Datenschutz und Datensicherheit mit SIEM-Lösungen

Fachbeitrag

Cyberattacken nehmen zu und auch die Art und Weise, wie diese erfolgen, hat sich geändert. Cybercrime as a Service kann mittlerweile schon für wenig Geld inkl. Erfolgsgarantie auf entsprechenden Marktplätzen im Internet besorgt werden. Eine schnelle Reaktion auf Angriffe und Hilfe bei der forensischen Nachforschung bietet ein SIEM als Ergänzung zu Firewalls und Virenscannern. Dieser Beitrag zeigt auf, wie das Spannungsfeld zwischen dem Datenschutz der Beschäftigten und der Datensicherheit für die Unternehmensdaten aufgelöst werden kann.

Was ist SIEM?

SIEM steht für Security Information and Event Management System. In diesem laufen systematisch Logdaten aus verschiedensten Quellsystemen zusammen und werden nach Anomalien ausgewertet. Heute erfolgen die Cyberattacken mittels APT-Angriffen (Advanced Persistent Threat Angriffe). Diese sind äußerst zielgerichtet und darauf ausgelegt, im IT-System des Angegriffenen sehr lange unerkannt zu bleiben, um auf diese Weise an wertvolle, vertrauliche Informationen zu gelangen.

Vorgehensweise von APT-Angriffen

Ein APT-Angriff unterteilt sich in verschiedene Schritte:

  • Recherche von für den zielgerichteten Angriff nutzbaren Informationen wie IP- / Mail-Adressen, Zugangsdaten von Mitarbeiter
  • Infiltration des internen Kommunikationsnetzes des Angegriffenen entweder im Wege von Social Engineering (d.h. Personen werden veranlasst, sich auf eine bestimmte Art und Weise zu verhalten und dadurch Informationen preiszugeben) oder durch Missbrauch der gewonnenen Zugangsdaten
  • Discovery: In dieser Phase versucht der Angreifer sich in dem Kommunikationssystem weiterhin so auszubreiten, um seinem Ziel, den gewünschten/benötigten Informationen schrittweise immer näher zu kommen
  • Einvernahme: Sobald die gewünschten Daten gefunden wurden, wird der Angreifer das System unbemerkt übernehmen
  • Datenabfluss der unerkannt gekaperten Informationen

Vorgehensweise eines SIEM

Grundlage für das SIEM sind Loginformationen verschiedener IT-Systeme, Endgeräte- oder Infrastrukturinformationen (Quellsysteme). Diese werden auf Loghost-Ebene aggregiert und in der SIEM-Ebene normalisiert. Hiermit erfolgt dann Abgleich auf Anomalien. Aus der ungeheuren Anzahl an Logdaten werden die anomalen Ereignisse mit Sicherheitsbezug rausgefiltert und priorisiert. Zudem kann das SIEM, die Ereignisse der verschiedenen Quellsysteme korrelieren, d.h. in Relation zu setzen.

Die Auswertungen dieser Ergebnisse erfolgen entweder automatisch oder manuell und bilden die Basis für eine Reaktion des CSIRT (Cyber Security Incident Response Team) oder auch CERT/SOC auf akute Security Incidents.

Quellsysteme und deren Informationen

Als Quellsysteme dienen unter anderem die im Unternehmen eingesetzten Betriebssysteme, Datenbanken, Netzkomponenten, Firewalls, Antiviren-/Vulnerability-Scanner und Webserver. Diese liefern zum einen Ereignisdaten z.B.:

  • Zugriffszeitpunkt mit Quell- und Zieladresse
  • An- und Abmeldedaten (erfolgreiche oder fehlgeschlagene Anmeldung)
  • Rechteänderung und Aufruf von Admin-Tools inkl. Systemkommandos
  • Datenströme sowie Zugriffe auf Dateien (Abweichungen/Blockaden/Fehlgeschlagene Zugriffe)
  • Absender und Empfänger von Mails
  • Kapazität und Performance

