Mails sicher versenden

Mails die mit einem Mailprogramm versendet werden sind für jeden lesbar, der sie empfängt. Inzwischen hat die Mehrheit aller Mail-Provider zwar auf verschlüsselte Verbindungen gewechselt, jedoch sind Mails dadurch noch immer nicht sicher.

mehr lesen

Windows 8 und 8.1 in Unternehmen

Windows 8 und 8.1 sind in vielen Unternehmen noch immer kein Thema.
Es ist sogar festzustellen, dass viele Unternehmen nun erstmal auf Windows 7 umstellen um Windows XP nun endlich abzulösen.

mehr lesen

Work Folders und Ordnerumleitung statt Roaming Profiles

In diesem Blog möchte ich nicht nur zwei Neuerungen des Windows Server 2012/2012 R2 vorstellen sondern auch demonstrieren wie mit den Technologien servergespeicherte Profile ganz wegfallen und die Profildaten zudem verschlüsselt gespeichert werden können.

mehr lesen

Windows 10 in Unternehmen

Windows 10 ist kaum auf dem Markt, da gibt es bereits die ersten Unternehmen die das Upgrade durchführen. Meist ist man sich über Probleme und Gefahren des neuen Betriebssystems gar nicht bewusst.

mehr lesen

Mehr Sicherheit mit HSTS und Public Key Pinning

Die vergangenen Monate zeigten deutlich, dass SSL nur ein begrenztes Maß an Sicherheit gewährleistet.

mehr lesen

Digitale Währungen

In diesem Beitrag erkläre ich kurz und bündig was digitale Währungen sind, welchen Zweck oder Nutzen sie haben und wie mit ihnen Geld verdient werden kann.

mehr lesen

DNSSEC und TLSA = noch mehr Sicherheit

Ein Plus an Sicherheit bieten DNSSEC und TLSA die sich leider nur schwer durchsetzen.

mehr lesen

Schlag gegen den Datenschutz

Ein neues USA-Urteil stellt den Datenschutz erneut auf den Prüfstand und ist eine Gefahr für viele Unternehmen.

mehr lesen

IT-Sicherheit ist überbewertet

Ein guter ITler zeichnet sich dadurch aus, dass er sich für seine Sicherheitslücken interessiert und Hinweise darauf wohlwollend entgegen nimmt.

mehr lesen

Bitcoin und Bitcoin Cash

Bereits in dem Beitrag "Digitale Währungen" hatte ich kurz über Währungen der Computerwelt berichtet.

mehr lesen

Logfiles und Datenschutz

Logfiles und Datenschutz

In den vergangenen Tagen haben mich viele Anfragen zum Thema Logfiles und Datenschutz erreicht. Dabei geht es um die Frage nach der Aufbewahrungsdauer, aber auch Umfang der gespeicherten Daten. Zu diesem Thema möchte ich deshalb einige Antworten geben.

Vor der Klärung der Frage ob Logfiles gespeichert werden dürfen und in welchen Umfang, müssen wir zunächst die Daten der Logfiles betrachten.

Das Datenschutzgesetz, egal ob EU oder BRD, bezieht sich "nur" auf personenbezogene Daten.

Bei personenbezogene Daten handelt es sich um jene Daten, die einen Benutzer eindeutig identifizierbar machen. Hierzu gehören Name, Anschrift, Mailadresse, Geolocation, Fingerprint des Browsers und auch die IP-Adresse.

Denn der Gesetzgeber unterscheidet hier nicht zwischen direkten oder indirekt (nur durch Informationen Dritter) Personenbezug. Das soll heißen, dass bereits die theoretische Möglichkeit eine Person anhand der Daten zu identifizieren vollkommen ausreichend ist, damit eine Behandlung der Daten nach Datenschutzgsetz erforderlich wird.

Auch wenn Gerichte über die IP-Adresse an sich unterschiedlich entschieden haben, ist hier die Auffassung der Juristen zu sehen. Diese sagen, und das aus meiner Sicht zu Recht, dass jede IP-Adresse spätestens durch Informationen des Providers zurückverfolgbar ist. Auf die konkrete Möglichkeit, dass also die tatsächlichen Personenidentifizierung auf Grund fehlender Mitwirkung des Providers nicht erfolgen kann, kommt es demnach gar nicht an.

