AuditTrail als lückenlose Nachverfolgung von Änderungen in Maschinensteuerungssoftware
Ein Überblick über die Möglichkeiten, mittels AuditTrail gesetzliche und regulatorische Vorgaben zu erfüllen und Änderungen an Systemen nachvollziehbar zu speichern.
Benjamin Ipp | 28. Juni 2024 ᛫ 10 Min.
Der Artikel schafft einen Überblick darüber, was ein AuditTrail ist und welche Vorteile und Herausforderungen damit einhergehen. Ein kurzer Exkurs vertieft das Thema AuditTrail im Medizintechnik-Bereich und deren besondere Anforderungen. Zum Abschluss wird das AuditTrail Modul von Photonic Elements kurz vorgestellt.
Was ist die Definition von AuditTrail?
Ein AuditTrail ist eine systematische, chronologische Aufzeichnung von Aktivitäten und Ereignissen in einem Informationssystem (z.B. einer Lasermaschinensteuerung). Diese Aufzeichnungen dokumentieren, wer was wann und wo in einem System geändert oder gelöscht hat. Dabei können die Aktivitäten sowohl menschliche Interaktionen als auch automatisierte Prozesse umfassen. Das Ziel eines AuditTrails ist es, Transparenz zu schaffen, Sicherheit zu gewährleisten und im Falle von Unregelmäßigkeiten oder Cyberangriffen eine Rückverfolgung zu ermöglichen.
Was sind die wesentlichen Bestandteile eines AuditTrails?
AuditTrails bestehen aus individuellen Einträgen zur Nachverfolgung einzelner Aktivitäten und Ereignisse. Ein typischer Eintrag sollte mindestens die folgenden Elemente beinhalten:
Zeitstempel: Jeder Eintrag wird mit einem exakten Datum und einer Uhrzeit versehen.
Benutzerinformationen: Angaben über den Benutzer oder das System, das die Aktion durchgeführt hat.
Aktion: Beschreibung der durchgeführten Aktion, wie z.B. das Erstellen, Ändern oder Löschen von Daten.
Betroffene Daten/Attribute: Details über die Daten oder Ressourcen, die von der Aktion betroffen sind.
Ergebnis der Aktion: Information darüber, ob die Aktion erfolgreich war oder nicht.
Wo finden AuditTrails Anwendung?
Nachfolgend werden beispielhaft Bereiche aufgeführt, in denen AuditTrails eine zentrale Rolle spielen und nicht mehr wegzudenken sind. Generell kann das Thema AuditTrail in jeder Industriesparte von Bedeutung sein.
Finanzwesen: In Banken und Versicherungen sind AuditTrails essentiell, um gesetzliche Anforderungen zu erfüllen und Betrug zu verhindern.
Gesundheitswesen: Hier dienen sie der Sicherstellung der Datenintegrität und der Nachverfolgbarkeit von Patientendaten.
IT-Sicherheit: Bei Cyberangriffen oder Datenlecks ermöglichen AuditTrails eine schnelle Reaktion und Aufklärung.Compliance: Unternehmen nutzen AuditTrails, um die Einhaltung gesetzlicher Vorschriften und interner Richtlinien zu dokumentieren.
Welche Rolle spielen AuditTrails in der Medizintechnik?
Die US-amerikanische Food and Drug Administration (FDA) spielt eine entscheidende Rolle bei der Überwachung und Regulierung von Lebensmitteln, Arzneimitteln und Medizinprodukten. Ein zentraler Bestandteil ihrer Regulierungsrichtlinien ist der Einsatz von AuditTrails, um die Integrität und Nachvollziehbarkeit von Daten sicherzustellen. Im Folgenden wird erläutert, wie AuditTrails in der Arbeit der FDA integriert sind und welche Anforderungen Unternehmen erfüllen müssen.
Die FDA stellt spezifische Anforderungen an AuditTrails, insbesondere im Rahmen der Vorschriften 21 CFR Part 11, die elektronische Aufzeichnungen und elektronische Signaturen betreffen. Diese Anforderungen sind darauf ausgerichtet, die Authentizität, Integrität und Vertraulichkeit von elektronischen Daten sicherzustellen. Zu den wichtigsten Punkten gehören:
Unveränderlichkeit der Daten: Die FDA verlangt, dass AuditTrails so gestaltet sind, dass sie nach ihrer Erstellung nicht geändert werden können. Dies stellt sicher, dass die Daten authentisch und vertrauenswürdig bleiben.
Lückenlose Protokollierung: Alle relevanten Aktivitäten, die elektronische Daten beeinflussen, müssen lückenlos protokolliert werden. Dies umfasst die Erstellung, Änderung und Löschung von Daten.
Zugriffskontrollen: Nur autorisierte Personen dürfen Änderungen an den Daten vornehmen. Der AuditTrail muss dokumentieren, wer welche Änderungen vorgenommen hat.
Datenintegrität: AuditTrails müssen sicherstellen, dass die Daten vollständig und genau sind. Jegliche Anomalien oder Inkonsistenzen müssen sofort erkannt und dokumentiert werden.
Verfügbarkeit der Daten: Die gespeicherten AuditTrail-Daten müssen für Inspektionen und Prüfungen jederzeit zugänglich sein.
Wo liegen die Vorteile und Herausforderungen eines AuditTrails?
