Datenschutzgerechte Protokollierung

Der Protokollierung des Betriebs von IT-Systemen kommt bezüglich der Informationssicherheit ein hoher Stellenwert zu. Nur wenn die Aktivitäten von Administratoren, Benutzern und Fremden im zu sichernden IT-System protokolliert, also festgehalten werden, kann die Informationssicherheit gewährleistet werden. Sowohl IT-Sicherheitsvorfälle der Vergangenheit, als auch noch laufende, wie auch zukünftige können mittels effektiver Protokollierung aufgeklärt, gemindert oder beseitigt werden.

Definition von Protokollierung: Manuelle oder automatisierte Aufzeichnung von IT-System-Aktivitäten, aus denen sich rekonstruieren lässt, wer wann was veranlasst hat, wer wann worauf zugegriffen hat und wer wann welche Zugriffsrechte hatte.

Protokollierung von Administrationstätigkeiten umfasst: Aufzeichnungen über modifizierte Systemparameter, Benutzereinrichtungen, Rechtevergabe, Installierung und Änderung von Anwendungen, durchgeführte Datensicherungsmaßnahmen, Aufruf des Administrationstools und erfolglose Log-In-Versuche und erfolgreiche Log-Ins.

Protokollierung von Benutzeraktivitäten umfasst: Aufzeichnungen über Datenaufrufe, Dateneingabe, Datenübermittlung, Datenlöschung und Aufruf von Programmen.

Protokollierung von Fremdaktivitäten: Aufzeichnungen über alle Versuche, von außen in das IT-System einzudringen, also alle versuchten Datenaufrufe, Log-Ins etc.

Protokollierung und Grenzen durch Datenschutzrecht

Je umfassender und detaillierter die Protokollierung, desto höher die dadurch erreichte IT-Sicherheit. Allerdings sind der Protokollierung Grenzen durch das geltende Datenschutzrecht gesetzt. Denn das, was protokolliert wird, stellt oft ein personenbezogenes Datum dar.

Es ist insbesondere der Zweckbindungsgrundsatz bei der Nutzung von Protokolldaten zu beachten, vgl. § 14 Abs. 4 und § 31 BDSG:

  • § 14 Abs. 4 BDSG: Personenbezogene Daten, die ausschließlich zu Zwecken der Datenschutzkontrolle, der Datensicherung oder zur Sicherstellung eines ordnungsgemäßen Betriebes einer Datenverarbeitungsanlage gespeichert werden, dürfen nur für diese Zwecke verwendet werden.
  • § 31 BDSG: Personenbezogene Daten, die ausschließlich zu Zwecken der Datenschutzkontrolle, der Datensicherung oder zur Sicherstellung eines ordnungsgemäßen Betriebes einer Datenverarbeitungsanlage gespeichert werden, dürfen nur für diese Zwecke verwendet werden.

Für die Aufbewahrungsdauer der Protokolldaten gelten die allgemeinen Löschungsregeln der Datenschutzgesetze. Hierbei ist insbesondere § 20 Abs. 2 BDSG zu beachten, der die Pflicht zur Löschung von personenbezogenen Daten vorsieht, wenn keine Gründe für das weitere Vorhalten dieser Daten vorliegen. Nach Ablauf einer gewissen Zeit ist für die Aufbewahrung von Protokolldaten, zumindest für einige von diesen Daten kein Grund mehr vorhanden (da sich nach etlichen Jahren aus stark veralteten Protokolldaten keine IT-Sicherheitstechnischen Erforderlichkeiten mehr ergeben können).

 
1 Star2 Stars3 Stars4 Stars5 Stars 1 Bewertung(en), durchschnittlich: 5,00 von 5
Loading...


Schreibe einen Kommentar
Deine E-Mail-Adresse wird nicht veröffentlicht.

Sie können folgende HTML-Tags benutzen:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

*
*