Ergebnis 1 bis 5 von 5

Thema: Kontrolle: Wer hat wann auf welche Daten zugegriffen

  1. #1
    Registriert seit
    03.05.2018
    Beiträge
    22

    Standard Kontrolle: Wer hat wann auf welche Daten zugegriffen

    Hallo zusammen,

    wenn ich die DSGVO richtig interpretieren (aktuell fehlt mir hier der entsprechende Artikel zu) aber auch BDSG-nF §64,
    dann muss bei allen Systemen, auf welchen personenbezogene Daten verarbeitet werden, dass

    "wer hat wann auf welche personenbezogenen Daten zugegriffen"

    geklärt sein.

    Wie soll das in der Praxis aussehen? Generell müsste man das Betriebssystem, als auch die Applikation, so eingestellt werden,
    dass Zugriffe auf pbD geloggt werden.
    Nehme ich ein frisch installiertes Betriebssystem, habe ich schon hier pbD in Form der IP und des Benutzers im log. Der nächste
    User könnte dies im Log einsehen.
    Ergo müsste man bei einem unixoiden System das auditing aktivieren welches den Zugriff auf die Logs überwacht. Im besten Falle
    müsste das logging des Auditing dann an ein zentrales System (SIEM) gehen zu Kontrolle.

    Verstehe ich das korrekt? Und wenn ja, wie wird dies in der Praxis pragmatisch von anderen umgesetzt?

    Nur ein Berechtigungsmanagement, oder ein Ticketsystem über welches die Benutzer dann selbst eintragen das diese auf pbD zugegriffen
    haben, erfüllt hier imho nicht den Zweck.

    Danke.

  2. #2
    Registriert seit
    01.09.2009
    Beiträge
    391

    Standard

    Hallo,
    hast Du hier schon mal gelesen?
    https://www.bfdi.bund.de/bfdi_forum/...ead.php?t=7059
    Seid Ihr eine Behörde der Justiz oder Inneren Sicherheit? Nur für diese Behörden gilt u.A. § 64 BDSG n.F.

  3. #3
    Registriert seit
    10.02.2011
    Beiträge
    3.710

    Standard

    §64 BDSG ist Teil der Umsetzung der Richtlinie 2016/680. Die Anforderung der Eingabekontrolle existierte bereits im alten BDSG. Dabei geht es weniger darum, einen Keylogger mitlaufen zu lassen, sondern vielmehr darum, Veränderungen an Datensätzen zu protokollieren und nachvollziehbar zu machen: Wer hat die Kontonummer von Max Mustermann geändert? Diese Protokollierung der Veränderung fachlicher Daten muß die Applikation, mit der pb Daten verarbeitet werden, gewährleisten.

    Ein davon unabhängiger Sachverhalt ist das Betriebssystem selbst. In der Praxis unixoider BS sieht das so aus, daß mit dem Linux Audit System und Tools wie Aide, Samhain u.ä. Events und Manipulationen an Konfigurationen und Daten, die für den ordnungsgemäßen Betrieb des Systems und der Applikationen notwendig sind, überwacht werden. Je nach Schutzbedarf kommt ein Siem zum Einsatz, bei manchen reicht eine gehärtete VM als zentraler Logserver, bei anderen bleiben die Logs einfach dort liegen, wo sie geschrieben werden. Manipulationen an systemrelevanten Daten werden durch ein zentrales Management rückgängig gemacht (Puppet, Ansible) und revisionieren lassen sich die darin gepflegten Daten z.B. mit Git.

    Gleichgültig, welche Protokollierung im Einsatz ist (System oder Applikation): Die Auswertung und der Zugriff darauf muß geregelt sein. Dafür ist ein Berechtigungsmanagement außerordentlich sinnvoll, ebenso wie für die eigentliche Verarbeitung von fachlichen Daten oder Systemveränderungen. Da teilweise eine recht detaillierte Leistungs- und Verhaltenskontrolle möglich ist, droht in der Praxis als organisatorische Maßnahme eine Richtlinie mit arbeitsrechtlichen Konsequenzen bei unberechtigten Zugriffen. Spätestens an diesem Punkt stellt sich auch die Frage nach der Kontrolle des Kontrollierenden. Eine technische Maßnahme wäre z.B. das Auslösen eines Events (im einfachsten Fall: E-Mail schicken). Eines wird beim Thema Protokollierung sehr gern vergessen: Für Techniker ist bei einer Fehlersuche das Log ein wesentliches Hilfsmittel und stellenweise sind pb Daten zum Auffinden von Fehlern erforderlich. Man kann also einen beliebig großen Aufwand veranstalten. Die Frage dabei ist wohl: Was ist das Ziel und was ist sinnvoll und notwendig, um es zu erreichen?.

  4. #4
    Registriert seit
    03.05.2018
    Beiträge
    22

    Standard

    Hallo,

    nur für Behörden? Und nein, keine Behörde ;-).

    Aber dennoch sollte doch für alle anderen die Nachvollziehbarkeit, wer hat wann was getan, verpflichtend sein, oder verstehe ich das falsch?

  5. #5
    Registriert seit
    10.02.2011
    Beiträge
    3.710

    Standard

    Trotz der Möglichkeit, auf der Ignorelist zu stehen: #3 bezog sich eigentlich auf die anderen.

Ähnliche Themen

  1. DSGVO Fallbeispiel - Wer hat welche Pflichten zu erfüllen?
    Von dlk im Forum Europa, Internationales
    Antworten: 2
    Letzter Beitrag: 26.02.2018, 10:43
  2. Fahrradshop: Welche Rechte hat ein Kunde/Verbraucher
    Von Mausilover im Forum Allgemeine Rechtsfragen, Gesetze, Gesetzgebung
    Antworten: 1
    Letzter Beitrag: 08.08.2016, 07:42
  3. "Wer nichts zu verbergen hat, hat auch nichts zu befürchten"
    Von versandler im Forum Datenschutz - Gesellschaft - Politik
    Antworten: 18
    Letzter Beitrag: 06.01.2014, 11:13
  4. Wer hat was gelernt?
    Von DTI im Forum OFF TOPIC
    Antworten: 23
    Letzter Beitrag: 05.11.2012, 11:02
  5. Wer nichts verbrochen hat ...
    Von user101 im Forum Fun - Spass - Satire
    Antworten: 2
    Letzter Beitrag: 16.07.2009, 12:32

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •