Log Management & Digitale Forensik im Datenschutz

dataprotection

Für Unternehmen gibt es zahlreiche Herausforderungen für die sichere sowie datenschutzkonforme Handhabung sensibler Daten, wobei diese beiden Anforderungen oftmals scheinbar im Widerspruch zueinander stehen.

Bild einer Frau am Laptop + Data Security Insights Schriftzug - SEC Consult

Das Ausnahmejahr 2020 ist überstanden! Wenngleich derzeit noch nicht alle Schwierigkeiten überstanden sind, so bieten die zahlreichen Fortschritte der letzten Monate im Umgang mit der globalen COVID-19 Pandemie doch Grund zur Hoffnung – an sich eine großartige Perspektive. Neben zahlreichen Beschränkungen und Erschwernissen wurden zeitgleich große Fortschritte in der Digitalisierung erreicht – allem voran eine flächendeckende Verlagerung der Arbeitswelt in die digitale Welt sowie in das Home-Office.

Dabei haben sich für Unternehmen zahlreiche Herausforderungen für die sichere sowie datenschutzkonforme Handhabung sensibler Daten ergeben, wobei diese beiden Anforderungen oftmals scheinbar im Widerspruch zueinander stehen. Insbesondere geraten Datenschutz- und Informationssicherheitsprogramme in Unternehmen bei zwei Themen aneinander: Logmanagement sowie Digitale Forensik bei Informationssicherheitsvorfällen und Data Breaches.

In diesem Beitrag widmen wir uns zunächst allgemein diesem Spannungsfeld, um dann die beiden Themen einzeln zu beleuchten. Wir schließen mit übergreifenden Empfehlungen für Unternehmen und Organisationen.

Datenschutz vs. Informationssicherheit - ein Widerspruch? 

Obwohl Datenschutz und Informationssicherheit in den letzten Jahren zunehmend in der öffentlichen Aufmerksamkeit standen, werden diese Gebiete nach wie vor oftmals vermischt. Die beiden Fachgebiete lassen sich jedoch anhand ihrer Ziele unterscheiden:

  1. Datenschutz strebt die Wahrung der Rechte und Freiheiten natürlicher Personen im Zusammenhang mit der Verarbeitung ihrer personenbezogenen an. Das primäre Schutzziel ist dabei das Recht der jeweiligen Personen, selbst bestimmen zu können, wie und durch wen die persönlichen Daten verarbeitet werden.
  2. Informationssicherheit bezweckt hingegen den Schutz des Unternehmens oder der Organisation, indem sensiblen Informationen – ob personenbezogen oder nicht – vor Risiken geschützt werden, die ihre Vertraulichkeit, Integrität oder Verfügbarkeit verletzen.

Wie sich diese Unterscheidung im Aufbau der Unternehmen niederschlägt ist unterschiedlich. Dennoch sollten die zugrundeliegenden Interessen hinter beiden Punkten gleichermaßen berücksichtigt werden. Während sich Datenschutzbemühungen auf Rechte der betroffenen Personen fokussieren, beziehen dienen die Anforderungen der Informationssicherheit den Interessen der verantwortlichen Organisationen an ihren wertvollen Unternehmensdaten.

Aus diesen unterschiedlichen Interessen ergeben sich in vielen Fällen immer wieder Spannungsfelder ergeben, wobei folgende zwei sehr häufig auftreten: Log Management und Sicherheitsvorfälle & Digitale Forensik

Graphische Darstellung von Dateien - SEC Consult

Wie mit Log Management umgehen?

Ein Thema, welches sich vielfach in hitzigen Diskussionen zwischen Datenschutz- und Informationssicherheitsexperten wiederfindet, ist der Umgang mit Logdaten, z. B. Webserver-Protokollen, Auditlogs und Aktivitätsverläufen. Im Kern geht es stets darum, wie weit die Sammlung, Speicherung und Auswertung von Protokolldaten auf System- bzw. Benutzerebene gehen darf. Immerhin wird im Datenschutz stehts vom Schutz der Privatsphäre des Einzelnen gesprochen, während das sicherheitsoptimierte Logging sämtliche Benutzeraktivitäten möglichst umfassend, detailliert und langfristig erfassen möchte.

Während dies auf den ersten Blick den Eindruck erweckt, dass Datenschutz- und Informationssicherheits-Interessen bei jener Thematik unvereinbar, so ist dies in der Praxis nicht immer zwangsläufig der Fall. Vielmehr ist der Datenschutz oftmals sogar auf ein umfassendes und fortschrittliches Logging im Unternehmen angewiesen – zumindest wird jeder Datenschutzbeauftragte dies so sehen, wenn es erstmal zu einer meldepflichtigen Datenpanne nach Art. 33 DSGVO gekommen ist.