Nur wer davon ausgeht, dass IP-Adressen (ganz egal ob IPv4 oder IPv6) personenbezogene Daten sind, ist rechtlich am Ende auf der sicheren Seite.

Dies wird dann deutlich, wenn man die EuGH-Entscheidung vom 24.11.2011 (AZ C-70/10) betrachtet in  der es heißt: "Es steht fest, dass die Anordnung, das streitige Filtersystem einzurichten, eine systematische Prüfung aller Inhalte sowie die Sammlung und Identifizierung der IP-Adressen der Nutzer bedeuten würde, die die Sendung unzulässiger Inhalte in diesem Netz veranlasst haben, wobei es sich bei diesen Adressen um personenbezogene Daten handelt, da sie die genaue Identifizierung der Nutzer ermöglichen."

Wenigen meiner Kollegen/-innen ist die aktuelle gesetzliche Regelung wirklich bekannt. Ganz besonders wenn es um Protokolle bei Web- und Mailservern geht. Zahlreicher meiner Kolleginnen und Kollegen loggen was die Partitionen hergeben.

Doch ist zunächst zu beachten, dass damit Daten gesammelt werden, die nach unterschiedlichen, bereits gültigen Gesetzgebungen, zu behandeln sind.

Zunächst ist hier nämlich die rechtliche Grundlage entscheidend. Sammeln wir "nur" Verbindungsdaten, so ist deren Speicherung auch nur solange zulässig, wie diese Verbindung besteht.

Das ergibt sich insbesondere aus §15 Abs.1 TMG (Telemediengesetz) wonach die Daten solange gespeichert werden dürfen, solange ein Online-Angebot erbracht wird.

Diese Frist ändert sich jedoch, wenn diese Daten zu Abrechnungszwecken benötigt werden. Hier ergeben sich diese Fristen nämlich aus den Abrechnungs- und Einwendungsfristen. Zudem aus §97 Abs. 3 TMG (Telemediengesetz), wonach die Speicherung bis zu sechs Monaten nach Versand der Rechnung erlaubt ist.

Gehen wir davon aus, dass die Speicherung zur eigenen Sicherheit erfolgt, also gemäß §100 TKG (Telekommunikationsgesetz) um Störungen und Fehler abzuwehren, dürfen wir diese Daten maximal sieben Tage aufbewahren. Das wurde zumindest durch das BGH Urteil vom 03.07.2014 unter dem Aktenzeichen III ZR 371/13 entschieden.

Hierbei ist allerdings zu beachten, dass diese so gesammelten Daten auch nur und ausschließlich zu diesem Zweck verwendet werden dürfen. Eine Weitergabe (auch an Strafverfolgungsbehörden)  oder auch anderweitige Verwendung ist strikt untersagt.

Anders verhält es sich jedoch mit Daten, die unmittelbar mit einem Problem in Verbindung stehen. Diese können und müssen ggf. länger gespeichert werden.

Dies ist mitunter auch erforderlich, das diese Daten für Sicherheitstools wie "Fail2Ban" notwendig sind. Noch kritischer wird es allerdings bei der Verwendung von  DNSBased BL, GEOlokation, Google  Analytics. Denn hier werden personenbezogene Daten weitergegeben. Zum Teil auch in die USA. Wobei zu beachten ist, dass evtl. auch die Geolocation zu den personenbezogenen Daten gehört. Auch der Fingerprint  des Browsers fällt zudem in diese Kategorie.

Wir müssen uns zudem klar machen, dass alle personenbezogenen Daten auch immer  den gesetzlichen Vorgaben des Datenschutzgesetzes unterliegen. Das bedeutet in jedem Fall der Auskunfts-, Sperr- und Löschfristen. Wobei hier besonderes Augenmerkt auf die Backups gelegt werden muss. Denn eine zurecht erfolgte Löschanforderung bezieht sich auch auf die in Backups enthaltene Daten. Dabei reicht es auch nicht aus, wenn diese Daten verschlüsselt sind und nur die Schlüssel vernichtet werden.

