Log Management Software: DSGVO-Konformität darf nicht vernachlässigt werden

Log Management Software DSGVO

18.10.2023
Florian Deuring

IT-Verantwortliche stehen vor einer enormen Herausforderung. Trotz einer angespannten Personalsituation müssen sie sicherstellen, dass sensible Daten geschützt sind und regulatorische Vorgaben eingehalten werden. Umsetzbar ist dies nur mit modernen Technologien zur Echtzeit-Überwachung von Ereignisprotokollen. Wichtig ist dabei, dass die eingesetzte Log Management Software DSGVO-konform agiert.

Zahl der Cyber-Angriffe steigt stetig

Unternehmen, die im Zeitalter der digitalen Transformation wettbewerbsfähig bleiben möchten, investieren kontinuierlich in neue Hardware und Software, um Prozesse zu digitalisieren und ihre Fachbereiche zu vernetzen. Dies bringt einerseits zahlreiche Geschäftsvorteile mit sich, erhöht andererseits jedoch auch die IT-Security-Risiken. Denn je komplexer und vernetzter IT-Infrastrukturen gestaltet sind, desto größer ist die Angriffsfläche für Cyber-Kriminelle. Traditionelle Methoden wie Virenscanner und Firewalls reichen längst nicht mehr aus, um Bedrohungen zuverlässig abzuwehren. Denn Angreifer entwickeln kontinuierlich neue Strategien, um diese Komponenten zu umgehen. Sind sie dann erfolgreich in ein Netzwerk eingedrungen, können sie sich dort oft über lange Zeit unbemerkt bewegen, Daten entwenden oder Systeme lahmlegen. Daher sind Lösungen erforderlich, die verdächtige Aktivitäten umgehend identifizieren und Alarm schlagen – beispielsweise in einem Security Operations Center (SOC). Exakt an dieser Stelle kommt eine SIEM- (Security Information and Event Management) beziehungsweise Log Management Software ins Spiel. Da Lösungen dieser Art auch personenbezogene Daten und vertrauliche Geschäftsinformationen nutzen, sollte die DSGVO-Konformität bei der Systemauswahl nicht vernachlässigt werden.

Log Management Software: DSGVO-Verstöße müssen verhindert werden

Auf dem Markt existieren zahlreiche Log-Management-Lösungen aus unterschiedlichen Regionen der Welt. Nicht mit jedem Produkt ist es jedoch möglich, den Vorgaben der Datenschutzgrundverordnung zu entsprechen. Eine Log Management Software, die volle DSGVO-Konformität gewährleistet, kommt vom deutschen Anbieter Intelligent Solutions. Sie trägt den Namen ProLog und erfüllt alle hierzulande gültigen regulatorischen Vorgaben des Gesetzgebers und der Verbände. Dies beginnt bereits in der Vorbereitungsphase. So beinhaltet die Software eine Vorlage, mit der folgende Fragestellungen klar dokumentiert werden können:

• Aus welchen Datenquellen werden Logs und Events abgerufen?
• Welche Arten von (personenbezogenen) Daten werden erhoben?
• Zu welchem Zweck werden diese Daten protokolliert?
• Wie ist der Zugang zu den Daten gestaltet?

Durch die Beantwortung dieser Fragen können Verantwortliche gegenüber Innen- oder Außenrevisoren, Rechtsanwälten, Verbandsprüfern und der Landesdatenschutzbehörde nachweisen, wie sie das Thema Log Management umsetzen.

Weiterhin liefert ProLog fertige Berichts- und Alarmierungspakete, mit denen IT-Verantwortliche sowohl den betrieblichen Anforderungen als auch der DSGVO und internen Compliance-Richtlinien entsprechen können. Die Pakete werden vom Anbieter zudem kontinuierlich aktualisiert, sodass das Log Management nach einem Anwendungs- oder Betriebssystem-Update nicht neu konfiguriert werden muss. Ändern sich interne oder externe Vorschriften, werden diese gemeinsam mit dem Anbieter implementiert. So bleibt die Log Management Software stets audit- und revisionssicher.

Wichtig zu wissen: Wegen des Persönlichkeitsschutzes der Mitarbeiter muss für das Erheben, Speichern und Verwenden von Überwachungsdaten die Zustimmung der Mitarbeitervertretung eingeholt werden. Wird nur temporär Zugriff auf die personenbezogenen Informationen erlaubt und erfolgt eine Pseudonymisierung der Daten, so ist diese Zustimmung obligatorisch. Diesen Umstand hat Intelligent Solutions berücksichtigt: ProLog ermöglicht eine pseudonymisierte Speicherung sämtlicher Informationen, die Rückschlüsse auf Personen zulassen. Die De-Pseudonymisierung ist nur über eine definierte Autorisierung und per n-Augen-Prinzip möglich.

Auch weitere gesetzliche Anforderungen werden erfüllt

Die Log Management Software ProLog ist nicht nur DSGVO-konform. Sie erfüllt noch weitere Vorgaben. Dies gilt beispielsweise für den § 8a des IT-Sicherheitsgesetzes (ITSiG). Dieser verpflichtet Betreiber Kritischer Infrastrukturen seit 2017 dazu, "angemessene [...] Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme [...] zu treffen."

Weiterhin arbeitet die Lösung auf Basis der ISO 27001. Sie ist damit ein geeigneter Baustein für den Aufbau eines Informationssicherheits-Managementsystems (ISMS) zum Schutz von Informationen. Da sich der Verband der Automobilindustrie mit seinem VDA Informations Secuirty Assessment (VDA-ISA) ebenfalls an den internationalen Standards ISO 27001 und 27002 orientiert, wird auch dieser Bereich durch ProLog unterstützt.

Seit 2019 existiert darüber hinaus das Geschäftsgeheimnisgesetz (GeschGehG). Es befasst sich mit dem Schutz von vertraulichem Know-how und vertraulichen Geschäftsinformationen. Mit ProLog installieren Unternehmen eine wichtige Instanz, derartige Daten vor rechtswidriger Nutzung oder rechtswidrigem Erwerb zu bewahren.