Der nicht datenschutzgerechte Umgang mit IT-Diagnose- und Protokoll-Daten durch staatliche IT-Dienstleister setzt Bürger- und Behörden-Daten hohen Risiken aus. Er könnte sogar die Amtshaftung auslösen. Unnötigerweise, denn die sensiblen Daten in Dumps, Logs und Traces können durch Anonymisierung geschützt werden. Neues Awareness-Video hilft bei Aufklärung.
Was sind IT-Diagnose-Daten? In Fehlersituationen (Computer- oder Application-Crashs) halten sog. Dumps (Speicherauszüge) den gesamten Speicherinhalt fest. Logs werden dagegen fortlaufend erzeugt. Traces schneiden auf Bedarf den Netzverkehr mit. In jedem IT-Betrieb entstehen regelmäßig Giga-Bytes an IT-Diagnose-Daten, entweder auf den eigenen lokalen Servern oder auf den Systemen der IT-Dienstleister und Cloud-Anbieter.
Welches Risikopotential enthalten IT-Diagnose-Daten? IT-Diagnose-Dateien wirken nach außen sehr technisch und damit zunächst „harmlos“. Was vielen unbekannt ist, sie enthalten, abhängig von der konkreten Datenverarbeitung, sehr hohe Volumen versteckt eingelagerter personenbezogener und sicherheitskritischer Daten. Im Bereich behördlicher und staatlicher IT reicht das Spektrum von Bürger- und Sozialdaten bis hin zu polizeilichen, geheimdienstlichen und militärischen Daten.
Was passiert genau? Regelmäßig transferiert der IT-Betrieb IT-Diagnose-Daten zum Support der Software-Hersteller – per Upload. Und mit im Gepäck: die sensiblen Daten! Die Reise geht nach Europa, USA, Indien, China und den Rest der Welt. Der reine Transfer von Dumps, Logs und Traces erfolgt zwar verschlüsselt, sie werden aber in den einzelnen Laboren und Supportzentren entschlüsselt, gespeichert und verarbeitet. So haben u.a. die Supporter und Spezialisten freien Zugang zu allen Daten – auch zu den sensiblen, die eigentlich unter strengem Daten- und Sicherheitsschutz stehen. Faktisch weiß niemand genau, was mit den hochgeladenen Dateien auf ihrer „Weltreise“ im Einzelnen passiert, wo sie gespeichert werden, wer darauf Zugriff hat, wann sie gelöscht werden, wer sie für welchen Zweck auswertet, etc.
Zunächst stellt dies ein Datenschutzproblem dar. Denn der Transfer und die Verarbeitung der sensiblen Daten durch die Software-Hersteller erfolgt, datenschutzrechtlich gesprochen, ohne „Zweck“ und „Notwendigkeit“. Die personenbezogenen Daten der öffentlichen Verwaltung werden für die eigentliche Zielsetzung definitiv nicht benötigt. Der Zweck besteht ausschließlich in der Lösung des jeweiligen software-technischen Problems. Es verletzt den Datenschutz, wenn zu schützende, sensible Daten an Dritte zweckfremd weitergeleitet werden.
IT-Diagnose-Daten sind außerdem ein gefährliches IT-Sicherheits-Risiko! Mit dem Upload der IT-Diagnose-Daten verlassen auch sicherheitskritische Informationen der eigenen IT, wie zum Beispiel Encryption-Schlüssel, User-IDs, Passwörter und IP-Adressen, das Haus. Diese können aus den IT-Diagnose-Dateien gezielt extrahiert und z.B. für einen passgenauen Angriff genutzt werden. Dumps und Logs gehören zu den Top 25 Sicherheitsrisiken gemäß CWE von MITRE (z.B. CWE-528). Für kritische Infrastrukturen (KRITIS) und ZeroTrust-Umgebungen sind IT-Diagnose-Daten in hohem Maße risiko-relevant.
Prinzipiell untersagen die Datenschutz- und Sicherheitsgesetze auch den Behörden einen riskanten Export sensibler Daten. Nicht nur die DSGVO, das BDSG und die LDSGs fordern den Schutz für Daten des Öffentlichen Bereichs. Auch BSI- und Sicherheitsgesetz 2.0 beschäftigen sich detailliert mit Protokolldaten und deren Personenbezug. Der Schutz der Bürger- und Verwaltungsdaten sollte dabei immer im Vordergrund stehen.
Fazit
IT-Diagnose-Daten sind für Betreiber von Public-IT ein ernst zu nehmendes Risiko. Ein eventuell gleichgültiger Umgang hat – je nach Brisanz der sensiblen Daten – das Potential für einen öffentlichkeitswirksamen Datenschutz-Vorfall. Spätestens, wenn Daten der staatlichen Sicherheit Deutschland oder die EU unkontrolliert verlassen, bietet sich einegefährliche Angriffsfläche.
Da der Upload ein von Spezialisten bewusst vollzogener Schritt ist, könnte das Ignorieren obiger Risiken als potenzielle Obliegenheitsverletzung oder Gefährdungserhöhung im Rahmen der Amtshaftung angesehen werden. Daher sollten IT-Verantwortliche den sicheren Umgang mit IT-Diagnose-Daten intern und mit ihren Dienstleistern extern explizit ansprechen und klar regeln.
Es gibt praktikable Lösungen, um hier die Datensicherheit zu gewährleisten: die Anonymisierung und – eingeschränkt – die Pseudonymisierung. Beides sind erprobte und rechtlich anerkannte Methoden. Sie werden in DSGVO, BDSG und neuerlich auch im Data Governance Act, Data Act und der KI-Verordnung für die datenschutzgerechte Verarbeitung personenbezogener Daten benannt.
Die IT-Diagnose-Daten werden vor dem Upload anonymisiert, und zwar bei vollem Erhalt ihrer technischen Aussagekraft. Der anschließende Transfer zum Support des Software-Herstellers erfolgt dann risikokonform und revisionsgerecht.
Der Autor des Gastbeitrags ist Dr. Stephen Fedtke, CTO bei Enterprise-IT-Security.com
Weiterführende Informationen:
Awareness-Video „Datenschutz- und Sicherheitsrisiken in IT-Diagnose-Daten“
Webcast: Anonymisierung sensibler Daten im IT-Betrieb – Grundschutz für Dumps, Logs und Traces
