Audit-Log
Ein Audit-Log ist eine chronologische, unveränderbare Aufzeichnung von Systemaktivitäten, die dokumentiert, wer wann welche Aktion mit welchem Ergebnis durchgeführt hat. Es dient der Nachvollziehbarkeit, Sicherheitsüberwachung und Compliance-Nachweisführung.
Ausführliche Erklärung
Ein Audit-Log dokumentiert systematisch alle sicherheits- und compliance-relevanten Ereignisse in IT-Systemen. Erfasst werden typischerweise Anmeldeversuche, Zugriffe auf Daten, Konfigurationsänderungen, Systemfehler und administrative Aktivitäten. Jeder Eintrag enthält dabei mindestens die Informationen über den Akteur, den Zeitstempel, die Art der Aktion, das betroffene Objekt und das Ergebnis der Aktion. Die Unveränderbarkeit der Protokolleinträge ist ein wesentliches Merkmal, das Audit-Logs von einfachen Aktivitätsprotokollen unterscheidet.
Für KMU sind Audit-Logs in mehrfacher Hinsicht relevant: Sie ermöglichen die frühzeitige Erkennung von Sicherheitsvorfällen wie unbefugten Zugriffsversuchen oder ungewöhnlichen Systemaktivitäten. Gleichzeitig erfüllen sie Anforderungen aus der DSGVO, die eine detaillierte Nachvollziehbarkeit der Verarbeitung personenbezogener Daten fordert. Viele Compliance-Vorschriften und Branchenstandards verlangen explizit oder implizit eine lückenlose Protokollierung von Systemaktivitäten. Auch für die Fehleranalyse und forensische Untersuchungen nach Sicherheitsvorfällen sind Audit-Logs unverzichtbar.
Bei der Implementierung sind datenschutzrechtliche Aspekte zu beachten: Audit-Logs enthalten selbst personenbezogene Daten und müssen daher DSGVO-konform gespeichert werden. Es gilt das Prinzip der Datenminimierung – protokolliert werden sollte nur, was für Sicherheit und Compliance tatsächlich erforderlich ist. Sensible Daten wie Passwörter oder Zugangstokens dürfen niemals im Klartext geloggt werden. Die Logs müssen vor unbefugtem Zugriff geschützt und in einer zentralen, manipulationssicheren Umgebung gespeichert werden.
Die regelmäßige Auswertung der Audit-Logs ist entscheidend für ihren Nutzen. Moderne SIEM-Systeme können dabei automatisiert Anomalien erkennen und Warnmeldungen generieren. Wichtig ist auch die Definition klarer Aufbewahrungsfristen, die sich an gesetzlichen Anforderungen und dem berechtigten Interesse des Unternehmens orientieren sollten.
Praxisbeispiel
Eine IT-Beratung mit 25 Mitarbeitenden aktiviert die Audit-Log-Funktion in Microsoft 365, um die DSGVO-Anforderungen bei der Verarbeitung von Kundendaten zu erfüllen. Das System protokolliert automatisch alle Zugriffe auf Kundenakten im SharePoint, Änderungen von Berechtigungen und Anmeldeversuche. Als ein Mitarbeiter das Unternehmen verlässt, kann anhand der Logs nachvollzogen werden, auf welche Dokumente er in den letzten Wochen zugegriffen hat.
Code-Beispiel
import logging
import json
from datetime import datetime
# Audit-Log-Konfiguration
audit_logger = logging.getLogger('audit')
handler = logging.FileHandler('audit.log')
audit_logger.addHandler(handler)
def log_audit_event(user, action, resource, result):
"""Protokolliert sicherheitsrelevante Ereignisse"""
event = {
'timestamp': datetime.utcnow().isoformat(),
'user': user,
'action': action,
'resource': resource,
'result': result
}
audit_logger.info(json.dumps(event))