Frage stellen

Was sind Immutable Audit Logs (unveränderliche Audit-Logs)?

Inhaltsverzeichnis

Immutable Audit Logs - Definition

Immutable Audit Logs, also unveränderliche Audit-Logs, sind Aufzeichnungen von System- und Betriebsereignissen, die so konzipiert sind, dass ein Eintrag nach seiner Erstellung weder gelöscht noch verändert werden kann, ohne Spuren zu hinterlassen. In der Praxis bedeutet das den Einsatz technischer und organisatorischer Maßnahmen, die die Integrität, Nachvollziehbarkeit und Überprüfbarkeit der Historie von Vorgängen sicherstellen. In Umgebungen, in denen Fotos und Videoaufnahmen verarbeitet werden, dokumentieren solche Logs nicht den eigentlichen Bildinhalt, sondern die an Dateien, Aufgaben und der Systemkonfiguration vorgenommenen Aktionen.

Im Kontext der Anonymisierung von Fotos und Videomaterial dienen unveränderliche Audit-Logs dazu nachzuweisen, wer wann und auf welcher Grundlage den Prozess zum Verpixeln oder Unkenntlichmachen von Gesichtern oder Kfz-Kennzeichen gestartet hat, welche Datei verarbeitet wurde, welche Version des Erkennungsmodells verwendet wurde, wie das Ergebnis der Verarbeitung ausfiel und ob der Operator manuelle Korrekturen vorgenommen hat. Das ist wichtig für den Grundsatz der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO, der verlangt, dass der Verantwortliche die Einhaltung der Vorschriften nachweisen kann. Die DSGVO schreibt keine konkrete Technologie zur Unveränderlichkeit vor, verlangt aber geeignete Sicherheitsmaßnahmen, einschließlich der Gewährleistung von Integrität und Vertraulichkeit der Verarbeitung sowie der Belastbarkeit von Systemen und Diensten - Art. 5 Abs. 1 lit. f und Art. 32 DSGVO, Verordnung (EU) 2016/679.

Ein unveränderliches Audit-Log ist nicht dasselbe wie ein gewöhnliches Anwendungslog. Herkömmliche Logs können überschrieben, durch Rotation gekürzt oder von Administratoren gelöscht werden. Ein unveränderliches Log sollte gegen solche Eingriffe widerstandsfähig sein, etwa durch den Einsatz von WORM-Speicher, kryptografischen Hash-Ketten, digitalen Signaturen, qualifizierten oder anderen vertrauenswürdigen Zeitstempeln oder durch Aufbewahrungs- und Löschsperren auf Datei- oder Objektspeicherebene.

Die Rolle unveränderlicher Audit-Logs bei der Anonymisierung von Fotos und Videos

In Prozessen der Bildanonymisierung ist Auditierbarkeit nicht nur für die IT-Sicherheit relevant, sondern auch für die rechtliche Compliance und die operative Qualität. Der Datenschutzbeauftragte oder ein Auditor muss den Ablauf der Verarbeitung nachvollziehen können, ohne Zugriff auf die personenbezogenen Daten selbst zu haben, sofern dies nicht erforderlich ist.

In der Praxis unterstützen Immutable Audit Logs mehrere Bereiche gleichzeitig:

  • Rechenschaftspflicht - Nachweis, dass das Material vor der Weitergabe oder Veröffentlichung anonymisiert wurde,
  • Prozessintegrität - Bestätigung, dass das Ergebnis nach der Anonymisierung nicht ausgetauscht oder verändert wurde,
  • Zugriffskontrolle - Aufzeichnung, welcher Nutzer eine Aufgabe geöffnet, das Ergebnis freigegeben oder eine manuelle Bearbeitung durchgeführt hat,
  • Forensik - Analyse von Sicherheitsvorfällen, Erkennungsfehlern und unbefugten Handlungen,
  • KI-Modellmanagement - Zuordnung des Ergebnisses zu einer konkreten Version des Modells zur Gesichts- oder Kennzeichenerkennung.

In einem System wie Gallio PRO sollte sich das Audit-Log auf Vorgänge bei Anonymisierungsaufgaben sowie auf die Systemadministration beziehen. Entsprechend den Anforderungen sollte das Produkt keine Logs speichern, die die eigentlichen Erkennungen von Gesichtern und Kfz-Kennzeichen oder andere personenbezogene Daten enthalten, wenn dies für den Prüfzweck nicht erforderlich ist. Das bedeutet, dass das Logging-Konzept Nachweisdaten von Inhalten trennen muss, die den Umfang der Verarbeitung personenbezogener Daten unnötig erweitern könnten.

