Protokollierung – für unsere Sicherheit!
„Systeme zur Angriffserkennung“ funktionieren nur, wenn Zugriffe auf personenbezogene Daten und andere Verarbeitungsvorgänge protokolliert werden. Die Protokollierung bildet die Basis für eine sichere Datenverarbeitung.

Cyberangriffe sind in aller Munde. Sie haben schon viele Unternehmen getroffen, aber auch Krankenhäuser und sonstige Gesundheitseinrichtungen bleiben nicht verschont. Die Webseiten sämtlicher Industrie- und Handelskammern in Deutschland wurden kürzlich böswillig lahmgelegt. Die Liste der Beispiele ließe sich leicht verlängern. Jedes einzelne Beispiel ist Grund genug, die Cybersicherheit sehr ernst zu nehmen.
Systeme zur Angriffserkennung sind teils gesetzlich vorgeschrieben
Ein wichtiges Instrument für die Abwehr von Angriffen sind „Systeme zur Angriffserkennung“, kurz „SzA“ genannt. Sie sind inzwischen sogar im Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (kurz: BSI-Gesetz) erwähnt. In Einrichtungen der kritischen Infrastruktur ist ihr Einsatz gesetzlich vorgeschrieben.
Sie dienen der Erkennung verdächtiger Abläufe
Solche Systeme fahnden nach verdächtigen Abläufen in informationstechnischen Systemen. Konkret bedeutet das: Sie messen Abläufe in EDV-Systemen, werten sie aus und gleichen sie mit Mustern ab, die erfahrungsgemäß auf Angriffe hindeuten.
Das ist manchmal einfach, häufig jedoch nicht
So kann es zum Beispiel verdächtig sein, wenn von einem PC mitten in der Nacht Datenübermittlungen ausgehen, obwohl zu dieser Zeit niemand im Unternehmen arbeitet. In der Regel sind freilich viel kompliziertere Auswertungen und Abgleiche nötig.
Protokolldaten sind die Basis vieler Auswertungen
Um sie durchführen zu können, müssen auch Aktivitäten von Mitarbeiterinnen und Mitarbeitern erfasst und ausgewertet werden. Dies führt zum Thema der Protokollierung von Daten. Es hat gute Gründe, wenn beispielsweise protokolliert wird, wer auf welche Daten zugreift und was er dann mit den Daten tut. Möglicherweise laufen nämlich im Hintergrund ferngesteuerte Aktivitäten ab, von denen er überhaupt nichts ahnt.
Verdächtige Abläufe führen zu schnellen Reaktionen
Falls ein System zur Angriffserkennung anhand von Protokolldaten ungewöhnliche Aktivitäten erkennt, sorgt es dafür, dass umgehend Maßnahmen ergriffen werden. Sie laufen in der Regel automatisch ab. Dazu kann es etwa gehören, laufende Datenübermittlungen zunächst einmal zu stoppen oder auch betroffene Geräte vom Internet zu trennen.
Schutzrechte berücksichtigen die Interessen der Belegschaft
Manche haben die Sorge, sie würden über die Protokollierung vom eigenen Unternehmen möglicherweise unangemessen kontrolliert. Rechtliche Schutzvorschriften stellen jedoch sicher, dass dies nicht der Fall ist. Protokolldaten können je nach ihrem Inhalt zur Kontrolle des Verhaltens und der Leistung von Mitarbeiterinnen und Mitarbeitern geeignet sein. Deshalb greifen hier die Mitbestimmungsregelungen ein, die für solche Situationen gelten.
Der Grundsatz der Zweckbindung ist zu beachten
Generell gelten für Protokolldaten, die personenbezogen sind, die allgemeinen Schutzregelungen für personenbezogene Daten. Dazu gehört der Grundsatz der Zweckbindung. Protokolldaten dienen dazu, eine sichere Datenverarbeitung zu ermöglichen. Insbesondere soll ihre Auswertung böswillige Angriffe von innen oder von außen abwehren. Damit ist der Zweck definiert, für den sie bestimmt sind. Nur dafür dürfen sie verarbeitet werden.
Viele Protokolldaten werden nur kurz gespeichert
Gespeichert werden dürfen Protokolldaten nur so lange, wie es für den geschilderten Zweck erforderlich ist. Viele Protokolldaten werden schon nach wenigen Stunden wieder gelöscht. Im Rahmen eines Sicherheitskonzepts kann es aber auch erforderlich sein, manche Protokolldaten über längere Zeit hinweg zu speichern. Denn manche Angriffsmuster lassen sich nur im längerfristigen Querschnittsvergleich entdecken.
Ein Löschkonzept gehört zu jedem Sicherheitskonzept
Wann welche Protokolldaten gelöscht werden, ist Teil der unternehmensinternen Regelungen für den Einsatz von Systemen zur Angriffserkennung. Da sich Bedrohungslagen immer wieder ändern, dürfen solche Regelungen nicht zu starr sein. Vielmehr müssen sie immer wieder an neue Entwicklungen angepasst werden. Dies alles wird sorgfältig dokumentiert. Der Grundsatz der Rechenschaftspflicht erfordert dies. Er besagt, dass der Verantwortliche nachweisen können muss, dass die DSGVO stets eingehalten wurde.