Worum geht es?
Gesetzliche Vorschriften, die eine Aufbewahrung vorschreiben, gibt es zur Genüge: Buchhaltung und Steuer, Arbeitsrecht, Umweltschutz, im gesamten Bereich der Gesundheitsvorsorge oder auch beim Umgang mit gefährlichen Stoffen. Aber auch in anderen Bereichen müssen Aufzeichnungen geschützt werden. Direkt im Zusammenhang mit dem Betrieb eines Informationssicherheits-Managementsystems (ISMS) denkt man an Auditberichte, Protokolle oder Logdateien. Selbst so triviale Dinge wie eine Telefonliste für Notfälle muss im Ernstfall in der richtigen Version und unverfälscht bereitliegen.
Zusammengefasst geht es um den Schutz von Aufzeichnungen vor Verlust, Zerstörung, Fälschung, unbefugtem Zugriff und hinsichtlich ihrer Vertraulichkeit.
Was sagt die ISO 27002 zum Schutz von Aufzeichnungen?
Im Ergebnis werden nur zwei Vorschläge gemacht:
- Organisationen sollten Regeln aufstellen für die Aufbewahrung von Aufzeichnungen, den Umgang damit und letztendlich deren Entsorgung. Die Regeln müssen auch darauf eingehen, wie Manipulationen verhindert werden.
- Im Zusammenhang mit der Entsorgung ist ein entsprechender Zeitplan aufzustellen, um sicherzustellen, dass bestehende Aufbewahrungspflichten erfüllt werden.
Die Norm gibt Organisationen, die sich mit dem Thema beschäftigen, allerdings noch diverse weitere Gedanken mit auf den Weg.
Die entscheidenden Rahmendaten sollten klar erkennbar sein. Aufzeichnungen müssen danach erkennen lassen, welcher von der Organisation vorbestimmten Kategorie sie angehören, welche Nutzung und insbesondere Verbreitung zulässig ist, und welche Löschfristen auf sie anwendbar sind.
Jede Aufbewahrung von Aufzeichnungen muss sicherstellen, dass ein den Anforderungen entsprechender Zugriff auf die verwahrten Informationen möglich ist. Wer braucht welche Informationen in einer lesbaren Form, wann und wo?
Gleichzeitig ist zu gewährleisten, dass die Aufzeichnungen für die gesamte Dauer der Aufbewahrung vor Verlust und Veränderung geschützt sind. Es muss also die Datensicherung und gegebenenfalls auch der Einsatz von Kryptographie/digitaler Signaturen bedacht werden. Auch die Haltbarkeit des eingesetzten Speichermediums spielt gegebenenfalls eine Rolle.
Am Ende von Aufbewahrungsfristen steht die Löschung; oft sogar gesetzlich vorgeschrieben. Damit müssen Organisationen bereits bei Ablage von Aufzeichnungen daran denken, dass diese Möglichkeit auch tatsächlich besteht. Lassen sich im Bedarfsfall auch gezielt einzelne Informationen auffinden und vernichten?
Fazit: Aufzeichnungen korrekt aufbewahren gleich oft der Quadratur des Kreises
Organisationen, die sich vernünftig mit der Frage der korrekten Aufbewahrung von Aufzeichnungen auseinandersetzen, stellen sich in der Praxis diverse Hürden.
Allein schon die Festlegung geeigneter Kategorien und die Entscheidung für ein Ablagesystem, das es auch ermöglicht, sämtliche Pflichten zu erfüllen, bereitet Verantwortlichen schon Kopfzerbrechen. Vielfach werden mangels Überblicks dann Lösungen eingeführt, die nur einzelne Anforderungen erfüllen; etwa unveränderliche Datenspeicher, die keine sinnvolle Löschung erlauben.
Sind alle organisatorischen und technischen Hürden genommen, ist am Ende die Frage nach den im Einzelfall geltenden gesetzlichen Aufbewahrungsfristen noch nicht einmal gestellt, geschweige denn beantwortet.
Eine einfache Lösung kann etwa sein, statt der verbreiteten, wenig strukturierten Ablage in einem Dateisystem ein Dokumentenmanagementsystem mit der Möglichkeit einer Versionierung und Berechtigungssteuerung zu nutzen.