Vielen dürfte der Begriff „Logfile“ bekannt sein, doch was genau sich dahinter verbirgt und warum Logfiles vor allem für Unternehmen von besonderer Wichtigkeit sind, dürfte den ein oder anderen überraschen.
Logfiles oder auch Protokolldaten genannt, sind Dateien, die Informationen über bestimmte Aktionen von Prozessen auf einem Computer(system) enthalten. Es gibt technische Logfiles, die lediglich Aktionen der Dienste selbst aufzeichnen und es gibt personenbezogene Logfiles, welche Aktionen der Nutzer des Systems aufzeichnen oder eben protokollieren. Eine einzelne Logdatei kann daher beispielsweise Informationen enthalten, zu welcher Zeit, welches System (Name sowie Informationen des Dienstes) von welchem Computer aus und konkret von welchem Nutzer (Username sowie IP-Adresse) in welchem Umfang bedient wurde. Beispielsweise kann eine einzelne Logdatei Zugriffe, Änderungen oder Löschen von bestimmten Daten aufzeichnen. Sie kann protokollieren, ob und wer Benutzerrechteverwaltungsänderungen vorgenommen hat. Es können Authentisierungsvorgänge im Unternehmen protokolliert werden (wer sich wann am System angemeldet hat), aber auch Änderungen an sicherheitsrelevanten Konfigurationseinstellungen können hierdurch sichtbar gemacht werden.
Jedes IT-System, das auf einem Computer(system) genutzt wird, ist dazu fähig bestimmte Aktionen von Prozessen zu protokollieren. Diese Art der Protokollierung findet im Hintergrund des(r) IT-Systems(e) selbst statt, auf welches nur ganz bestimmte Mitarbeiter generell Zugriff haben sollten.
Insofern handelt es sich bei Logfiles um personenbezogene Daten. Auch wenn sie auf den ersten Blick gesehen nur wenige Angaben über die Person liefern, so kann in der Gesamtschau von Logfiles ein Verhaltensmuster eines bestimmten Mitarbeiters wiedergegeben werden. Dieses Muster wird umso detaillierter, je mehr Informationen man über diese Person hat.
Aber warum werden denn überhaupt Logfiles innerhalb des Unternehmens gespeichert?
Logfiles dienen Unternehmen zu verschiedenen Zwecken und sind vor allem für die Aufrechterhaltung der IT-Infrastruktur sowie der Sicherheit der Datenverarbeitung von enormer Bedeutung. So ist es möglich mittels Logfiles Hard- und Softwareprobleme sowie Ressourcenengpässe rechtzeitig zu erkennen und Fehler zu beheben. Aber auch Sicherheitsprobleme und Angriffe auf die betriebenen Netzdienste können anhand von Protokolldaten nachvollzogen werden. Ebenso können mit solchen Daten durch forensische Untersuchungen Beweise gesichert werden, nachdem ein Angriff auf IT-Systeme oder Anwendungen bekannt wurde. So kann erkannt werden, was der Angriff auf die IT-Systeme angerichtet hat, welche Daten betroffen waren und wie weit der Angreifer in die Systeme gelangt ist.
Wie lange dürfen Logfiles im Unternehmen aus datenschutzrechtlicher Sicht mindestens aufbewahrt werden?
Sofern sich Unternehmen im Privatsektor zur Speicherung von Logfiles, die innerhalb ihres Unternehmensnetzwerks entstehen, nicht auf nationale Gesetze berufen können, die eine konkrete Speicherdauer festlegen, sollte folgendes beachtet werden:
Grundsätzlich dürfte eine Speicherdauer von Logfiles für die Dauer von bis zu 90 Tagen zum Zweck der Aufrechterhaltung der IT-Infrastruktur sowie zu IT-Sicherheitszwecken datenschutzrechtlich vertretbar sein. Wobei generell jedes IT-System vorab daraufhin geprüft werden sollte, ob und wie lange eine Speicherung von Logfiles zum jeweils verfolgten Zweck erforderlich ist. Dabei ist stets im Hinterkopf zu behalten, dass jede längere Speicherung von Logfiles zu einem intensiveren Eingriff in die Rechte und Freiheiten der betroffenen Personen (oftmals Mitarbeiter) führen kann und es somit eines deutlich überwiegenden Interesses des Verantwortlichen an einer längeren Speicherung bedarf. Eine pauschale Festlegung von Speicherfristen sollte grundsätzlich nicht erfolgen.