Welche Ereignisse in ein Audit-Log gehören

Der Umfang des Loggings sollte auf die Informationen beschränkt sein, die für Audit, Sicherheit und den Nachweis der Compliance erforderlich sind. In Umgebungen zur Verarbeitung von Fotos und Videoaufnahmen empfiehlt es sich, operative Metadaten statt Bildinhalte zu protokollieren.

Ereignis

Beispielfelder

Audit-Zweck

 

Erstellung einer Aufgabe

Aufgaben-ID, Datei-ID, Benutzer, UTC-Zeit

Feststellung des Prozessbeginns

Start der Anonymisierung

Vorgangstyp, Modellversion, Unschärfe- bzw. Blur-Konfiguration

Verknüpfung des Ergebnisses mit den Verarbeitungsparametern

Manuelle Korrektur

Benutzer, Umfang der Korrektur, Zeitpunkt, Grund

Dokumentation des Eingriffs durch den Operator

Export des Ergebnisses

Ausgabeformat, Prüfsumme der Datei, Empfänger

Nachverfolgung der Weitergabe des Materials

Änderung von Berechtigungen

Administrator, Rolle vor und nach der Änderung

Sicherheitskontrolle und Funktionstrennung

Technologien zur Gewährleistung der Unveränderlichkeit

Unveränderlichkeit ergibt sich nicht allein daraus, dass ein Log geschrieben wird. Sie muss durch die Systemarchitektur erzwungen werden. In der Praxis werden meist mehrere Schutzebenen gleichzeitig eingesetzt, um sowohl versehentliche Änderungen als auch bewusste Manipulationen zu erschweren.

  • WORM - Write Once Read Many. Daten können nach dem Schreiben während der Aufbewahrungsfrist nicht verändert werden. Der Mechanismus wird in optischen Speichern, Speichersystemen und Objektspeichern eingesetzt.
  • Hash Chaining - jeder Eintrag enthält den Hash des vorherigen Eintrags. Die Änderung eines einzelnen Datensatzes unterbricht die Integritätskette.
  • Digitale Signatur - ein Eintrag oder ein Paket von Logs wird mit einem privaten Schlüssel signiert, wodurch Manipulationen erkennbar werden.
  • Qualifizierter oder anderer vertrauenswürdiger Zeitstempel - bestätigt die Existenz eines Eintrags zu einem bestimmten Zeitpunkt.
  • Separater Audit-Speicher - Logs werden in ein Repository mit getrennten administrativen Berechtigungen übertragen.

In der Praxis kann die Integritätsprüfung auf Hash-Funktionen aus der SHA-2-Familie basieren. FIPS 180-4 des NIST definiert unter anderem SHA-256 und SHA-512 als Standard-Hash-Algorithmen. Für digitale Signaturen und Zeitstempel sind ETSI-Dokumente aus dem Bereich der Vertrauensdienste relevant, darunter ETSI EN 319 421 und ETSI EN 319 422 für Richtlinien und Anforderungen an Zeitstempeldienste. Werden Logs in Cloud- oder Objektspeichersystemen aufbewahrt, sind zudem Aufbewahrungsrichtlinien und Löschsperren auf Speichermedienebene von Bedeutung.

Zentrale Parameter und Kennzahlen unveränderlicher Audit-Logs

Die Qualität von Audit-Logs sollte nicht allein daran gemessen werden, dass Logs vorhanden sind. Erforderlich sind messbare Parameter, die sich im Rahmen eines Audits oder Sicherheitstests überprüfen lassen.

Parameter

Bedeutung

Beispiel für die Interpretation

 

Aufbewahrung

Mindestdauer der Speicherung von Einträgen

z. B. 12, 24 oder 36 Monate gemäß Organisationsrichtlinie

RPO der Logs

zulässiger Verlust von Einträgen nach einem Ausfall

0 oder nahe 0 bei kritischen Ereignissen

Schreibverzögerung

Zeit zwischen Ereignis und persistenter Protokollierung

Sekunden oder weniger in Systemen mit hohem Vertrauensniveau

Integritätsprüfrate

Anteil der Datensätze, die kryptografisch korrekt verifiziert wurden

100 % für eine vollständige Konsistenzkontrolle

Ereignisabdeckung

Prozentsatz kritischer Vorgänge, die vom Audit erfasst werden

sollte den gesamten Anonymisierungszyklus abdecken

In regulierten Umgebungen werden zudem die Begriffe complete, consistent, enduring, available sowie attributable, legible, contemporaneous, original, accurate verwendet, bekannt unter der Bezeichnung ALCOA+. Auch wenn der Begriff aus regulierten Branchen stammt, strukturiert er die Anforderungen an Audit-Logs auch außerhalb dieser Bereiche sehr gut.