Es liegt auf der Hand, dass mit diesen Logdaten nicht nur technische Daten, sondern auch personenbezogene Daten gem. Art. 4 Nr. 1 DSGVO anfallen. Hierfür ist es ausreichend, dass die gewonnenen Daten mit vertretbarem Aufwand personenbeziehbar sind, wie dies z.B. bei IP-Adressen der Fall ist. Mögliche personenbezogene Daten, die in diesem Zusammenhang anfallen sind:

  • IP- und Mail-Adressen
  • Server- und Clientnamen

In der möglichen Kombination der technischen und personenbezogenen Daten liegt die datenschutzrechtliche Problematik und Herausforderung. Schließlich gilt es, die gewünschte und notwendige Datensicherheit mit dem unabdingbaren Datenschutz in Einklang zu bringen. Bei allen datenschutzrechtlichen Bedenken, muss man letztendlich auch sehen, dass die durch ein SIEM gewonnene Datensicherheit, nicht nur die Daten des Unternehmens schützt, sondern auch die der Betroffenen und somit Datenschutz verwirklicht, wenn hierbei die Grundsätze aus Art. 5 DSGVO beachtet werden.

Voraussetzungen für eine Datenschutzkonformität

Die Notwendigkeit des SIEM-Einsatzes steht außer Frage. Dies ergibt sich aus vielerlei Hinsicht:

Für Gesellschaften ergeben sich aus dem Gesellschaftsrecht Anforderungen an die IT-Sicherheit, die durch die Unternehmensleitung im Rahmen der ihr obliegenden Sorgfaltspflichten und der Verpflichtung zum Risikomanagement zu wahren sind. Ohne eine funktionierende IT kann das Unternehmen seine Geschäftstätigkeit bald einstellen. Die Integrität und Vertraulichkeit der gespeicherten Daten sind unabhängig davon, ob diese personen- oder geschäftsbezogen sind, für jedes Unternehmen heute überlebenswichtig. Die Unternehmensleitung hat daher durch Organisation, deren Kontrolle und Überwachung die IT-Risiken zu minimieren. Im Zuge der Compliance umfasst dies auch den regelkonformen Einsatz der IT, d.h. es müssen hierbei alle Gesetze und damit auch die DSGVO beachtet werden. Gesellschaftsrechtlich ergibt sich dies für Aktiengesellschaften aus § 91 Abs. 1 AktG und für GmbH-Gesellschaften aus § 43 Abs. 1 GmbHG.

Zudem sind Verantwortliche Art. 4 Nr. 7 DSGVO gehalten, Datenschutzverletzungen gem. Art. 33 DSGVO i.V.m. ErwG 85 innerhalb von 72 Stunden zu melden bzw. die betroffene Person gem. Art. 34 DSGVO i.V.m. ErwG 86 hiervon zu unterrichten.

Wesentlich für den SIEM-Einsatz ist somit die datenschutzkonforme Auslegung des SIEM-Systems.

Rechtsgrundlage der Verarbeitung personenbezogener Daten

Nachdem die DSGVO als Verbot mit Erlaubnisvorbehalt ausgelegt ist, wird für die Verarbeitung personenbezogener Daten eine Rechtsgrundlage gem. Art. 5 Abs. 1 lit. a und Art. 6 Abs. 1 DSGVO benötigt. Als maßgebliche Rechtsgrundlagen erscheint hier für Unternehmen Art. 6 Abs. 1 lit. f DSGVO das berechtigte Interesse. Daher wird hier auf mögliche andere Gründe nicht näher eingegangen. Die herrschende Meinung vertritt unter Berufung auf ErwG 49, dass Maßnahmen der IT-Sicherheit ein berechtigtes Interesse sind, wenn bei deren Einführung die Interessensabwägung unter Berücksichtigung des Verhältnismäßigkeitsgrundsatzes zu dem Ergebnis kommt, dass der Eingriff in das Persönlichkeitsrecht des Betroffenen geringer wiegt als das Interesse des Verantwortlichen.

Bei der Verhältnismäßigkeitsprüfung ist zu berücksichtigen, dass die IT-Maßnahme folgende Voraussetzungen erfüllt:

  • Geeignetheit,
  • Erforderlichkeit, d.h. das mildeste aller möglicher Maßnahmen ist
  • und angemessene Berücksichtigung des allgemeinen Persönlichkeitsrechts der betroffenen Person.