Die Aufsichtsbehörden zeigen nach wie vor eine restriktive Haltung zur Speicherdauer von Logfiles. So äußerte sich der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit zum Entwurf des Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz 2.0 – BSIG) vom 18.12.2020 zur dort geplanten Speicherdauer von Protokolldaten von drei Monate auf zwölf Monate und gab an, dass die Motivation für die längere Speicherdauer zwar nachvollziehbar sei, das rechtfertige aus dessen Sicht aber nicht ihre erhebliche Ausweitung und werfe Fragen der Verhältnismäßigkeit auf. Des Weiteren bezog sich der Bundesbeauftragte auf das Grundsatzurteil des Bundesverfassungsgerichts zur Vorratsdatenspeicherung und führte aus, dass eine Speicherungsdauer von sechs Monaten „an der Obergrenze dessen [ist], was unter Verhältnismäßigkeitserwägungen rechtfertigungsfähig sei“ (BVerfG, Urteil des Ersten Senats vom 02. März 2010 – 1 BvR 256/08 -, Rn. 215).
Das BSIG ist das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (kurz „BSI“). Die besagte Norm, zu der sich der Bundesbeauftragte äußerte regelt konkret die Abwehr von Schadprogrammen und Gefahren für die Kommunikationstechnik des Bundes und legt hierin eine Speicherdauer von Logfiles fest (siehe § 5 Abs. 2 BSIG). Hierbei ist wichtig zu wissen, dass sich § 5 BSIG nur an das BSI sowie Kommunikationstechnik des Bundes selbst richtet. Diese Verpflichtung zur längeren Speicherung, wie sich dies in § 5 BSIG herauskristallisiert, gilt für (kritische) Infrastrukturen im Privatsektor bisher nicht.
Zusammenfassend sollten sich Unternehmen daher stets vorab konkret darüber im Klaren sein, welche IT-Systeme Logfiles in welchem Umfang protokollieren und für wie lange diese sodann im Nachgang gespeichert werden sollen. Hierbei kommt es stets auf das konkrete IT-System, die dort verarbeiteten Daten und das Risiko sowohl für die IT-Infrastruktur im Unternehmen als auch der Personen, dessen Daten in diesem System verarbeitet werden, an. Eine pauschale Festlegung von Speicherfristen sollte grundsätzlich nicht erfolgen. Je länger Logfiles gespeichert werden, desto höher muss das Interesse des Unternehmens an der Speicherung von Logfiles sein. Auch sicherheitsrelevante Logfiles, die von Administratoren des Unternehmens im Rahmen ihrer Aktivitäten generiert werden, sollten nicht pauschal 180 Tage aufbewahrt werden, ohne dass es hierfür eine nachvollziehbare Begründung gibt, die sich mit dem konkreten IT-System sowie den dort verarbeiteten Daten und dem verfolgten Zweck des Verantwortlichen auseinandergesetzt hat.
So führte der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit in seiner Stellungnahme vom 18.12.2020 auch aus, dass eine unterschiedslose Speicherung ohne konkreten Anlass einen besonders schwerwiegenden Eingriff in die Grundrechte der Betroffenen darstelle, weil kein Zusammenhang zwischen dem Verhalten der Personen, deren Daten betroffen sind, und dem mit der fraglichen Regelung verfolgten Zweck vorliege.
Eine Speicherdauer von Logfiles länger als 180 Tage sollte daher unter Anbetracht der Stellungnahme des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit sehr zurückhaltend genutzt werden. Es ist stets zu berücksichtigen, dass es sich hier um eine absolute Ausnahme handeln sollte, die strengen Verhältnismäßigkeitserwägungen unterliegt.
Probleme für Unternehmen
In diesem Zusammenhang darf Folgendes nicht verkannt werden. Die Stellungnahme des Bundesbeauftragten liegt nun bald drei Jahre zurück. In dieser Zeit kam es zu einem massiven Anstieg an Angriffen auf Unternehmen. Vor allem das BKA sowie das BSI warnen nahezu wöchentlich vor mehr Cyberkriminalität.