Bedeutung für KI beim Unkenntlichmachen von Gesichtern und Kennzeichen

Das automatische Verpixeln oder Unkenntlichmachen von Gesichtern und Kfz-Kennzeichen basiert auf Modellen der Bilderkennung, die in der Regel mithilfe von Deep Learning trainiert werden. Das KI-Modell selbst gewährleistet weder Compliance noch Auditierbarkeit. Erforderlich ist die Verknüpfung des Ergebnisses mit einer konkreten Modellversion, der Konfiguration des Erkennungsschwellenwerts und den Entscheidungen des Operators.

In den Logs sollten unter anderem folgende Informationen gespeichert werden:

  • Modell-ID und Modellversion,
  • Datum der Bereitstellung des Modells in der Produktionsumgebung,
  • Startparameter, zum Beispiel der Confidence-Schwellenwert, sofern er konfigurierbar ist,
  • Angabe, ob das Ergebnis manuell nachbearbeitet wurde,
  • Prüfsumme der Eingabe- und Ausgabedatei.

Solche Daten sollten nicht die eigentlichen Koordinaten der Erkennungen enthalten, wenn die Richtlinie zur Datenminimierung die Speicherung von Informationen ausschließt, mit denen sich die Anwesenheit bestimmter Personen oder Fahrzeuge rekonstruieren ließe. Das ist eine wichtige Unterscheidung: Ein Prozessaudit erfordert nicht die Speicherung von Daten, die das Datenschutzrisiko erhöhen.

Herausforderungen und Grenzen

Ein unveränderliches Audit-Log löst nicht alle Probleme. Wenn ein System ein fehlerhaftes Ereignis protokolliert, wird der Fehler im Log korrekt, aber eben dauerhaft festgehalten. Wenn der richtige Umfang der zu protokollierenden Ereignisse nicht definiert wurde, bleibt die spätere Analyse unvollständig. Zudem kann zu umfangreiches Logging zu einer übermäßigen Verarbeitung personenbezogener Daten führen.

Zu den häufigsten Problemen gehören:

  • fehlende Zeitsynchronisation zwischen den Knoten des Systems,
  • Log-Rotation ohne Erhalt der Integritätskette,
  • gemeinsam genutzte Administratorkonten, die die Rechenschaftspflicht schwächen,
  • Protokollierung von Daten, die aus Auditsicht nicht dauerhaft gespeichert werden müssen,
  • fehlende Verfahren zur regelmäßigen Prüfung von Signaturen und Hash-Werten.

Normative und standardbezogene Referenzen

Bei der Konzeption und Bewertung von Immutable Audit Logs sollte man sich auf Primärquellen stützen. Nicht alle verwenden den Begriff immutable audit logs ausdrücklich, definieren aber Anforderungen an Integrität, Rechenschaftspflicht, Ereignisprotokollierung und den Schutz von Logs.

  • DSGVO - Verordnung (EU) 2016/679, Art. 5 Abs. 1 lit. f, Art. 5 Abs. 2, Art. 24, Art. 32.
  • ISO/IEC 27001:2022 - Anforderungen an ein Informationssicherheits-Managementsystem.
  • ISO/IEC 27002:2022 - Sicherheitsmaßnahmen, einschließlich Logging, Monitoring und Informationsschutz.
  • NIST SP 800-92, Guide to Computer Security Log Management, 2006 - Verwaltung von Sicherheitslogs.
  • NIST SP 800-53 Rev. 5, 2020 - AU-Kontrollen zu Audit und Rechenschaftspflicht.
  • FIPS PUB 180-4, NIST, 2015 - Secure Hash Standard.
  • ETSI EN 319 421 und ETSI EN 319 422 - Anforderungen an Zeitstempeldienste.

Siehe auch

Zurück zum Glossar