Autorin – Monika Stucki / Security Consultant
Die Auswertung von Protokolldaten kann helfen, die Datensicherheit zu erhöhen. Das Datenschutzgesetz erlaubt aber nicht alles. Was gilt für die Auswertung von Protokolldaten?
IT-Systeme werden immer umfangreicher, komplexer und immer weniger einsehbar. Damit Unternehmen nachvollziehen können, wie ihre IT-Systeme funktionieren und wie sie genutzt werden, kommt die Protokollierung zum Einsatz. Bei dieser werden definierte Aktivitäten innerhalb eines IT-Systems aufgezeichnet.
Protokolleinträge können sich aus verschiedenen Angaben zusammensetzen, die Auskunft darüber geben, wer zu welchem Zeitpunkt, an welcher Stelle im System, welche Aktion mit welchem Ergebnis ausgeführt hat. Gewinnbringend sind solche Protokolleinträge aber vor allem dann, wenn sie aktiv dazu genutzt werden, die Datensicherheit und den Datenschutz aufrechtzuerhalten.
Datensicherheit mit Protokolldaten
Aus Sicht der Datensicherheit kann eine Auswertung von Protokolldaten helfen, die Schutzziele der Vertraulichkeit, Integrität und Verfügbarkeit sicherzustellen. Beispielsweise können im laufenden Betrieb Abweichungen vom normalen Nutzungsverhalten, potenzielle Sicherheitsvorfälle wie der Missbrauch eines Systems oder gezielte Angriffe erkannt werden. Des Weiteren können Aussagen zu Nutzerfähigkeiten eine Grundlage für gezieltere Sicherheitsschulungen bilden. Diese Vorteile werden auch im Kapitel «B.2 Protokollierung» im Leitfaden zu den technischen und organisatorischen Massnahmen des Datenschutzes (TOM) des EDÖB angedeutet. Gemäss TOM «erlauben solche Aufzeichnungen herauszufinden, wo ein Zwischenfall, ein unbefugter Zugriff oder eine unbefugte Bearbeitung von Daten stattgefunden hat».
Doch was erlaubt beziehungsweise fordert der Datenschutz hinsichtlich solcher Auswertungen eigentlich?
Die Rechtmässigkeit einer Auswertung
Erfolgt eine Auswertung von Protokolldaten, die sich auf eine bestimmte oder bestimmbare Person beziehen, fällt diese Tätigkeit gemäss Art. 3 lit a i.v.m. lit e unter das Schweizerische Datenschutzgesetz (DSG). Das bedeutet, dass die Prinzipien der Datenbearbeitung nach DSG zu berücksichtigen sind. Protokolldaten zum Zweck der Datensicherheit dürfen demnach nur ausgewertet werden, wenn
- eine gesetzliche Rechtfertigung, ein überwiegendes Interesse oder eine freiwillige und bei besonders schützenswerten Personendaten noch dazu ausdrückliche Einwilligung der betroffenen Person vorliegt (Art. 4 Abs. 1 und 5 DSG).
- die Bearbeitung transparent erfolgt und die Person ausführlich und umfassend über die Auswertung informiert ist (Art. 4 Abs. 2 DSG).
- nur die Menge an Daten vorhanden ist und ausgewertet wird, die unbedingt notwendig ist zur Erreichung des angegebenen Zwecks (Art. 4 Abs. 2 und 3 DSG).
- die Protokolldaten richtig sind (Art. 5 DSG).
Werden diese Grundsätze nicht erfüllt, verstösst die Auswertung der Protokolldaten auch zu Zwecken der Datensicherheit gegen das Gesetz und ist rechtswidrig. Denn:
«Ein rechtswidriges Verhalten liegt […] immer schon dann vor, wenn die Bearbeitung der Daten […] gegen eine in der Schweiz geltende rechtlich verbindliche Norm verstösst» (Epiney et al., 2009, S. 22)
Planung – Das A und O für Datensicherheit und Datenschutz
Für die Gewährleistung von Datensicherheit haben Unternehmen unzählige Möglichkeiten, um ihre IT-Systeme zu schützen. Mit Rahmenwerken wie zum Beispiel ISO 27001 oder NIST Cybersecurity Framework bestehen ganze Anforderungskataloge für die Planung, Umsetzung und Verbesserung der Datensicherheit, inklusive Protokollierung. Hinsichtlich Datenschutz wird jedoch häufig nur die Gesetzeskonformität aufgeführt, da sich diese je nach Land unterschiedlich ausgestaltet. Nichtsdestotrotz lohnt sich ein Blick in das Gesetz schon vor der Protokollierung, damit bereits die Datenerhebung dem Datenschutz Rechnung trägt.