- Dem Administrator auf die Finger schauen - Revisionsfeste Protokollierung und Datenschutz. Martin Rost

Transkript

1 - Dem Administrator auf die Finger schauen - Revisionsfeste Protokollierung und Datenschutz Martin Rost Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Übersicht. Vorstellung ULD und ULD-i. Protokollierung: Worin besteht das Problem?. Protokollierung im rechtlichen Kontext 4. Definition Protokoll ( Zeit, Entität, Operation gem. Wikipedia) 5. Protokollierung ist als ein eigenständiges Verfahren einzurichten! 6. Leitlinien für Protokolldesign in den Applikationen, Datenschutzkonsole und Protokollserver 7. Kontakt

2 Die 7 Säulen des ULD Prüfung Beratung Schulung inkl. DATEN- SCHUTZ- AKADEMIE IT-Labor Modellprojekte Gütesiegel Audit Primäre Adressaten: Verwaltung Wirtschaft Bürger Wirtschaft, Wissenschaft, Verwaltung Projekte im ULD Ubiquitäres Computing - TAUCIS Identitätsmanagement - Prime und FIDIS Nutzerorientiertes Digital Rights Management - Privacy4DRM Datenschutzanforderungen für die Forschung PRISE Europäische Melderegisterauskunft - RISER Verbraucherdatenschutz und Datenschutzrecht im Scoring Anonymität im Internet - AN.ON 4

3 Machen Sie den Datenschutz zu Ihrem Wettbewerbsvorteil Datenschutz-Gütesiegel Innovationszentrum Datenschutz & Datensicherheit 5 Protokollierung: Die Herausforderung Protokolldaten sind sehr einfach zu erzeugen. 6

4 Protokollierung: Die Herausforderung Protokolldaten bzw. Protokolldateien sind auf Standardbetriebssystemen bzw. Standardservern ebenso einfach zu manipulieren, zu unterdrücken und zu löschen. Das Hauptproblem: Kontrolle des Systemadministrators Und: Protokolldaten werden selten dauerhaft und methodisch ausgewertet, sobald die Systeme erst einmal funktionieren. Das Hauptproblem: Kontrolle des Auftragnehmers durch den Auftraggeber beim Outsouring bzw. bei Auftragsdatenverarbeitung. 7 Protokollierung: Die Herausforderung Datenschutz-Gesetze fordern die beweisfeste Protokollierung innerhalb von Organisationen (bei Sachbearbeitung und Systemadministration - vgl. 5,6-LDSG S-H, 8 DSVO, Anl. zu 9 (Abs. 4,5) BDSG) Das Problem: Mitarbeiter von Organisationen genießen Mitarbeiter-Datenschutz, auch die gefährlich-omnipotenten Systemadministratoren. Protokollierungsdaten dürfen bspw. nicht zur Leistungsmessung bzw. Bewertung herangezogen werden. 8

5 Recht (/4) Protokollierung gem. BDSG Bundesdatenschutzgesetz, Anlage zu 9 Satz Werden personenbezogene Daten automatisiert verarbeitet oder genutzt, ist die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderung des Datenschutzes gerecht wird. Maßnahmen sind zu treffen, die folgendes ermöglichen:. Zutrittskontrolle,. Zugangskontrolle,. Zugriffskontrolle, 4. Weitergabekontrolle (Überprüfen), 5. Eingabekontrolle (Überprüfen), 6. Auftragskontrolle, 7. Verfügbarkeitskontrolle 8. Trennung bei unterschiedlichen Zwecken. 9 Recht (/4) Protokollierung gem. LDSG S-H Landesdatenschutzgesetz Schleswig-Holstein, 6: Besondere Maßnahmen zur Datensicherheit bei Einsatz automatisierter Verfahren () Zugriffe, mit denen Änderungen an automatisierten Verfahren bewirkt werden können ( ) sind zu protokollieren und zu kontrollieren. (4) Sollen personenbezogene Daten ausschließlich automatisiert gespeichert werden, ist zu protokollieren, wann, durch wen und in welcher Weise Daten gespeichert wurden. Entsprechendes gilt für die Veränderung und Übermittlung der Daten. ( ) (5) Die Daten verarbeitenden Stellen haben die ordnungsgemäße Anwendung automatisierter Verfahren zu überwachen. Systemadministrations- Protokollierung Mitarbeiter- Protokollierung Auftragnehmer- Protokollierung 0

