden:

Es muss sorgfältig ausgewählt werden, welche Informationen protokolliert werden sollen. Werden zu viele Informationen gespeichert, kann es passieren, dass bei der Auswertung wichtige Ereignisse übersehen werden. Wird zu wenig protokolliert, kann es passieren, dass wichtige Informationen nicht erfasst werden.

Aus Sicherheitssicht haben sich die folgenden Ereignisse als besonders relevant für die Protokollierung erwiesen, die Aufzählung ist dabei absteigend nach der Priorität sortiert:

Je nach Gerät und Anwendungsfall kann es zweckmäßig sein, bei der Festlegung des Protokollierungsumfangs von diesen Ereignissen abzuweichen oder zusätzliche Ereignisse zu betrachten, beispielsweise das Einschalten und Ausschalten des Geräts. Der Protokollierungsumfang hängt in der Praxis auch davon ab, inwieweit der jeweilige Gerätetyp die Protokollierung der unterschiedlichen Ereignisse technisch unterstützt.

Nachdem festgelegt wurde, welche Informationen protokolliert werden sollen, muss geklärt werden, wo die Protokolldaten abgelegt werden. Falls möglich, sollten hierfür zentrale Protokollierungsserver genutzt werden. Ansonsten müssen die Protokolldateien lokal auf den einzelnen Geräten gespeichert werden.

Für die Protokollierung bei vernetzten IT-Systemen sollte eine Zeitsynchronisation eingesetzt werden. Dies dient dazu, die Ereignisse zuverlässig mit den zu protokollierenden Informationen von anderen Systemen vergleichen zu können (siehe M 4.227 Einsatz eines lokalen NTP-Servers zur Zeitsynchronisation).

Protokolldaten müssen nicht nur gespeichert, sondern auch systematisch ausgewertet werden. Auch hierfür muss festgelegt werden, wer zuständig ist und welche Vorgehensweise einzuhalten ist. Empfehlungen dazu finden sich unter anderem in M 2.64 Kontrolle der Protokolldateien.

Wenn unerwartete oder auffällige Ereignisse in den Protokollen auftreten, muss entsprechend hierauf reagiert werden. Eine Vielzahl fehlerhafter Authentisierungsversuche kann beispielsweise auf einen Angriff oder auf nicht ausreichend informierte Benutzer hindeuten. Aber auch normale Ereignisse können eine Reaktion erforderlich machen. Erreichen beispielsweise Verbrauchsmaterialien einen minimalen Füllstand, muss rechtzeitig für Ersatz gesorgt werden. Daher sollte der zuständige Administrator beziehungsweise Verantwortliche für die Verbrauchsmaterialen zeitnah informiert werden.

Sofern personenbezogene Daten archiviert werden, müssen die hierfür geltenden Gesetze und Vorschriften eingehalten werden. Dazu gehören vor allem das Bundesdatenschutzgesetz (BDSG) und die entsprechenden Gesetze der Länder. Weitere Informationen hierzu sind in M 2.110 Datenschutzaspekte bei der Protokollierung zu finden.

Ergänzende Kontrollfragen: