12
Speicherdauer Zugriffsprotokolle (onPrem + Cloud)
Hallo Allerseits,
ich soll eine fundierte Entscheidung treffen zur Speicherdauer von Zugriffsprotokollen (insb. Firewall + AD + Entra).
Das das Thema ein Kompromiss zwischen den Schutzzielen der IT-Sicherheit und Grundsätzen des Datenschutz sein muss, ist mir bekannt.
Es gibt, als Anhaltspunkt den § 76 Abs. 4 BDSG: „Protokolldaten sind am Ende des auf deren Generierung folgenden Jahres zu löschen“ und §8 Abs. 2 BSI-Gesetz mit einer Frist von bis zu 18 Monaten.
Das BSI scheint keine konkreten Vorgaben zu machen, da wird immer von "Angemessen" und "Zweckmäßig" gesprochen.
Wenn man den Meldungen zu Cyberangriffen folgt wird dort durchaus von Angriffen gesprochen, bei denen zwischen Infektion und Detektion 1 Jahr vergangen ist - aber ist das eine valide Quelle, eine wahre Aussage?
Ich persönlich empfinde 1 Jahr als guten Ansatz.... was sagt ihr? Wie wird es bei Euch gehandhabt?
Was sagen die Informationssicherheits-Spezialisten hier im Forum dazu?
Vielen Dank!
ich soll eine fundierte Entscheidung treffen zur Speicherdauer von Zugriffsprotokollen (insb. Firewall + AD + Entra).
Das das Thema ein Kompromiss zwischen den Schutzzielen der IT-Sicherheit und Grundsätzen des Datenschutz sein muss, ist mir bekannt.
Es gibt, als Anhaltspunkt den § 76 Abs. 4 BDSG: „Protokolldaten sind am Ende des auf deren Generierung folgenden Jahres zu löschen“ und §8 Abs. 2 BSI-Gesetz mit einer Frist von bis zu 18 Monaten.
Das BSI scheint keine konkreten Vorgaben zu machen, da wird immer von "Angemessen" und "Zweckmäßig" gesprochen.
Wenn man den Meldungen zu Cyberangriffen folgt wird dort durchaus von Angriffen gesprochen, bei denen zwischen Infektion und Detektion 1 Jahr vergangen ist - aber ist das eine valide Quelle, eine wahre Aussage?
Ich persönlich empfinde 1 Jahr als guten Ansatz.... was sagt ihr? Wie wird es bei Euch gehandhabt?
Was sagen die Informationssicherheits-Spezialisten hier im Forum dazu?
Vielen Dank!
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 6295032160
Url: https://administrator.de/contentid/6295032160
Ausgedruckt am: 21.11.2024 um 16:11 Uhr
12 Kommentare
Neuester Kommentar
Moin,
Generierung: 01.01.2024
darauf folgendes Jahr: 2025
Ende des Jahres: 31.12.2025
somit knapp zwei Jahre
Generierung: 31.12.2024
darauf folgendes Jahr: 2025
Ende des Jahres: 31.12.2025
somit exakt ein Jahr
Was willst du da noch diskutieren, wenn du selbst schon bei einem Jahr bist...
Gruß
Es gibt, als Anhaltspunkt den § 76 Abs. 4 BDSG: „Protokolldaten sind am Ende des auf deren Generierung folgenden Jahres zu löschen“ und §8 Abs. 2 BSI-Gesetz mit einer Frist von bis zu 18 Monaten.
Generierung: 01.01.2024
darauf folgendes Jahr: 2025
Ende des Jahres: 31.12.2025
somit knapp zwei Jahre
Generierung: 31.12.2024
darauf folgendes Jahr: 2025
Ende des Jahres: 31.12.2025
somit exakt ein Jahr
Was willst du da noch diskutieren, wenn du selbst schon bei einem Jahr bist...
Gruß
1
Moin,
komplettes Durcheinander je nach Anwendung, bspw. Schließanlage 180 Tage (könnte sogar kürzer sein) über Datenbanklogs (bis zu drei Jahre), internes Chatsystem (60 Tage) bis hin zu Logs, die nie gelöscht werden, weil sie keiner auf dem Radar hat oder aus purer Angst es könnte was kaputt gehen.
Bei den Dingen in meiner Verantwortung, nach Rücksprache mit dem Datenschutz, max. drei Jahre.
Grüße
komplettes Durcheinander je nach Anwendung, bspw. Schließanlage 180 Tage (könnte sogar kürzer sein) über Datenbanklogs (bis zu drei Jahre), internes Chatsystem (60 Tage) bis hin zu Logs, die nie gelöscht werden, weil sie keiner auf dem Radar hat oder aus purer Angst es könnte was kaputt gehen.
Bei den Dingen in meiner Verantwortung, nach Rücksprache mit dem Datenschutz, max. drei Jahre.
Grüße
1
Danke für deine Antwort. Das BDSG hat nur eine eingeschränkte Gültigkeit, z.B. für Bundesbehörden oder im Rahmen von Öffnungsklauseln der DSGVO.
Insofern ist der Artikel 76 nicht einschlägig für private Unternehmen, daher nur ein "Anhaltspunkt".
Ich würde lieber von der Bedrohungsseite argumentieren...
Insofern ist der Artikel 76 nicht einschlägig für private Unternehmen, daher nur ein "Anhaltspunkt".
Ich würde lieber von der Bedrohungsseite argumentieren...
1
Es geht um Lösckonzepte fürs DSGVO?
Mach das, was du für sinnvoll hältst und argumentiere dementsprechend.
Bei Anlehnung an bestehende Regelungen geht man von max. 6 Monaten (§ 15 Abs. 7 TMG) bis max. 2 Jahre (§ 76 Abs. 4 BDSG) aus.
Es kann auch länger sein, wenn es der Zweck erfordert.
§ 76 BDSG gilt für automatisch generierte persönliche Daten. Das hat mit "privatem Unternehmen" jetzt nix zu tun. Was wäre denn dann ein "nicht privates Unternehmen", an das sich § 76 BDSG nun einshlägig richten würde?
Es geht um Pflichten der Verantwortlichen und Auftragsverarbeiter. Ob privat oder nicht spielt da erstmal keine Rolle. Vor allem ist es private Unternehmen relevant.
§ 1 Abs. 1 BDSG:
Für nichtöffentliche Stellen gilt dieses Gesetz für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie die nicht automatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen, es sei denn, die Verarbeitung durch natürliche Personen erfolgt zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten.
Knackpunkt ist die Art der Verrarbeitung.
Mach das, was du für sinnvoll hältst und argumentiere dementsprechend.
Bei Anlehnung an bestehende Regelungen geht man von max. 6 Monaten (§ 15 Abs. 7 TMG) bis max. 2 Jahre (§ 76 Abs. 4 BDSG) aus.
Es kann auch länger sein, wenn es der Zweck erfordert.
§ 76 BDSG gilt für automatisch generierte persönliche Daten. Das hat mit "privatem Unternehmen" jetzt nix zu tun. Was wäre denn dann ein "nicht privates Unternehmen", an das sich § 76 BDSG nun einshlägig richten würde?
Es geht um Pflichten der Verantwortlichen und Auftragsverarbeiter. Ob privat oder nicht spielt da erstmal keine Rolle. Vor allem ist es private Unternehmen relevant.
§ 1 Abs. 1 BDSG:
Für nichtöffentliche Stellen gilt dieses Gesetz für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie die nicht automatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen, es sei denn, die Verarbeitung durch natürliche Personen erfolgt zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten.
Knackpunkt ist die Art der Verrarbeitung.
Moin @KOLLEGEC64,
wenn du die Antwort nur rein aus sicherheitstechnischer Sicht haben möchtest, dann ist diese relativ einfach, sprich, so lange wie nur irgendwie möglich. 😉
Ja, ich weiss, die DSBler bekommen bei solchen Aussagen immer einen leichten Herzkasper. 🤪
Ich bekomme diesen, bei deren zum Teil sehr wirren und widersprüchlichen Anforderungen aber auch des Öfteren. 🙃
Also 1 Jahr währe aus sicherheitstechnischer Sicht schon sehr wünschenswert und zwar als Minimum.
Wie willst du jedoch z.B. bei einer FW/NGFW/SGW die Logs über einen Zeitraum von einem Jahr oder länger aufbewahren?
Wir setzen z.B. bei unseren Kunden die Sophos XGS Geräte ein und die löschen/überschreiben die Logs, zum Teil schon nach wenigen Tagen. 😔
Ja, die Reports der XGS reichen länger aber ein Report ist ein Report und ein Log ist ein Log.
Und ja, die XGS können ihre Events auch zu Central synchronisieren, aber auch dort werden die Daten, spätestens nach 6 Monaten gelöscht. 😭
Gruss Alex
Wenn man den Meldungen zu Cyberangriffen folgt wird dort durchaus von Angriffen gesprochen, bei denen zwischen Infektion und Detektion 1 Jahr vergangen ist - aber ist das eine valide Quelle, eine wahre Aussage?
Was sagen die Informationssicherheits-Spezialisten hier im Forum dazu?
Was sagen die Informationssicherheits-Spezialisten hier im Forum dazu?
wenn du die Antwort nur rein aus sicherheitstechnischer Sicht haben möchtest, dann ist diese relativ einfach, sprich, so lange wie nur irgendwie möglich. 😉
Ja, ich weiss, die DSBler bekommen bei solchen Aussagen immer einen leichten Herzkasper. 🤪
Ich bekomme diesen, bei deren zum Teil sehr wirren und widersprüchlichen Anforderungen aber auch des Öfteren. 🙃
Ich persönlich empfinde 1 Jahr als guten Ansatz....
Also 1 Jahr währe aus sicherheitstechnischer Sicht schon sehr wünschenswert und zwar als Minimum.
Wie willst du jedoch z.B. bei einer FW/NGFW/SGW die Logs über einen Zeitraum von einem Jahr oder länger aufbewahren?
Wir setzen z.B. bei unseren Kunden die Sophos XGS Geräte ein und die löschen/überschreiben die Logs, zum Teil schon nach wenigen Tagen. 😔
Ja, die Reports der XGS reichen länger aber ein Report ist ein Report und ein Log ist ein Log.
Und ja, die XGS können ihre Events auch zu Central synchronisieren, aber auch dort werden die Daten, spätestens nach 6 Monaten gelöscht. 😭
Gruss Alex
Moin @kpunkt,
ich glaub eher, dass es dem TO darum geht, anhand der Logs zu beweisen, dass die Integrität/Sicherheit der Daten für die er verantwortlich ist, über einen längeren Zeitraum nicht verletzt wurde, oder wenn eine Verletzung stattgefunden hat, mit diesen Logs den Umfang dieser zu belegen. 😉
Der §15 wurde im alten TMG schon vor Jahren gestrichen und spätestens seit dem 14.05.2024, ist das TMG übrigens ganz tot. Ja OK, das ist nicht ganz korrekt, da es durch das DDG ersetzt wurde.
Das DDG hingegen enthält stand jetzt, überhaupt keine Hinweise für irgendwelche Aufbewahrungsfristen.
Und das BDSG, respektive die LDSG's, gelten überhaupt nicht für die private Wirtschaft.
Sprich, das einzige was hier rechtlich übrig bleibt ist eigentlich die DSGVO.
Diese besagt im Artikel 5 Absatz 1.f jedoch das folgende ...
... und im Artikel 5 Absatz 2 steht auch noch das folgende geschrieben.
... und zwar das letztere ohne Einschränkung von irgend einem Zeitraum!
Sprich, um die "Integrität und Vertraulichkeit" der Daten über deren gesamten Aufbewahrungszeitraum belegen zu können, müssen die entsprechenden Logs darüber, auch über den entsprechenden Aufbewahrungszeitraum gespeichert werden und dieser beträgt bei kaufmännischen unterlagen 10 und bei medizinischen Unterlagen sogar von bis zu 30 Jahren.
Gruss Alex
Es geht um Lösckonzepte fürs DSGVO?
ich glaub eher, dass es dem TO darum geht, anhand der Logs zu beweisen, dass die Integrität/Sicherheit der Daten für die er verantwortlich ist, über einen längeren Zeitraum nicht verletzt wurde, oder wenn eine Verletzung stattgefunden hat, mit diesen Logs den Umfang dieser zu belegen. 😉
Bei Anlehnung an bestehende Regelungen geht man von max. 6 Monaten (§ 15 Abs. 7 TMG) bis max. 2 Jahre (§ 76 Abs. 4 BDSG) aus.
Der §15 wurde im alten TMG schon vor Jahren gestrichen und spätestens seit dem 14.05.2024, ist das TMG übrigens ganz tot. Ja OK, das ist nicht ganz korrekt, da es durch das DDG ersetzt wurde.
Das DDG hingegen enthält stand jetzt, überhaupt keine Hinweise für irgendwelche Aufbewahrungsfristen.
Und das BDSG, respektive die LDSG's, gelten überhaupt nicht für die private Wirtschaft.
Sprich, das einzige was hier rechtlich übrig bleibt ist eigentlich die DSGVO.
Diese besagt im Artikel 5 Absatz 1.f jedoch das folgende ...
"in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen ("Integrität und Vertraulichkeit");"
... und im Artikel 5 Absatz 2 steht auch noch das folgende geschrieben.
"Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können ("Rechenschaftspflicht")."
... und zwar das letztere ohne Einschränkung von irgend einem Zeitraum!
Sprich, um die "Integrität und Vertraulichkeit" der Daten über deren gesamten Aufbewahrungszeitraum belegen zu können, müssen die entsprechenden Logs darüber, auch über den entsprechenden Aufbewahrungszeitraum gespeichert werden und dieser beträgt bei kaufmännischen unterlagen 10 und bei medizinischen Unterlagen sogar von bis zu 30 Jahren.
Gruss Alex
Zitat von @MysticFoxDE:
Der §15 wurde im alten TMG schon vor Jahren gestrichen und spätestens seit dem 14.05.2024, ist das TMG übrigens ganz tot. Ja OK, das ist nicht ganz korrekt, da es durch das DDG ersetzt wurde.
Das DDG hingegen enthält stand jetzt, überhaupt keine Hinweise für irgendwelche Aufbewahrungsfristen.
Rechtsvorschriften wurden geändert (DDG, TDDDG, verweise auf Rechtssprechungen, EU-Verordnungen, usw.), die Aussage bleibt eher gleich. Und ehrlich gesagt, keine Ahnung, wo die Vorratsdatenspeicherung momentan festgehalten wurde. Daher geht es, wie geschrieben, um Anlehnungen die gemacht werden können, aber nicht müssen.Der §15 wurde im alten TMG schon vor Jahren gestrichen und spätestens seit dem 14.05.2024, ist das TMG übrigens ganz tot. Ja OK, das ist nicht ganz korrekt, da es durch das DDG ersetzt wurde.
Das DDG hingegen enthält stand jetzt, überhaupt keine Hinweise für irgendwelche Aufbewahrungsfristen.
Dass, das BDSG nicht für die Privatwirtschaft gelten soll ist dann doch etwas merkwürdig. Aber oke, kann man ja auch das DSGVO nehmen. DSGVO, BDSG, AO, Arbeitsrecht,...die müssen gemeinsam betrachtet werden, wenn es um Datenschutz, Aufbewahrungsfristen und dergleichen geht.
Entscheidend ist die noch immer die Lesart der Gerichte. Bei Protokolldateien, wird im Zuge des DSGVO auch gerne auf das BSIG verwiesen.
Vor einem Grundsatzurteil muss man mit den Auslegungen leben. Es gibt daher meistens immer nur Vergleiche zu bestehenden Fristen in anderen, ähnlich gelagerten Rechtsvorschriften.
Tatsächlich ist es so, dass, datenschutzrechtlich betrachtet, eine Aufbewahrung auch unbefristet möglich ist, solange der Zweck der Verarbeitung gegeben ist (Art 6 DSGVO) und es keine weiteren gesetzlichen Auflagen (etwa AO) gibt. Es muss halt nur begründet und irgendwo aufgeschrieben sein. Das verhasste Löschkonzept eben.
Insgesamt gilt immer die Datensparsamkeit. Und von daher der Grundsatz aus IT-sicherheitstechnischer Sicht: so kurz wie nötig, so lange wie möglich. Der Datenschützer siehts eben genau anders rum. Muss man halt irgendwie unter einen Hut bringen.
Interessant dazu auch die Stellungnahme des Bundesfuzzis zu u.a. § 5 Abs. 2 BSIG (auch wenn sich diese Rechtsvorschrift nur an das BSI und die Kommunikation seitens des Bundes richtet) https://www.bfdi.bund.de/SharedDocs/Downloads/DE/DokumenteBfDI/Stellungn ...
1
Moin @kpunkt,
ähm, da muss ich glaube ich kräftig zurückrudern, zumindest BDSG technisch, den laut ...
https://dsgvo-gesetz.de/bdsg/1-bdsg/
... gilt dieses auch für nichtöffentliche Stellen, sprich auch für die Privatwirtschaft!
Die jeweiligen LDSG's, gelten hingegen nur für die öffentlichen Stellen und nicht auch für die Privatwirtschaft. 🙃
Und sorry für die Verwirrung.
Für dieser ganzen Föderalismus-Hickhack, kann ich jedoch nicht wirklich etwas schon gar nicht als ITler.
Aber ja, ohne diesen, wäre Markus ja auch nicht wirklich der König von Bavarien. 🤪
Gruss Alex
Dass, das BDSG nicht für die Privatwirtschaft gelten soll ist dann doch etwas merkwürdig.
ähm, da muss ich glaube ich kräftig zurückrudern, zumindest BDSG technisch, den laut ...
https://dsgvo-gesetz.de/bdsg/1-bdsg/
§1 Absatz 1 ²
"Für nichtöffentliche Stellen gilt dieses Gesetz für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen, es sei denn, die Verarbeitung durch natürliche Personen erfolgt zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten."
"Für nichtöffentliche Stellen gilt dieses Gesetz für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen, es sei denn, die Verarbeitung durch natürliche Personen erfolgt zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten."
... gilt dieses auch für nichtöffentliche Stellen, sprich auch für die Privatwirtschaft!
Die jeweiligen LDSG's, gelten hingegen nur für die öffentlichen Stellen und nicht auch für die Privatwirtschaft. 🙃
Und sorry für die Verwirrung.
Für dieser ganzen Föderalismus-Hickhack, kann ich jedoch nicht wirklich etwas schon gar nicht als ITler.
Aber ja, ohne diesen, wäre Markus ja auch nicht wirklich der König von Bavarien. 🤪
Gruss Alex
Jupp, da ist vieles ganz verworren und man verliert da gerne mal den Überblick. Ich muss mir das auch immer mindestens zweimal anschauen.
Und eigentlich muss ich das ja auch nicht wissen. Dafür gibts die DSBler.
Und eigentlich muss ich das ja auch nicht wissen. Dafür gibts die DSBler.
Moin @kpunkt,
theoretisch ja , aber leider glauben die meisten DSBler, die ich bisher kennen lernen durfte zwar,
dass sie ganz viel von AVV's & TOM's verstehen, jedoch haben diese von IT, geschweige den von deren Security, sehr oft überhaupt keine Ahnung. 😭
Und selbst bei den ganzen AVV's & TOM's, schiessen sie gerne oft und weit über das Ziel hinaus. 😔
Gruss Alex
Und eigentlich muss ich das ja auch nicht wissen. Dafür gibts die DSBler.
theoretisch ja , aber leider glauben die meisten DSBler, die ich bisher kennen lernen durfte zwar,
dass sie ganz viel von AVV's & TOM's verstehen, jedoch haben diese von IT, geschweige den von deren Security, sehr oft überhaupt keine Ahnung. 😭
Und selbst bei den ganzen AVV's & TOM's, schiessen sie gerne oft und weit über das Ziel hinaus. 😔
Gruss Alex
Wen es interessiert: Wie stehen BDSG und DSGVO zueinander
Unterpunkt: "Welche Regelungen des BDSG gehen über die DSGVO hinaus?"
DANKE auf jeden Fall an alle für den umfangreichen INPUT!
Unterpunkt: "Welche Regelungen des BDSG gehen über die DSGVO hinaus?"
DANKE auf jeden Fall an alle für den umfangreichen INPUT!
1
Moin @KOLLEGEC64,
interessante Info, danke dafür! 👍
Gerne und nur der Neugierde halber, welche FW/NGFW/SGW, habt ihr überhaupt im Einsatz?
Gruss Alex
Wen es interessiert: Wie stehen BDSG und DSGVO zueinander
interessante Info, danke dafür! 👍
DANKE auf jeden Fall an alle für den umfangreichen INPUT!
Gerne und nur der Neugierde halber, welche FW/NGFW/SGW, habt ihr überhaupt im Einsatz?
Gruss Alex