Gleichzeitig muss es jedoch klare Grenzen bei der Protokollierung und Überwachung von Benutzer- und Systemaktivitäten gemäß den datenschutzrechtlichen Grundregeln geben. In anderen Worten: Das Datenschutzprogramm des Unternehmens muss Leitplanken für den Umgang mit Log-Daten im Unternehmen aufstellen. Dabei muss sichergestellt werden, dass folgende Aspekte geregelt werden:

  1. Welche Aktivitäten dürfen jedenfalls oder überhaupt nicht protokolliert werden
    1. Hierbei sollten in Rücksprache mit technischen Experten essenzielle Events identifiziert werden, die bspw. im Falle eines Informationssicherheitsvorfall für eine effektive Aufarbeitung erforderlich sind – z. B. Zugriffe auf sensible personenbezogene Daten, An- und Abmeldungen und Software-Änderungen.
  2. Datenschutzkonforme Gestaltung automatisierter Auswertung und Profilbildungen von Benutzern
  3. Festlegung begründeter Kriterien für die manuelle Einsicht und Auswertung von Log-Daten
  4. Sicherheit von Log-Daten bei der Aufbewahrung und Auswertung
  5. Wahrung der Datenschutzprinzipen

Was der Datenschutz jedoch nicht regelt, ist die genaue Ausgestaltung der einzelnen Logs. Diese Entscheidung obliegt den Systemadministratoren und dem Infosec-Team, das Kenntnis der einzelnen Applikationen und Ereignisse besitzt. Zum Beispiel muss der Datenschutzbeauftragte nicht wissen, dass ein Logging auf Windows-Clients sinnvoll durch Sysmon erweitert werden kann – dieses Wissen steuert das Security Operations Center des Unternehmens bei, und arbeitet mit den Arbeitsplatz-Administratoren an einer sinnvollen Umsetzung.

Schlussendlich sollte folgender Grundsatz bei der Abwägung zwischen Datenschutz- und Informationssicherheitsaspekten beim Log-Management berücksichtigt werden:

Entscheidend ist nicht ob protokolliert wird, sondern wie die Protokolle genutzt werden​!

Dabei muss stets klar sein, dass nur ein Mittelweg als Ergebnis einer Interessensabwägung das Ziel sein kann – weder darf das Bedürfnis eines Unternehmens nach Schutz und Kontrolle wertvoller Unternehmensdaten ignoriert und durch persönliche Bedenken Betroffener unmöglich gemacht werden, noch darf es dazu führen, dass bspw. Mitarbeiter ihre Privatsphäre in höchstpersönlichen Situationen aufgeben. Abhilfe können hierbei etwa zusätzliche datenschutztechnische Maßnahmen wie die Verwendung von Pseudonymisierung oder Verschlüsselung, oder auch das Einbinden zusätzlicher Kontrollorgane (Vier-Augen-Prinzip) bieten.

Fingerabdruck - SEC Consult

Die Prinzipien der digitalen Forensik 

Ein weiterer Aspekt, welcher oftmals als Spannungsfeld im Datenschutz wahrgenommen wird, umfasst die digitale Forensik im Zusammenhang mit Informationssicherheitsvorfällen.

Digitale Forensik bedeutet, Geräte und Informationssysteme auf digitale Spuren zu untersuchen, um den Verlauf eines Vorfalls zu klären. Dabei können Fragen beantwortet werden wie „Ist dieser Server durch einen Hacker kompromittiert worden, und falls ja, auf welche Daten hat er zugegriffen?“ oder „Hat ein Mitarbeiter, der kürzlich das Unternehmen verlassen hat, noch umfangreiche Datenbestände kopiert?

Auch hier ergeben sich vermeintlich einige Interessenskonflikte mit klassischen Informationssicherheitszielen. Schließlich hat die forensische Analyse und Aufarbeitung von Sicherheitsvorfällen im Wesentlichen eine möglichste umfassende Einsicht und Bewertung sämtlicher Datenbestände auf Systemen sowie relevanter Benutzeraktivitäten zum Gegenstand. Das dies im Gegensatz zu diversen Datenschutzprinzipen steht, scheint zunächst auf der Hand zu liegen.