Allerdings reicht es i.d.R. aus die Daten zu anonymisieren. Die Daten können also gespeichert und auch behalten werden, wenn diese keiner Person mehr zugeordnet werden können. Im Fall von IP-Adressen würde dies bedeuten, dass die letzten 16bit durch Zufallszahlen oder Nullen ersetzt werden. Bei IPv6 Adressen gilt dieses für die letzten 88bit.

Die alles entscheidende Frage ist also, wie man diesen Anforderungen insgesamt gerecht werden kann:

Zunächst die technischen Möglichkeiten:

Ich persönlich habe Dienste und Services so eingerichtet, dass fehlerfreie Verbindungen nur anonym oder gar nicht protokolliert werden. Beim Webserver gibt gar keine IP Adressen oder Browserfingerprints. Mailserver protokollieren auch keine Mail- oder IP-Adressen.

Nur und ausschließlich bei Fehlerereignissen werden konkrete Daten protokolliert und in separaten Logfiles abgelegt. Bei den Webservern betrifft es alle Fehler die nicht 4xx sind.

Auch Spam-Angriffe werden gesondert behandelt. Da der Empfänger einer Spammail nicht die eigentliche Gefahr darstellt, wird dieser anonymisiert. Der Absender und sendende Server wird dagegen erfasst und auch gespeichert. Die Mails werden vorsorglich nicht gespeichert, da diese sensible Daten enthalten könnten.

Analog wird natürlich mit den Logfiles anderer Dienste verfahren.

Welche Fristen verwende ich?

Für die anonymisierten Daten brauche ich keine Fristen beachten.

Im Fall von fehlerhaften Logins und Angriffen im Rahmen der Kontrollen und Auswertungen, was innerhalb von sieben Tagen erfolgt und soweit es für Sicherheitstools wie "Fail2Ban" erforderlich ist, was je nach System unterschiedlich sein kann. Es gibt jedoch kein Tool, dass in seiner Angriffserkennung und Verwendung über einen Zeitraum von mehr als sieben Tage konfiguriert ist.

Einige wenige Daten werden dabei länger gespeichert, weil diese unmittelbarer Vertragsbestandteil sind. Dies betrifft IP Adressen bei Online-Bestellungen und Online-Verträgen. Hier wird der jeweilige Benutzer jedoch entsprechend darauf hingewiesen. Die Speicherung erfolgt hier bis max. sechs Monate nach Aufttagsbestätigung.

Wie verhält es sich mit Daten innerhalb eines Unternehmens?

Natürlich verursachen Mitarbeiter eines Unternehmens auch viele Logdaten. Allerdings muss man hier berücksichtigen, dass es unterschiedliche Rechtsrahmen gibt.

Wir müssen jene Unternehmen unterscheiden, die ihren Mitarbeitern die private Nutzung der Anlagen erlauben und solche, die es untersagen.

erlaubte Privatnutzung:

Wird den Mitarbeitern die private Nutzung  der technischen Anlagen erlaubt oder über einen längeren Zeitraum geduldet, so ändert sich die rechtliche Lage des Unternehmens insgesamt. In dem Fall wird es nämlich zu einem geschäftsmäßigen Telekommunikationsanbieter gemäß §3 TKG (Telekommunikationsgesetz).

Daraus ergibt sich dann auch die Verpflichtung zur Einhaltung des Fernmeldegeheimnisses. Denn nach §88 Abs. 3 TKG (Telekommunikationsgesetz) darf, wer geschäftsmäßig Telekommunikationsdienste anbietet, sich  keine Kentnisse vom Inhalt oder näheren Umstände einer Kommunikation verschaffen, soweit dies nicht unmittelbar für das Erbringen der Telekommunikationsdienste, einschließlich dem Schutz der technischen Systeme, erforderlich ist.

Da eine Abgrenzung von privaten und geschäftlichen Aktivitäten damit nicht mehr möglich ist, darf der Arbeitgeber auch nicht auf die E-Mails oder Nutzungsdaten zugreifen.