6 Recht (/4) Protokollierung gem. LDSG S-H Landesdatenschutzgesetz Schleswig-Holstein, 8: () Werden bei gemeinsamen Verfahren personenbezogene Daten übermittelt, so sind die Empfänger, der Zeitpunkt der Übermittlung und die jeweils übermittelten Daten zu protokollieren. Die Protokolldatenbestände sind ein Jahr zu speichern. (4) ( ) Die speichernde Stelle hat zu gewährleisten, dass die Zulässigkeit der Übermittlung personenbezogener Daten zumindest durch geeignete Stichprobenverfahren festgestellt und überprüft werden kann. Recht (4/4) Protokollierung gem. DSVO S-H Datenschutzverordnung Schleswig-Holstein, 8: (5) Als Grundlage für die Kontrolle nach ( ) LDSG ist zu dokumentieren, welche Personen für welche Zeiträume befugt sind, Änderungen an der Funktionsweise der informationstechnischen Geräte, an den Programmen, an der Speicherorganisation der automatisierten Dateien und den Nutzungsrechten ( ) vorzunehmen. Die Protokolle ( ) müssen Aussagen enthalten über:. den Zeitpunkt des ändernden Zugriffs,. die Gründe für den Zugriff,. die veranlassenden und ausführenden Personen, 4. die Art der Änderungen und 5. den Zeitpunkt der Kontrolle und die kontrollierende Person. (6) Technische Dokumentationen und Protokolle sind mindestens fünf Jahre aufzubewahren.

7 Was ist ein Protokoll? Ein Protokoll hält oder legt fest, zu welchem Zeitpunkt (absolut) oder in welcher Reihenfolge (relativ) welche Entität (wer oder was) welche Operation ausgeführt hat oder ausführen wird. Protokollierung bezeichnet dabei die Operation des Festlegens bzw. Niederschreibens der drei Protokollbestandteile Zeitpunkt, Entität, Operation. Die Funktion eines Protokolls besteht darin, adressierbare Entitäten anhand ihrer Operationen zu beobachten oder beobachtbar zu machen, um Irritationen bzw. Fehler im Nachhinein analysieren oder gegenwärtig erkennen oder zukünftig vermeiden zu können. (...) (Definition Protokoll aus: Wikipedia, Stand: ) Typen automatisiert erstellter Protokolle (am Beispiel eines Dokument-Management-Systems) 4 Technische Logdaten bzgl. der Installation, Konfiguration, Betriebs des Betriebssystems Technische Logdaten bzgl. der Netzwerkfunktionalitäten (Server, Router, Firewall...) Technische Logdaten bzgl. der Applikation(en) Protokolldaten bzgl. Authentisierungen und Authorisierungen der Nutzer Protokoll-Metadaten für Eigenschaften von Dokumenten Protokoll-Workflow-Daten Datenschutzprinzipien für diese Protokolldaten: Datensparsamkeit Trennung und Zweckbindung der Datenbestände

8 Protokollaspekt : Zeitpunkt Den zutreffenden Zeitpunkt festzustellen ist deshalb notwendig, um für (technisch oder organisatorisch bedingte) Fehleranalysen kausale Bezüge zwischen verschiedenen Applikationen bzw. Systemen bzw. Abläufen herstellen (und möglicherweise auf Personen zurechnen) zu können. 5 Zuverlässigkeit des Zeitstempels Systemuhren sind notorisch ungenau und vor allem nicht manipulationsresistent. Abhilfe : LAN-interner DCF77-Zeitstempelserver. Abhilfe : Bei hohen, Organisationen übergreifenden Ansprüchen an den Nachweis von Transaktionen lässt sich der Service eines unabhängigen Zeitstempeldienstes per Internet nutzen. 6

9 Protokollaspekt : Entität Authentisierung: Es muss sichergestellt sein, dass die Applikation oder der Nutzer tatsächlich diejenige waren, für die der Protokoll-Eintrag erfolgte. Autorisierung: Sämtliche aufeinander zugreifenden Teile (Maschinen, Applikationen, Personen) des gesamten Systems müssen einander vertrauen bzw. einander identifizieren. Voraussetzungen: Zertifikate / Public-Key-Infrastructure 7 Protokollaspekt : Operation Validität: Wie zuverlässig sind die Beschreibungen des Zustands des Programms? Semantik: Sind die Angaben inhaltlich zutreffend, aussagekräftig und zielführend auswertbar? 8

10 Protokollierungspraxis: Protokollierung im DC 9 Protokollierungspraxis: Logmeldung 0

11 less /var/log/messages Protokollierung unter syslogd Protokollierung ist ein eigenständiges Verfahren Aus Datenschutzsicht gelten für Datensammlungen, die durch Protokollierungen entstehen, selbstverständlich ebenfalls die klassischen Datenschutzprinzipien: Zweckbindung Es darf keinen Protokolleintrag mit Personenbezug geben, dessen Auswertung ungeregelt ist. Datenvermeidung und Datensparsamkeit Es darf nur dasjenige protokollieren werden, das für Fehleranalysen notwendig ist.

