Die Umsetzung der neuen Cybersicherheitsrichtlinie NIS 2 sorgt in vielen Datenschutzabteilungen für Unruhe. Die Befürchtung: Eine massiv ausgeweitete Systemprotokollierung könnte zum „gläsernen Nutzer“ führen. Doch bei genauerer Betrachtung zeigt sich, dass NIS 2 und die DSGVO kein Widerspruch sein müssen. Tatsächlich fordert auch der Datenschutz eine effektive Protokollierung, um Sicherheitsverletzungen nach Art. 33 DSGVO überhaupt erkennen und aufarbeiten zu können.
Warum Protokollierung jetzt wichtiger wird
Mit der NIS-2-Umsetzung wird das Logging in der IT deutlich ausgebaut. Dies ist insbesondere für folgende Bereiche essenziell:
- Meldepflichten: Dokumentation und Beweissicherung bei sicherheitsrelevanten Vorfällen.
- Forensik: Analyse von Angriffen und Berichterstattung nach einem Vorfall.
- Prävention: Aktive Angriffserkennung und Suche nach Anomalien im Netzwerkverkehr.
Die Lösung: Datenschutzfreundliche Techniken (PETs)
Damit die Ausweitung der Protokolle nicht zu Lasten der Privatsphäre geht, sollten Unternehmen auf Privacy-Enhancing Technologies (PETs) setzen. Ziel dieser Techniken ist es, personenbezogene Daten zu minimieren oder zu eliminieren, ohne die Funktionalität der IT-Sicherheit einzuschränken.
Ein modernes Protokollierungskonzept nach NIS 2 und DSGVO sollte folgende Elemente enthalten:
- Filterlogiken: Nur verdächtige Aktivitäten werden detailliert ausgewertet.
- Pseudonymisierung: Einsatz von Algorithmen wie Hashing (mit Salt) für IP-Adressen.
- Automatisierung: Implementierung von Löschroutinen zur konsequenten Speicherbegrenzung.
- Schwellenwerte: Festlegung klarer Regeln, ab wann ein Eingriff in die Privatsphäre (z. B. Aufhebung der Pseudonyme) gerechtfertigt ist.
Das Stufenmodell für den rechtssicheren Betrieb
In der Praxis empfiehlt sich ein Zwei-Stufen-Modell, um beide Regularien harmonisch zu vereinen:
- Stufe 1 (Normalbetrieb): Alle Log-Dateien werden pseudonymisiert verarbeitet. Ein Security-Filter sucht automatisiert nach Anomalien, ohne dass Klarnamen von Nutzern für Administratoren sichtbar sind.
- Stufe 2 (Verdachtsfall): Erst bei einem konkreten Cyberangriff erfolgt eine De-Pseudonymisierung für forensische Zwecke. Dies sollte zwingend nach dem Vier-Augen-Prinzip und unter Einbeziehung des Datenschutzes erfolgen.
Fazit für Datenschutzbeauftragte (DSB)
DSB sollten die NIS-2-Umsetzung nicht blockieren, sondern aktiv begleiten. Eine pauschale Forderung nach „minimaler Protokollierung“ ist oft kontraproduktiv, da auch der technische Datenschutz auf valide Systemdaten angewiesen ist. Stattdessen sollten DSB die Nutzung von PETs forcieren und sicherstellen, dass das bestehende Protokollierungskonzept um die neuen NIS-2-Anforderungen (wie aktive Angriffserkennung) erweitert wird.
Nur durch die Kombination von technischer Sicherheit und konsequenter Pseudonymisierung wird die Protokollierung vom „Überwachungswerkzeug“ zum echten Schutzschild für das Unternehmen.
