DSGVO und Log Rotation

Rund um die Sicherheit des Systems und die Applikationen
fulltilt
Posts: 363
Joined: 2006-08-27 02:06

DSGVO und Log Rotation

Post by fulltilt » 2018-06-05 09:12

ich bin bisher davon ausgegangen das die Webserver (apache) Log files max 7 Tage nach den Bestimmungen der DSGVO gespeichert werden dürfen sowie bei Statistiken (awstats) anonymisierung der IP Adressen ausreichen um die Bestimmungen zu erfüllen.
Das ganze ist natürlich auch zu einem Sicherheitsproblem geworden von daher möchte ich die maximale Aufbewahrungsfrist nutzen wo es nur geht. Dazu zählt auch die Möglichkeit Beweise anhand der Logs zu erbringen fall erforderlich.
Momentan werden meine Apache Logs ale 7 Tage rotiert und die Awstats IP Adressen alle 24 Stunden anonymisiert ...

Wie sieht das denn nun mit den anderen System Logfiles aus?
sylog, auth.log, messages, ftp, mail etc.
Gelten diese 7 Tage Aufbewarungsfrist für ALLE Log Files? (wäre echt krass)

User avatar
Joe User
Project Manager
Project Manager
Posts: 11583
Joined: 2003-02-27 01:00
Location: Hamburg

Re: DSGVO und Log Rotation

Post by Joe User » 2018-06-05 12:02

Derartige Fristen gelten für alle Logfiles und Logdatenbanken.
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

fulltilt
Posts: 363
Joined: 2006-08-27 02:06

Re: DSGVO und Log Rotation

Post by fulltilt » 2018-06-05 13:07

Danke!
als Anbieter hat man aber auch eine Nachweispflicht gegenüber bestimmten Behörden (z.b. Anti Terror Bestimmungen) wenn hier jemand deine Plattform für irgendwelche illegalen Aktionen (Terror, Betrug etc) verwendet und man löscht die Logs alle 7 Tage, dann kannst du als Anbieter keine Beweismittel mehr erbringen bzw. hast Beweise vernichtet. Oder wenn ein Kundenaccount gehackt wird und für solche Zwecke missbraucht wird und der Kunde bekommt das erst nach 2 Wochen mit ... oder der Kunde löscht versehentlich seine Dateien und hängt es dem Anbieter das an ... dann sind keine Beweismittel mehr vorhanden ...
Haben denn da nicht z.b. Betrugs und Anti Terror Beweismittel eine höhere Priortät als der Datenschutz?

User avatar
Joe User
Project Manager
Project Manager
Posts: 11583
Joined: 2003-02-27 01:00
Location: Hamburg

Re: DSGVO und Log Rotation

Post by Joe User » 2018-06-05 16:10

Deshalb lassen sowohl das BDSG als auch die DSGVO entsprechende Ausnahmen zu.
Das bedeutet aber nicht, dass man damit beliebig argumentieren kann, denn Logs welche man mit dieser Ausnahme länger speichern möchte, müssen auch für diesen Zweck zweckmässig und unabdingbar sein. Diese Logs müssen dennoch von allen unnötigen Daten bereinigt werden und die verbleibenden Daten müssen nachweislich zu den Sicherungs- und Beweismittelzwecken geeignet sein und auch ausschliesslich zu diesen Zwecken verwendet werden.

Einfach mal so Logs speichern, in der Hoffnung sie könnten irgendwann mal gebraucht werden, ist nicht gestattet.
Es besteht eine Nachweispflicht zur zwingend notwendigen Speicherdauerüberschreitung.
Eine langsame Ermittlungsbehörde ist kein ausreichender Grund.


Beweismittel hat grundsätzlich eine Ermittlungsbehörde zu erheben / sicherzustellen und nicht eine Privatperson oder ein Unternehmen.
Richterliche Anordnungen haben sich immer auf konkrete Daten zu beziehen und diese Daten sind dann auf Anordnung gesondert einzeln zu sichern und nicht im Bulk mit diversen unbeteiligten Daten oder gar auf Vorat.
Daten welche nicht vorhanden sind, können auch nicht ausgehändigt werden, da haben Ermittlungsbehörden dann schlicht Pech.



Ein klagender Kunde gehört zum normalen geschäftlichen Risiko eines jeden Unternehmers und ist keinesfalls ein Grund den Datenschutz zu unterlaufen. Entweder man trägt das Risiko selbst oder man versichert sich extern dagegen.



Kurz: Kannst Du nicht nachweisen, dass das Speichern eines jeden einzelnen Datums zwingend erforderlich und auch erlaubt ist, dann ist die Speicherung nicht gestattet. Dies gilt gleichermassen für die Speicherdauer und Speicherform.

Es gibt also immer nur drei Möglichkeiten:
1.) Welches Gesetz zwingt Dich zum Speichern der Logs und für wie lange?
2.) Welches Gesetz erlaubt Dir die Speicherung der Logs und für wie lange?
3.) Alles andere ist nicht gestattet.
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

fulltilt
Posts: 363
Joined: 2006-08-27 02:06

Re: DSGVO und Log Rotation

Post by fulltilt » 2018-06-05 17:13

Danke Joe,
ist ja echt heftig, also quasi schon ein Freifahrtschein für Internet-Kriminelle ...
na denn ... wenn die es so haben wollen!

User avatar
Joe User
Project Manager
Project Manager
Posts: 11583
Joined: 2003-02-27 01:00
Location: Hamburg

Re: DSGVO und Log Rotation

Post by Joe User » 2018-06-05 19:08

Mehr Personal und Geld für die öffentliche Sicherheit und die Justiz, schon passt es wieder.
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.