Inhalt
Nr. 2.6 – Nachvollziehbarkeit der Datenverarbeitung
(Art. 32 Abs. 1 lit. b und Abs. 2 i.V.m. Art. 5 Abs. 1 lit. c, e, f und Abs. 2 DSGVO)
Kriterium
Schutzklasse 1
(1) Der Cloud-Anbieter protokolliert Eingaben, Veränderungen und Löschungen personenbezogener Daten, die bei der bestimmungsgemäßen Nutzung des Cloud-Dienstes durch den Cloud-Nutzer oder bei administrativen Maßnahmen des Cloud-Anbieters erfolgen, um eine nachträgliche Prüfbarkeit und Nachvollziehbarkeit der Datenverarbeitung sicherzustellen. Er beachtet bei Protokollierungen die Grundsätze der Erforderlichkeit, Zweckbindung und Datenminimierung. Er bewahrt die Protokolldaten sicher auf.
(2) Der Cloud-Anbieter gestaltet die Protokollierung so, dass die Nachvollziehbarkeit von Eingaben, Veränderungen und Löschungen im Regelfall auch bei technischen oder organisatorischen Fehlern, einschließlich Bedienfehlern des Cloud-Anbieters oder seiner Mitarbeiter oder fahrlässige Handlungen des Cloud-Nutzers oder Dritter gewahrt bleibt. Er sieht einen Mindestschutz gegen vorsätzliche Manipulationen an den Maßnahmen zur Nachvollziehbarkeit vor, der solche Manipulationen erschwert.
Schutzklasse 2
(3) Die Kriterien von Schutzklasse 1 sind erfüllt.
(4) Der Cloud-Anbieter sieht gegen zu erwartende vorsätzliche Manipulationen der Protokollierungsinstanzen und gegen vorsätzliche Zugriffe auf oder Manipulationen von Protokollierungsdateien (Logs) durch Unbefugte einen Schutz vor, der zu erwartende Manipulationsversuche hinreichend und sicher ausschließt. Zu diesen Schutzmaßnahmen gehören insbesondere ein hinreichender Schutz gegen bekannte Angriffsszenarien sowie Maßnahmen, durch die eine Manipulation im Regelfall (nachträglich) festgestellt werden kann.
Schutzklasse 3
(5) Die Kriterien von Schutzklasse 1 und Schutzklasse 2 sind erfüllt.
(6) Der Cloud-Anbieter schließt Manipulationen von Protokollierungsinstanzen und -dateien (Logs) hinreichend sicher aus. Er ergreift regelmäßig Maßnahmen zur aktiven Erkennung von Manipulationen und stellt jede Manipulation und auch jeden entsprechenden Versuch nachträglich fest.
Erläuterung
Das Kriterium der Nachvollziehbarkeit konkretisiert in Teilen die in Art. 32 Abs. 1 lit. b und Abs. 2 DSGVO enthaltene, in hohem Maße konkretisierungsbedürftige Pflicht, die Gewährleistungsziele Verfügbarkeit, Integrität und Vertraulichkeit (SDM C1.2 – C1.4) von personenbezogenen Daten und Diensten auf Dauer sicherzustellen und personenbezogene Daten gegen unbeabsichtigte oder unrechtmäßige Vernichtung, Verlust, Veränderung, unbefugten Zugang oder unbefugte Offenlegung zu schützen. Hierzu muss nachträglich überprüft und festgestellt werden können, ob, wann und von wem und mit welchen inhaltlichen Auswirkungen personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind, um gegebenenfalls Zugriffsrechte für die Zukunft anders zu gestalten. Zur sicheren Aufbewahrung der Protokolldaten gehört auch, dass die Auswertbarkeit der Protokolldaten sichergestellt ist.
Da im Rahmen von Protokollierungen regelmäßig personenbezogene Daten anfallen, unterliegt der Umgang mit Protokollierungsdaten ebenfalls datenschutzrechtlichen Anforderungen. Auf die Datenschutzgrundsätze aus Art. 5 DSGVO wird Bezug genommen. Auf das Gewährleistungsziel der Datenminimierung und der Zweckbindung aus Art. 5 Abs. 1 lit. c und b DSGVO ist besonderes Augenmerk zu legen.
Umsetzungshinweis
Schutzklasse 1
Protokollierungseinrichtungen und Protokollinformation sollten vor Manipulation und unbefugtem Zugriff geschützt sein (s. ISO/IEC 27002 Ziff. 12.4.2). Die Maßnahmen sollten auf den Schutz vor unbefugten Änderungen der Protokollinformationen und Problemen im Betriebsablauf im Zusammenhang mit der Protokollierungseinrichtung abzielen, darunter:
a) Änderungen der aufgezeichneten Nachrichtentypen;
b) bearbeitete oder gelöschte Protokolldateien;
c) Überschreitung der Speicherkapazität der Protokolldatenträger mit dem Ergebnis, dass Ereignisse nicht mehr aufgezeichnet oder frühere Ereignisse überschrieben werden.
Die erstellten Protokolle sollten auf zentralen Protokollierungsservern aufbewahrt werden, wo sie vor unautorisierten Zugriffen und Veränderungen geschützt sind (s. BSI C5 Anf. RB-13). Protokolldaten sollten unverzüglich gelöscht werden, wenn sie zur Erreichung des Zwecks nicht mehr erforderlich sind.
Schutzklasse 2
Es gelten die Umsetzungshinweise für Schutzklasse 1.
Zwischen den zentralen Protokollierungsservern und den protokollierten (virtuellen) Servern sollte eine Authentisierung erfolgen, um die Integrität und Authentizität der übertragenen und gespeicherten Informationen zu schützen (s. BSI C5 Anf. RB-13). Die Übertragung sollte nach einer dem Stand der Technik entsprechenden Verschlüsselung oder über ein eigenes Administrationsnetz (Out-of-Band-Management) erfolgen.
Der Zugriff und die Verwaltung der Protokollierungs- und Überwachungsfunktionalitäten sollten auf ausgewählte und autorisierte Mitarbeiter des Cloud-Anbieters beschränkt werden. Änderungen der Protokollierungen und Überwachungen sollten vorab durch unabhängige und autorisierte Mitarbeiter überprüft und freigegeben werden (s. BSI C5 Anf. RB-15).
Ein Angriffserkennungssystem, das außerhalb des Einflussbereichs der System- und Netzwerkadministratoren verwaltet wird, kann zur Überwachung der Einhaltung der System- und Netzwerkadministrationsaktivitäten verwendet werden (s. ISO/IEC 27002 Ziff. 12.4.3).
Auf die Umsetzungshinweise im BSI C5 Anf. RB-10 und RB-11 wird hingewiesen.
Auf die Umsetzungshinweise der ISO/IEC 27002 Ziff. 12.4, ISO/IEC 27018 Ziff. 12.4.1, 12.4.2 und ISO/IEC 27701 Ziff. 6.9.4 wird hingewiesen.
Schutzklasse 3
Es gelten die Umsetzungshinweise für Schutzklasse 1 und 2.
Der Zugriff und die Verwaltung der Protokollierungs- und Überwachungsfunktionalitäten sollten eine Multi-Faktor-Authentifizierung erfordern.
Die Verfügbarkeit der Protokollierungs- und Überwachungssoftware sollte unabhängig überwacht werden(s. BSI C5 Anf. RB-16). Bei einem Ausfall der Protokollierungs- und Überwachungssoftware sollten die verantwortlichen Mitarbeiter umgehend informiert werden. Die Protokollierungs- und Überwachungssoftware sollte redundant vorhanden sein, um auch bei Ausfällen die Protokollierung und Überwachung durchführen zu können.
Die erstellten Protokolle erlauben eine eindeutige Identifizierung von Benutzerzugriffen auf Tenant-Ebene, um (forensische) Analysen im Falle eines Sicherheitsvorfalls zu unterstützen (s. BSI C5 Anf. RB-14).
Auf die Umsetzungshinweise im BSI C5 Anf. RB-13 bis RB-16 wird hingewiesen.
Nachweis
Der Cloud-Anbieter kann den Nachweis dadurch erbringen, dass er im Datensicherheitskonzept dokumentiert, wie ein Cloud-Anbieter durch Festlegung von Gegenstand und Umfang der Protokollierung, Aufbewahrung, Integritätsschutz und Löschung von Protokollen und der Verwendung der Protokolldaten die Datenschutzgrundsätze sicherstellt. Weitere Dokumente als Nachweise können Berechtigungskonzepte (insb. Nutzer- und Administratorenberechtigungen), Verfahrensanweisungen, Richtlinien, Protokoll- und Logdaten, Ergebnisprotokolle interner/externer Audits und Risikoanalysen sein.
Die Implementierung und Angemessenheit dieses Protokollierungskonzepts sollten durch repräsentative Stichproben im Rahmen des laufenden Betriebs nachgewiesen werden (bspw. Nachweis, dass Protokolleinträge bei Eingaben, Veränderungen und Löschungen personenbezogener Daten erzeugt werden). Durch die Verwendung von Sicherheitstests können auch angewendete Schutzmaßnahmen von Protokollen gegen Manipulation nachgewiesen werden.
Für Schutzklasse 2 und 3 legt ein Cloud-Anbieter die Dokumentation zur Feststellung von Manipulationen der Protokollierungen vor. Die tatsächliche Feststellung im Regelfall kann durch das Vorlegen von Ereignisprotokollen, Protokollen zur Abwehr und Erkennung von Manipulationen oder mittels elektronischer Prüfpfade nachgewiesen werden, sofern Manipulationen stattgefunden haben. Für Schutzklasse 3 weist ein Cloud-Anbieter analog nach, ob jede Manipulation und möglichst auch jeder entsprechende Versuch nachträglich feststellbar sind.
