PAllgemein

Protokollierung (Audit Log) in IT-Systemen

Nachvollziehbare Logs zu Zugriffen/Änderungen für Sicherheit und Compliance.

Protokollierung (Audit Log) in IT-Systemen bedeutet, dass ein System nachvollziehbar und manipulationssicher festhält, wer wann auf welche Daten oder Funktionen zugegriffen und welche Änderungen durchgeführt hat. Solche Audit-Logs sind ein zentraler Baustein für IT-Sicherheit, Datenschutz und Compliance – besonders für KMU, die Vorfälle schnell aufklären und Pflichten nachweisen müssen.

Was wird in einem Audit Log typischerweise erfasst?

Ein gutes Audit Log protokolliert sicherheits- und datenschutzrelevante Ereignisse so, dass sie später auswertbar sind. Typische Inhalte sind:

  • Identität: Benutzerkonto, Rolle, ggf. Service-Account (nicht nur „Admin“).
  • Zeitstempel: synchronisiert (z. B. NTP), inkl. Zeitzone.
  • Aktion: Login/Logout, fehlgeschlagene Logins, Datenexport, Löschung, Rechteänderung, Konfigurationsänderung.
  • Objekt: betroffener Datensatz, Datei, System, Mandant, API-Endpunkt.
  • Quelle: IP-Adresse, Gerät, Standort-Indikatoren, Client (Browser/App).
  • Ergebnis: erfolgreich/fehlgeschlagen, Fehlercode, ggf. Grund.

Wie funktioniert Protokollierung in der Praxis?

In KMU-Umgebungen entsteht Protokollierung oft aus mehreren Quellen (z. B. Windows/Linux-Server, Firewall, Microsoft 365/Google Workspace, ERP/CRM, Datenbank, Zutritts- oder Zeiterfassung). Wichtig ist ein durchgängiger Prozess:

  • 1) Festlegen, was relevant ist: Welche Systeme und Ereignisse müssen geloggt werden (z. B. Admin-Aktionen, Zugriff auf personenbezogene Daten, Exporte)?
  • 2) Logging aktivieren und standardisieren: Einheitliche Felder, korrekte Zeit, sinnvolle Log-Level.
  • 3) Zentral sammeln: z. B. Syslog/Agenten in ein zentrales Log-System oder SIEM (auch „light“-Setups für KMU).
  • 4) Schützen: Zugriff nur für Berechtigte, Verschlüsselung, Write-once/Append-only, Integritätsprüfungen.
  • 5) Auswerten & alarmieren: Regeln/Alerts (z. B. viele Fehlversuche, ungewöhnliche Datenexports, neue Admins).
  • 6) Aufbewahren & löschen: Retention nach Zweck/Policy, danach datenschutzkonform entfernen.

Warum ist Protokollierung für Sicherheit, DSGVO und Compliance wichtig?

Audit-Logs helfen, Sicherheitsvorfälle zu erkennen (z. B. Kontoübernahmen), Ursachen zu analysieren (Forensik) und Maßnahmen nachzuweisen. Datenschutzrechtlich unterstützen sie das Prinzip der Integrität und Vertraulichkeit (Art. 5 Abs. 1 lit. f DSGVO) sowie die Pflicht zu geeigneten technischen und organisatorischen Maßnahmen (Art. 32 DSGVO). Für KMU ist außerdem wichtig: Bei einem Incident können Logs entscheidend sein, um Umfang und Betroffenheit zu bewerten (z. B. für die 72-Stunden-Meldung bei Datenschutzverletzungen).

Beispiele aus dem KMU-Alltag

  • Microsoft 365: Protokollierung von Admin-Änderungen, Postfachzugriffen, Datei-Freigaben und Downloads in SharePoint/OneDrive.
  • ERP/CRM: Wer hat Kundendaten exportiert oder Bankverbindungen geändert?
  • Server/Netzwerk: Fehlgeschlagene RDP/SSH-Logins, neue Benutzer, geänderte Firewall-Regeln.

Typische Fehler (und wie KMU sie vermeiden)

  • Zu wenig Logging: Kritische Admin- und Datenzugriffe fehlen → Mindest-Eventkatalog definieren.
  • Zu viel Logging ohne Plan: Unübersichtliche Datenberge → Fokus auf relevante Events, saubere Filter/Retention.
  • Logs sind manipulierbar: Lokale Logs ohne Schutz → zentralisieren, restriktive Rechte, Integrität sicherstellen.
  • Keine Auswertung: Logs existieren, aber niemand schaut rein → Alerts, regelmäßige Reviews, Incident-Playbooks.

Gerade wenn ihr KI-Tools oder Chat-Systeme im Unternehmen einsetzt, kann ergänzend Prompt-Response Logging (LLM-Logging) relevant sein – dort gelten ähnliche Prinzipien (Nachvollziehbarkeit, Zugriffsschutz, Aufbewahrung), aber mit besonderem Fokus auf sensible Inhalte und Datenminimierung.