12 Arbeitnehmerdatenschutz gilt auch für Systemadministratoren Eine beweisfeste/ revisionssichere Protokollierung kann den allmächtigen sysadmin/ root bei Systemmanipulationen vor Verdächtigungen schützen. Keine Leistungsmessung gem. Abs., LDSG S-H sowie gem. gängiger Rechtsprechung der Arbeitsgerichte erlaubt. Kontrolle von personenbezogenen Daten... nur anlassbezogen, Zugriff mittels Einbezug von DS-Beauftragten, Personalbzw. Betriebsrat, Leitung wenn möglich: Einwilligung durch Betroffene einholen Sofort pragmatisch umsetzbare Protokollierungslösungen (/) Regelungen Erstellen von Betriebs- bzw. Dienstvereinbarung für Protokollierung bzw. deren Auswertung. Zugriff auf Protokolldatenbestände gemäß Mehraugen-Prinzip Anlaßbezogenheit, Zustimmungsabgängigkeit Aufnahme von Vertragspassagen zur Protokollkontrolle zwischen Auftragnehmer und Auftraggeber. 4

13 Sofort pragmatisch umsetzbare Protokollierungslösungen (/) Technik Protokolleinträge des Betriebssystems und der Applikationen sichten und entsprechend den Vereinbarungen konfigurieren Protokolle auf Einweg-Medien (CD, DVD) schreiben Speichern auf einem zentralen Protokollserver Windows: Domain-Controller Unix: Umlenken des syslogd auf zentralen Server Prüfen, ob Pseudonymisierung von personenbezogenen Protokolleinträgen sinnvoll und möglich ist. Protokollierung auch des Zugriffs auf Protokollierungsdaten. 5 Was ist für die Zukunft zu tun, um die bestehenden Unzulänglichkeiten unter den Bedingungen vollständig elektronischer Kommunikation und maschineller Beobachtung von Menschen technisch zu beheben? 6

14 Leitlinie Protokollierungsdesign Protokolleinträge müssen valide sein, datenschutzgerecht gestaltet und verwaltet sowie sicher transferiert und gespeichert werden. 7 Leitlinie Datenschutzkonsole (Software) Keinen Protokolleintrag mit Personenbezug ohne Zweckbindung! Inputsteuerung: Konfiguration des Wegschreibens von Protokolleinträgen Outputkontrolle: Konfiguration und Doing der Auswertung von Protokolleinträgen Operative Kontrolle: Realtime-Monitoring des Betriebssystems und der Applikationen, so dass nur das protokolliert wird, was protokolliert werden soll. Real-Time-Monitoring durch betrieblichen Datenschutzbeauftragten. 8

15 Leitlinie Dedizierter Protokollserver (Hardware) Protokolldaten weg von den Produktionsmaschinen! 9 Leitlinie Verfügbarkeit Kein Protokolleintrag darf verloren gehen! technische Aspekte... keine Höchstverfügbarkeit nötig Protokollinstanz muss dafür die Daten so lange halten, bis Server wieder läuft, Anforderung an das Transferprotokoll bzw. an das Caching. ausfallsichere Weiterleitung an andere Protokollserver 0

16 Leitlinie Integrität Kein Protokolleintrag darf nachträglich verändert werden können! technische Aspekte... Signieren der Datenbestände Leitlinie Vertraulichkeit Kein unberechtigter Zugriff auf die Protokolldaten! technische Aspekte... Zugriffsmanagement Pseudonymisierung / Anonymisierung Verschlüsselung

17 Leitlinie Authentisierung Quellinstanz und Zielinstanz für die Protokolldaten müssen sichergestellt sein! technische Aspekte... Client (Produktionssystem) und Server (Protokollserver) müssen einander authentisieren. Kontakt Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Besuchen Sie uns! Halle 5 / Stand D 6 40 Kiel, Holstenstraße 98 Telefon 04/ Telefax 04/988- mail@datenschutzzentrum.de Internet 4