Protokollierung – für unsere Sicherheit!

Tobias Struebing | 15. Januar 2023 | 0 Kommentare

„Systeme zur Angriffserkennung“ funktionieren nur, wenn Zugriffe auf personenbezogene Daten und andere Verarbeitungsvorgänge protokolliert werden. Die Protokollierung bildet die Basis für eine sichere Datenverarbeitung.

Intelligent confident influential gray-haired female asian wearing glasses, business lady, HR manager, talking to job candidate in modern office, holds and studies resume, smiling friendly

Cyberangriffe sind in aller Munde. Sie haben schon viele Unternehmen getroffen, aber auch Krankenhäuser und sonstige Gesundheitseinrichtungen bleiben nicht verschont. Die Webseiten sämtlicher Industrie- und Handelskammern in Deutschland wurden kürzlich böswillig lahmgelegt. Die Liste der Beispiele ließe sich leicht verlängern. Jedes einzelne Beispiel ist Grund genug, die Cybersicherheit sehr ernst zu nehmen.

Systeme zur Angriffserkennung sind teils gesetzlich vorgeschrieben

Ein wichtiges Instrument für die Abwehr von Angriffen sind „Systeme zur Angriffserkennung“, kurz „SzA“ genannt. Sie sind inzwischen sogar im Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (kurz: BSI-Gesetz) erwähnt. In Einrichtungen der kritischen Infrastruktur ist ihr Einsatz gesetzlich vorgeschrieben.

Sie dienen der Erkennung verdächtiger Abläufe

Solche Systeme fahnden nach verdächtigen Abläufen in informationstechnischen Systemen. Konkret bedeutet das: Sie messen Abläufe in EDV-Systemen, werten sie aus und gleichen sie mit Mustern ab, die erfahrungsgemäß auf Angriffe hindeuten.

Das ist manchmal einfach, häufig jedoch nicht

So kann es zum Beispiel verdächtig sein, wenn von einem PC mitten in der Nacht Datenübermittlungen ausgehen, obwohl zu dieser Zeit niemand im Unternehmen arbeitet. In der Regel sind freilich viel kompliziertere Auswertungen und Abgleiche nötig.

Protokolldaten sind die Basis vieler Auswertungen

Um sie durchführen zu können, müssen auch Aktivitäten von Mitarbeiterinnen und Mitarbeitern erfasst und ausgewertet werden. Dies führt zum Thema der Protokollierung von Daten. Es hat gute Gründe, wenn beispielsweise protokolliert wird, wer auf welche Daten zugreift und was er dann mit den Daten tut. Möglicherweise laufen nämlich im Hintergrund ferngesteuerte Aktivitäten ab, von denen er überhaupt nichts ahnt.

Verdächtige Abläufe führen zu schnellen Reaktionen

Falls ein System zur Angriffserkennung anhand von Protokolldaten ungewöhnliche Aktivitäten erkennt, sorgt es dafür, dass umgehend Maßnahmen ergriffen werden. Sie laufen in der Regel automatisch ab. Dazu kann es etwa gehören, laufende Datenübermittlungen zunächst einmal zu stoppen oder auch betroffene Geräte vom Internet zu trennen.

Schutzrechte berücksichtigen die Interessen der Belegschaft

Manche haben die Sorge, sie würden über die Protokollierung vom eigenen Unternehmen möglicherweise unangemessen kontrolliert. Rechtliche Schutzvorschriften stellen jedoch sicher, dass dies nicht der Fall ist. Protokolldaten können je nach ihrem Inhalt zur Kontrolle des Verhaltens und der Leistung von Mitarbeiterinnen und Mitarbeitern geeignet sein. Deshalb greifen hier die Mitbestimmungsregelungen ein, die für solche Situationen gelten.

Der Grundsatz der Zweckbindung ist zu beachten

Generell gelten für Protokolldaten, die personenbezogen sind, die allgemeinen Schutzregelungen für personenbezogene Daten. Dazu gehört der Grundsatz der Zweckbindung. Protokolldaten dienen dazu, eine sichere Datenverarbeitung zu ermöglichen. Insbesondere soll ihre Auswertung böswillige Angriffe von innen oder von außen abwehren. Damit ist der Zweck definiert, für den sie bestimmt sind. Nur dafür dürfen sie verarbeitet werden.

Viele Protokolldaten werden nur kurz gespeichert

Gespeichert werden dürfen Protokolldaten nur so lange, wie es für den geschilderten Zweck erforderlich ist. Viele Protokolldaten werden schon nach wenigen Stunden wieder gelöscht. Im Rahmen eines Sicherheitskonzepts kann es aber auch erforderlich sein, manche Protokolldaten über längere Zeit hinweg zu speichern. Denn manche Angriffsmuster lassen sich nur im längerfristigen Querschnittsvergleich entdecken.

Ein Löschkonzept gehört zu jedem Sicherheitskonzept

Wann welche Protokolldaten gelöscht werden, ist Teil der unternehmensinternen Regelungen für den Einsatz von Systemen zur Angriffserkennung. Da sich Bedrohungslagen immer wieder ändern, dürfen solche Regelungen nicht zu starr sein. Vielmehr müssen sie immer wieder an neue Entwicklungen angepasst werden. Dies alles wird sorgfältig dokumentiert. Der Grundsatz der Rechenschaftspflicht erfordert dies. Er besagt, dass der Verantwortliche nachweisen können muss, dass die DSGVO stets eingehalten wurde.