Eine Protokollierung ist nur soweit zulässig, wie es zu Zwecken der Datenschutzkontrolle, Datensicherung, Sicherung des regulären Betriebs oder zur Abrechnung erforderlich ist.

verbotene Privatnutzung:

Hier ändert sich der rechtliche Rahmen, denn es gelten nur noch die allgemeinen Anforderungen des Datenschutzgesetz.  Diese erfordern lediglich eine Abwägung zwischen den Interessen des Unternehmens und dessen Mitarbeitern.

Der Arbeitgeber hat dabei grundsätzlich das Recht stichprobenartig zu prüfen ob Internet- und E-Mailnutzung rein betrieblicher/dienstlicher Natur ist. Allerdings besteht zugleich auch die Pflicht zu kontrollieren ob dieses Gebot auch tatsächlich eingehalten wird.

Dabei ist eine automatisierte Vollkontrolle durch den Arbeitgeber ein schwerwiegender Eingriff in das Persönlichkeitsrecht des Mitarbeiters und deshalb nur bei konkreten Missbrauchsverfacht und im Einzelfall zulässig.

In einer betrieblichen Umgebung sollte auch unbedingt beachtet werden, dass Betriebs- oder Personalrat bei Überwachungseinrichtungen mitentscheiden sollten und ggf. Mitbestimmungsrechte haben.

Sonderfälle:

Natürlich gibt es zu alle dem zahlreiche Sonderfälle, die aber immer auch eine Einzelfallabwägung erfordern.

Sonderfälle können sich aus einem Notbetrieb ergeben, der durch einen akuten Angriff entsteht. Hier darf dann ausnahmsweise tatsächlich vollumfänglich und automatisiert gefiltert und protokolliert werden. Dies gilt zumeist jedoch nur für die Dauer des Angriffs.

Bei konkreten Tatverfacht ist die Lage auch wieder anders. Denn in dem Fall ist die Überwachung des betroffenen Arbeitsplatzes auch verdeckt zulässig. Bei konkreten und vor allem hinreichenden Verdacht darf eine verdeckte Überwachung (nach Urteil des Bundesarbeitsgerichts vom 27.03.2003 unter 2 AZR 51/02 auch mit Kamera) von Internet-, Zugriffs- und Mailverkehr dann erfolgen, wenn die begangene Handlung hinreichend schwer ist und nicht oder nur schwert mit anderen Mitteln nachgewiesen werden kann.

Allerdings ist hier zu beachten, dass es nicht die Überwachung der gesamten Belegschaft rechtfertigt. 

Auskunftspflicht:

Liebe Kolleginnen und Kollegen, beachtet diese Auskunftspflicht nach BDSG unbedingt. Denn das Datenschutzgesetz räumt grundsätzlich jeden ein alle über ihn gespeicherte Daten einzusehen. Jeder hat das Recht diese kostenfrei zu erfragen und Auskunft zu erhalten.

Das bedeutet aber auch, dass bei einer Anfrage auch die Daten aus den Logfiles zu benennen sind. Die unterschiedlichen Rechtsprechungen garantieren uns nicht, dass wir IP-basierte Daten nur dann herausgeben müssen, wenn wir die IP-Adressen auch tatsächlich und ohne Auskunft durch Dritte (z.B. Provider) zuordnen können. Je nach entscheidenden Gericht könnte ein evtl. Urteil auch festlegen, dass es nicht relevant ist ob wir einzig mit unseren Daten zuordnen können. Bereits das "könnte" kann hier plötzlich ausreichen.

künftige gesetzliche Entwicklung:

Die neue gesetzliche Regelung, die im Mai 2018 durch EU-DSGVO in Kraft tritt steckt den Rahmen noch enger. Soweit wir personenbezogene Daten speichern, muss der betroffene entweder eine effektive (auch elektronische) Einwilligung gegeben haben oder es muss ein zwingendes Interesse an der Speicherung der Daten vorhanden sein. Dies muss nachgewiesen werden können. Wobei das zwingende Interesse eben eine Sicherheitsverletzung sein kann oder die Daten zur Erfüllung des Vertrags erforderlich sind.

Dabei stellt ein stillschweigendes Einverständnis kein Einverständnis dar. Zudem muss das Einverständnis für jeden Datenverarbeitungsvorgang separat erklärt werden. Es ist also nicht möglich zugleich die Einwilligung für den Newsletter und der Speicherung von Protokolldaten abzugeben. Beide Erklärungen müssen separat erfolgen.

Dabei kann die Einwilligung auch jederzeit und ohne Begründung widerrufen werden.

Ganz wichtig ist dabei die Tatsache, dass eine Einwilligung zur Speicherung von Daten nur dann rechtswirksam ist, wenn der Vertrag tatsächlich nur mit diesen Daten erfüllt werden kann oder der Vertragsabschluss auch ohne diese Daten möglich gemacht wird.

Im Klartext bedeutet dies, dass Unternehmen die Angabe einer Telefonnummer beispielsweise nicht erzwingen dürfen, wenn diese nicht erforderlich ist um den Vertrag zu erfüllen.

Auch die Informations- und Auskunftspflicht wird verschärft.

So muss die Auskunft nun auch angeben  aus welchen Rechtsgrund und für welche Dauer die Daten gespeichert werden.

Werden Daten an Dritte weitergegeben, so sind die weitergebenenden Unternehmen dann auch in der Pflicht die Empfänger der Daten über die Unrichtigkeit zu informieren und die Korrektur zu verlangen.

Auch die Meldepflicht für Datenpannen wird am Mai ausgeweitet. Bisher mussten nur Pannen gemeldet werden, welche sensible Daten betrafen. Hierzu gehörten Sicherheits-, Konto- und Gesundheitsdaten.  Ab Mai 2018 sind binnwn 72 Stunden alle zu melden, welche ein Risiko für die Rechte oder Pflichten des Betroffenen darstellen. Besteht voraussichtlich ein hohes Risiko für den Betroffenen, ist dieser auch direkt zu informieren.

Das könnte in der Tat auch ein unbefugter Zugriff auf Protokolle mit IP-, Mailadressen oder Browser-Fingerprint beinhalten.

 

Blog

DNSSEC und TLSA = noch mehr Sicherheit

DNSSEC und TLSA = noch mehr Sicherheit

Ein Plus an Sicherheit bieten DNSSEC und TLSA die sich leider nur schwer durchsetzen.

weiterlesen

Logfiles und Datenschutz

Logfiles und Datenschutz

In den vergangenen Tagen haben mich viele Anfragen zum Thema Logfiles und Datenschutz erreicht. Dabei geht es um die Frage nach der Aufbewahrungsdauer, aber auch Umfang der gespeicherten Daten. Zu...

weiterlesen

Digitale Währungen

Digitale Währungen

In diesem Beitrag erkläre ich kurz und bündig was digitale Währungen sind, welchen Zweck oder Nutzen sie haben und wie mit ihnen Geld verdient werden kann.

weiterlesen

Schlag gegen den Datenschutz

Schlag gegen den Datenschutz

Ein neues USA-Urteil stellt den Datenschutz erneut auf den Prüfstand und ist eine Gefahr für viele Unternehmen.

weiterlesen

Bitcoin und Bitcoin Cash

Bitcoin und Bitcoin Cash

Bereits in dem Beitrag "Digitale Währungen" hatte ich kurz über Währungen der Computerwelt berichtet.

weiterlesen

Neue Zahlungsweisen Bitcoin Classic, Bit…

Neue Zahlungsmethoden

Digitale Währungen halten immer weiter Einzug in die Geschäftswelt und so kann auch ich mich vor ihnen nicht verschließen.

weiterlesen

IT-Sicherheit ist überbewertet

Nachricht eines Administrators

Ein guter ITler zeichnet sich dadurch aus, dass er sich für seine Sicherheitslücken interessiert und Hinweise darauf wohlwollend entgegen nimmt.

weiterlesen

Mehr Sicherheit mit HSTS und Public Key …

Die vergangenen Monate zeigten deutlich, dass SSL nur ein begrenztes Maß an Sicherheit gewährleistet.

weiterlesen

Windows 10 in Unternehmen

Windows 10 ist kaum auf dem Markt, da gibt es bereits die ersten Unternehmen die das Upgrade durchführen. Meist ist man sich über Probleme und Gefahren des neuen Betriebssystems gar...

weiterlesen
Top