 

Doch auch hier gilt: Es kommt schlussendlich auf die Begründung und konkrete Vorgehensweise an, die der Durchführung forensischer Aktivitäten zugrunde liegen. So ist eine sorgfältige, forensische Aufarbeitung von Datenschutzverletzungen im Rahmen eines Informationssicherheitsvorfalls durchaus im Interesse des Datenschutzes und der betroffenen Personen. Immerhin hilft dies oftmals dabei, den späteren Schaden für betroffenen und auch Unternehmen zu begrenzen bzw. frühzeitig geeignete Abhilfemaßnahmen zum Schutz betroffener Personen zu ergreifen.

Natürlich gibt es wie auch im Falle des Log-Managements, einige wesentliche Grundsätze, die bei der digitalen Forensik aus Datenschutzperspektive zu beachten sind. Wir möchten drei Grundsätze hervorheben:

  1. Die Rechte und Freiheiten von Mitarbeitern (und sonstigen Betroffenen) müssen auch im Rahmen forensischer Analysen persönlicher Geräte und Ablageorte (z. B. Home-Laufwerke) gewahrt werden.
    1. Verantwortliche Unternehmen sollten in diesem Zusammenhang insbesondere die Transparenz der Datenverarbeitung, der Schaffung einer angemessenen Rechtsgrundlage sowie den Schutz gesammelter Daten sicherstellen.
  2. Sollten persönliche Bereiche von Mitarbeitern im Unternehmen Gegenstand forensischer Analysen sein, so ist es in vielen Fällen erforderlich, den Betriebsrat sowie den Datenschutzbeauftragten der Organisation miteinzubeziehen bzw. eine entsprechende Freigabe von diesen einzuholen.
  3. Sofern das Unternehmen mit strafrechtlich relevanten Tatbeständen konfrontiert ist (bspw. im Zusammenhang mit illegalen Inhalten oder widerrechtlichen Zugriffen auf Computersysteme) sollten frühzeitig juristische Experten in den Prozess der Vorfalls Behandlung mit einbezogen werden. Dies ist vor allem im Zusammenhang mit der korrekten Suche und Sicherung von Beweismitteln anzuraten.

Im Lichte jener Punkte sollten Unternehmen bereits im Vorfeld Überlegung hinsichtlich der Etablierung einheitlicher Richtlinien und Verfahren zur geordneten Durchführung forensischer Aktivitäten anstellen. Denn diese können den Aufwand im Zusammenhang mit den oben genannten Überlegungen im Ernstfall drastisch reduzieren – Zeit, die meist dringend für die eigentliche Behandlung erforderlich ist.

Abschließende Überlegungen

Die datenschutzkonforme Gestaltung des Logmanagements bzw. von Tätigkeiten im Bereich der digitalen Forensik, bringen oftmals gewissen Spannung hinsichtlich der Informationssicherheit im Unternehmen mit sich. Doch bei näherer Betrachtung zeigt sich schnell, dass diese Gebiete sich vielmehr ergänzen und gegenseitig unterstützen sollten, statt sich zu widersprechen.

Denn nur durch die datenschutzkonforme Gestaltung der internen Sicherheitsmaßnahmen, wird man das Vertrauen in diese seitens aller Betroffenen und externer Stakeholder erhalten, welches Voraussetzung für die effektive Informationssicherheit im Unternehmen ist.

SEC Consultant berät Kunde - SEC Consult

 

SEC Consult kann Sie bei der Gestaltung Ihres Incident Managements unterstützen, und dabei auch Datenschutz-Aspekte mit beachten. Wir beginnen häufig damit, die Incident Response Maturity zu bestimmen, um die Grundlagen für eine erfolgreiche Bearbeitung von Sicherheitsvorfällen und Hackerangriffen zu legen. Dies ergänzen wir durch Planspiele wie Pen & Paper Exercises oder auch Red Teaming Assessments, um die Abwehr auf die Probe zu stellen. Wo nötig geben wir auch technische Ratschläge oder verbessern gemeinsam das Information Security Management

 

Mehr zum Thema

Über den Autor

[Translate to German:]
David Rieger
SEC Consult Group
Data Protection Officer

Dipl.-Ing. David Rieger ist Datenschutzbeauftragter der SEC Consult Gruppe und berät zudem als Security Consultant zahlreiche Unternehmen bei der Umsetzung umfangreicher und komplexer Informationssicherheits- und Datenschutzanforderungen. Sein Fokus liegt dabei im Aufbau von Informationssicherheitsmanagementsystemen nach ISO/IEC 27001:2013, dem Risikomanagement, der Durchführung von Datenschutz-Folgenabschätzungen, der Implementierung von Datensicherheits-Compliance-Programmen, sowie der Unterstützung und operativen Beratung im Umgang mit Informationssicherheitsvorfällen und Datenpannen.