Logfiles dienen gerade auch dazu Angriffe zu erkennen, diese rechtzeitig zu verhindern und deren Ausweitung im Unternehmensnetz aufzuhalten. Der Weg, den sich Hacker auf das Unternehmensnetzwerk bahnen, wird oftmals durch unterschiedliche Irrwege gesucht, um so unauffällig wie möglich zu bleiben. Nach Übernahme erster Systeme erfolgt häufig eine „Ruhephase“, um die Entdeckung möglichst geheim zu halten. Erst dann erfolgt eine weitere „Fortpflanzung“ im Unternehmensnetz. Sie verstecken sich im Hintergrund bis sie ihr Ziel erreichen um hierdurch auf die begehrten Datenbanken des Unternehmens zu gelangen. Allerdings hinterlassen Hacker Spuren im System. Diese Spuren sind mittels Logfiles ersichtlich. Da Angreifer heutzutage in der Regel zeitlich lang dauernde Angriffsmethoden nutzen, ist es für Unternehmen teilweise kaum noch möglich, Angriffe zu erkennen, wenn Logfiles lediglich für drei bzw. sechs Monate gespeichert werden. In vielen Fällen werden Angriffe auf Unternehmen erst sechs bis sieben Monate später erkannt. Wenn sich ein Cyberrangriff ereignet, dann kann dies nur auf Basis von Logfiles erkannt und gleichzeitig auch auf deren Basis analysiert werden, ob und zu welchen Schäden dies im Unternehmen geführt hat (ggf. auch Schäden für die Datensicherheit).
Fazit
Der Schutz der IT-Sicherheit und damit inbegriffen auch die Abwehr von Cyberangriffen dient gerade der Datensicherheit innerhalb eines Unternehmens und sollte daher stets auf die Bedürfnisse in der aktuellen Zeit angepasst werden. Deshalb kollidiert für bestimmte Fälle, wie insbesondere sicherheitsrelevante IT-Systeme, der Grundsatz der Speicherbegrenzung mit dem Erfordernis der Sicherheit der Datenverarbeitung und damit inbegriffen die Errichtung von geeigneten technischen und organisatorischen Maßnahmen zum Schutz der personenbezogenen Daten des Unternehmens.
Es gilt jedoch abzuwarten, ob es hierzu auf das jetzige Zeitgeschehen angepasste Aussagen der Aufsichtsbehörden geben wird.
Anonymous
6. September 2023 @ 9:18
Interessanter Artikel mit Bezug auf das BSIG. Aber wie verhält sich das Thema Löschfristen in einem globalen Unternehmen bei zentraler Speicherung von Logdaten in USA und EU im Bezug auf die DSG-VO?
Nadine Rosenberger
12. September 2023 @ 16:35
Die „Löschfristen“ richten sich stets nach dem für die Datenverarbeitung Verantwortlichen. Gilt für diesen die DSGVO, so hat dieser den Grundsatz der Speicherbegrenzung gem. Art. 5 Abs. 1 lt. e) DSGVO einzuhalten – auch wenn die Speicherung durch den Verantwortlichen in den USA erfolgt. Darüber hinaus sind hierbei die Art. 44ff. DSGVO zu berücksichtigen. Hieran ändert auch eine zentrale Logfilespeicherung nichts – zumal hier auch eine Mandantentrennung zu berücksichtigen wäre.
Nicole Folchert
1. September 2023 @ 8:08
Toller und sehr verständlicher Artikel zum Thema Logfiles. Aus meiner Praxis (Löschkonzepte) weiß ich, dass die Logfiles in sehr vielen Unternehmen als Datenart völlig vergessen werden. Aussage IT: „Wir verarbeiten keine personenbezogenen Daten ;-)“.
Auch finde ich in diesem Beitrag sehr gut, dass nicht nur die Stellungnahmen der Aufsichtsbehörden, sondern auch die Notwendigkeit im Unternehmen (z.B. Hackerangriffe) betrachtet wird.