Audit-Trail
Welche Ereignisse DARION AI protokolliert, wie lange Audit-Logs aufbewahrt werden und wer Einsicht hat.
Audit-Trail
Der Audit-Trail ist die Beweisgrundlage für DSGVO, NIS2 und SOC 2. Er protokolliert sicherheits- und compliance-relevante Ereignisse mit Tenant-Bezug, ist gegen Manipulation geschützt und wird zwei Jahre lang vorgehalten.
Was wir loggen
| Kategorie | Beispiele |
|---|---|
| Authentifizierung | Login, Logout, MFA-Setup, MFA-Verlust, fehlgeschlagene Anmeldungen, Passwort-Reset. |
| Workspace-Lifecycle | Workspace-Anlage, Modul-Aktivierung, Modul-Deaktivierung, Rollenwechsel, Kündigung, Lösch-Trigger. |
| Berechtigungen | Einladung, Annahme, Rollenwechsel, Entzug, Impersonation durch DARION-AI-Admin (Beta-Notfall). |
| Datenzugriff | Datenexport-Anforderung, Download eines Exports, manuelle DSGVO-Löschung, Zugriff auf besondere Kategorien. |
| Konfiguration | Änderung von Workspace-Einstellungen, Einrichtung externer Integrationen, Webhook-Anlage, API-Key-Erstellung und -Widerruf. |
| KI-Helfer | Anfrage-Topic (nicht der Prompt-Inhalt), Token-Verbrauch, Modul-Kontext, Antwortzeit. |
| Voice (opt-in) | Call-Start, Call-Ende, Consent-Bestätigung, Aufzeichnung erstellt, Aufzeichnung gelöscht. |
| Compliance-Aktionen | Auslösen einer Sperre, Crypto-Shredding-Vorgang, Incident-Eröffnung, Erstellung eines NIS2-Meldebogens. |
| Plattform-Vorfälle | Patroni-Failover, Pod-Restart, Backup-Run, Restore-Drill. |
Was wir NICHT loggen
- Inhalte von Nachrichten, Belegen oder Dokumenten (nur Metadaten).
- Klartext-Prompts an den KI-Helfer (nur Topic und Token-Counter).
- Voice-Aufzeichnungen (sind im DMS mit eigener Berechtigungsschicht).
- Passwörter, Session-Cookies, API-Keys (nur Identifier, nie Klartext).
Datenstruktur eines Eintrags
Jeder Audit-Log-Eintrag enthält:
- Zeitstempel (UTC, mit Mikrosekunden).
- Akteur (User-ID, Workspace-ID, optional Impersonation-Hinweis).
- Aktion (z. B.
workspace.module.activate,crm.contact.export). - Subjekt (z. B. Modul-Slug, Kontakt-ID, Datei-ID).
- Quelle (IP-Adresse pseudonymisiert, User-Agent, API-Key-Hash falls Programmzugriff).
- Ergebnis (success, denied, error mit Fehler-Code).
- Payload (JSON mit relevanten Parametern; PII-Felder werden über
EncryptedTypeverschlüsselt).
Manipulationsschutz
- WORM-Schicht: Audit-Logs werden zusätzlich in eine append-only-Tabelle geschrieben, die nur via privilegiertem Service-Account beschrieben werden kann.
- Hash-Chain: Jeder Eintrag enthält den SHA-256-Hash des Vorgängereintrags.
- Backup-Replikation: Audit-Tabelle wird täglich in einen separaten restic-Repository gespiegelt.
- Crypto-Shredding-Resistenz: Auch nach Tenant-Löschung bleibt der pseudonymisierte Audit-Trail zwei Jahre erhalten (Beleg-Pflicht), Klartext-PII ist nach Sub-Key-Entzug nicht mehr lesbar.
Aufbewahrung
| Art | Online | Archiv |
|---|---|---|
| Standard-Events | 90 Tage in der Live-DB | 2 Jahre im Archiv |
| Compliance-relevante Events (Login, Berechtigung, Export, Löschung) | 1 Jahr | 2 Jahre |
| Incident-relevante Events | 1 Jahr | 5 Jahre nach Abschluss |
Nach Ablauf erfolgt automatische Aggregation auf Zähler ohne PII-Bezug.
Wer hat Einsicht
- Workspace-admin und workspace-owner sehen Audit-Logs ihres eigenen Workspaces im Compliance-Modul.
- DARION-AI-Admin sieht plattformweite Logs nur für Plattform-Vorfälle (z. B. P1-Outage).
- Externe Auditoren (z. B. SOC 2) bekommen einen zeitlich limitierten, schreibgeschützten Export.
- Aufsichtsbehörden erhalten Exporte ausschließlich auf rechtlich gebundene Anfrage.
Eigene Auswertungen
- Im Compliance-Modul kannst du Logs nach Akteur, Aktion, Zeitraum und Ergebnis filtern.
- Export als CSV oder JSON für eigene SIEM-Systeme.
- Webhook-Subscription für Echtzeit-Eskalation an dein eigenes Monitoring (z. B. Wazuh oder Splunk).
Verwandt
- DSGVO: Speicherdauer-Regeln und Löschpflicht.
- NIS2: Audit-Trail als Reporting-Grundlage.
- Berechtigungen: Wer welche Logs sieht.
- Architektur: Wie der Audit-Trail physisch gespeichert wird.