AuditTrails erhöhen die Transparenz und schaffen Klarheit über alle in einer Software durchgeführten Aktivitäten. Durch die lückenlose Dokumentation können unautorisierte Zugriffe und Veränderungen schnell erkannt und zurückverfolgt werden. Auch wird die Nachvollziehbarkeit dadurch erhöht, da auf Basis der Aufzeichnungen detaillierte Analysen durchgeführt werden können. Ein wichtiger Aspekt ist die Compliance. Unternehmen können mittels AuditTrails gesetzliche und regulatorische Anforderungen erfüllen.
Herausfordernd bei einem AuditTrail ist die Speicherung der Daten. Durch die kontinuierliche Erfassung aller Aktivitäten werden schnell große Datenmengen erzeugt. Hier muss auf eine effiziente Art der Speicherung geachtet werden.
Eine weitere große Herausforderung ist die Speicherung von personenbezogenen Daten. In der europäischen Union regelt die DSGVO (Datenschutz-Grundverordnung) den Schutz personenbezogener Daten und die Privatsphäre. Diese Verordnung steht im Gegensatz zu der Aufgabe eines AuditTrails. Auf der einen Seite (DSGVO) dürfen personenbezogene Daten nicht ohne Rechtsgrundlage verarbeitet und gespeichert werden, auf der anderen Seite (AuditTrail) steht die Anforderung, Änderungen dediziert einer Person zuordnen zu können.
Beispiel Pulsar Photonics: AuditTrail in der Maschinensteuerungssoftware Photonic Elements (PE)
Für unsere Maschinensteuerungssoftware PE haben wir ein AuditTrail Modul entwickelt, dass unsere Kunden bei Bedarf einsetzen können. Das AuditTrail Modul protokolliert alle Änderungen, die in den Einstellungen und Prozessschritten vorgenommen werden, in einer verschlüsselten Datenbank. Dazu werden alle oben beschriebenen Elemente (Zeitstempel, Benutzerinformationen, Aktion, betroffene Daten) erfasst. Weiterhin umfasst das Modul eine grafische Oberfläche zur Nachverfolgung und Analyse von Änderungen. Berechtigte Rollen oder User können so Änderungen einfach und schnell nachvollziehen ohne PE verlassen zu müssen.
Die Überwachung der Änderungen in Photonic Elements betrifft die folgenden Bereiche:
- Maschinenparameter für die generelle Konfiguration. Darunter fallen Einstellungen zur Verbindung der Software mit unterschiedlichen Hardware-Komponenten (Beispiel: IP-Adresse und Port). Weiterhin gehören zu diesem Bereich Einstellungen zu Benutzer-Berechtigungen und wie die grafische Benutzeroberfläche in Abhängigkeit dieser Berechtigungen aufgebaut ist.
- Prozess-Parameter. In Photonic Elements lassen sich dynamisch Prozessschritte in einem Prozess-Editor anlegen, um unterschiedliche Bearbeitungsschritte auf der Lasermaschine auszuführen. Jeder Prozess-Schritt hat dabei eigene Einstellungen. Die Gesamtmenge dieser Einstellungen wird ebenfalls im Audit-Trail erfasst.
- Einstellungen, die zur Laufzeit automatisch gespeichert werden. Bestimmte Einstellungen, wie z.B. die Belichtungszeit der Mikroskop-Kamera, können ohne Zugriff auf die Maschinenparameter jederzeit von jedem Benutzer angepasst werden. Damit der Zustand der Software nach Neustart wieder derselbe ist, werden diese Parameter automatisch im Hintergrund gespeichert und ebenfalls automatisch wiederhergestellt. Grundsätzlich sind diese Parameter unkritisch, sie werden dennoch der Vollständigkeit halber, miterfasst.
- Lasereinstellungen. Diese gehören zu den komplexesten Einstellungen, weshalb Photonic Elements die Verwaltung von sog. “Laser-Profilen” erlaubt. In einem Laser-Profil wird ein Parameter-Satz zur Ansteuerung des Lasers (mit Parametern wie z.B. Laserleistung, Trigger-Modus und Repetitionsrate) mit einem Namen gespeichert, um diese Parameter später anhand des Namens wieder am Laser zu setzen.
Die Darstellung der jeweiligen Parameter-Änderungen erfolgt in Photonic Elements übersichtlich in einer zweigeteilten Übersicht.
Auf der linken Seite wird in Tabellenform zeilenweise eine Aktion beschrieben, die ein Benutzer ausgeführt hat und die zur Änderung eines oder mehrerer Parameter geführt hat. Auf der rechten Seite werden zu jeder Aktion die betroffenen Werte angezeigt. Wichtig ist dabei, bei jedem Parameter auf die Lesbarkeit zu achten: der originale Anzeigename inkl. Einheit ist stets mit aufgeführt. Vorgänge, die mit Parameteränderungen einhergehen, können mitunter sehr große Datenmengen erzeugen. Die Ausführung bestimmter Aktionen im CAD/CAM Modul können beliebig viele Geometrie-Objekte betreffen, oder auch neue Objekte generieren. Auch diese Daten müssen bei dem Audit-Trail protokolliert werden.
Alles rund um unsere Software für unsere Laseranlagen Photonic Elements
Mehr über den Autor:
Benjamin Ipp
Benjamin Ipp ist Leiter des Softwarebereichs bei Pulsar Photonics. Er hat nach seinem Ingenieurstudium an der RWTH Aachen mehr als 10 Jahre Erfahrung im Aufbau und der Leitung von Softwareentwicklungsteams gesammelt. Seine Leidenschaft ist die Verknüpfung von Software und Hardware, wie sie besonders im Bereich des Maschinen- und Anlagenbaus zu finden ist.
Bei Fragen rund um Photonic Elements oder unser AuditTrail-Modul kontaktieren Sie uns!