Informationspflichten für den Verantwortlichen

Die Beschäftigten sind über die IT-Maßnahmen in transparenter Weise zu informieren, das bedeutet keine vollumfängliche Information in Form von technischen Einzelheiten. Jedoch sollten die Informationen folgende Aspekte enthalten:

  • es werden IT-Sicherheitsmaßnahmen durchgeführt
  • deren Ausmaß d.h. welche personenbezogenen Datenkategorien betroffen sind und wofür diese verwendet werden
  • welche Personen Zugriff auf die personenbezogenen Daten haben
  • über die Speicherfrist
  • Rechte der Betroffenen, wobei ein Widerspruch der Beschäftigten an Art. 21 Abs. 1 S. 2 DSGVO scheitern dürfte

Die Informationspflicht nach Art. 13 DSGVO erfährt ihre Grenze im Hinblick auf den Betroffenen dort, wo sich der Verantwortliche damit Informationen entledigen würde, die ihn in seiner Rechtsausübung beeinträchtigen würden und seine Interessen gem. § 32 Abs. 1 Nr. 4 BDSG die des Betroffenen überwiegen.

Dokumentationspflichten des Verantwortlichen

Nach Art. 30 DSGVO ist der Verantwortliche verpflichtet, den Zweck und das Ausmaß der Datenverarbeitung zu dokumentieren. Zwingend erforderlich ist daher eine klare Festlegung der Datenkategorien unter Berücksichtigung der Erforderlichkeit für die geplante Datenverarbeitung sowie eine klare Zweckbindung. Grundsätzlich dürfen personenbezogene Daten nur solange gespeichert werden, wie dies für die Zweckerreichung erforderlich ist. Hierbei ist zu berücksichtigen, dass viele Cyberattacken über lange Zeit hinweg unentdeckt bleiben, daher werden IT-Abteilungen regelmäßig 6 bis 12 Monate als Speicherfrist vorschlagen, um insbesondere bei forensischen Nachuntersuchungen gewappnet zu sein.

Organisatorische Maßnahmen

Da bei einem Incident die betroffene Person zumindest gegenüber dem CSIRT/CERT/SOC offengelegt werden muss, ist eine Anonymisierung nicht durchsetzbar. Im Übrigen ist auch der Betroffene selbst daran interessiert, Unterstützungsleistung zur Schadensbegrenzung zu erhalten. Es sind daher noch andere Maßnahmen nach Art. 5, 25, 32 DSGVO zu ergreifen, um eine Datenschutzkonformität zu erreichen.

  • Pseudonymisierung personenbezogener Daten
    Zur Risikominimierung könnte man personenbezogene Daten pseudonymisieren, d.h. die Daten werden so verändert, dass sie ohne eine zusätzliche, getrennt gespeicherte Information keiner bestimmten Person zugeordnet werden können. Dies könnte im Wege einer Event-Duplizierung erfolgen, wovon eine pseudonymisiert wird und die andere nur für den Incidentzugriff zur Verfügung steht.
  • abgestuftes Rollen- und Berechtigungskonzept für die Personen, die Zugriff auf die SIEM-Daten haben inkl. deren Überwachung
  • Protokollierung der Zugriffsdaten
  • Konzept für die Informations- und Alarmierungsweitergabe
  • Ausschluss einer Verhaltens- und Leistungskontrolle

Mitbestimmungspflicht des Betriebsrates

Vor dem Einsatz eines SIEM ist ein umfassender Abstimmungsprozess mit allen betroffenen Bereichen durchzuführen, dies gilt insbesondere für eine frühe Einbindung des Betriebsrats, der gem. § 80 Abs. 1 Nr. 1 BetrVG sowie gem. § 87 Abs. 1 Nr. 6 BetrVG ein Mitbestimmungsrecht hat. Bestehende Betriebsvereinbarungen dürften meist einer Überarbeitung dahingehend bedürfen, dass in dieser

  • der Zweck der Verarbeitung genau festgelegt werden muss,
  • die IT-Maßnahme genau – auch in Bezug auf das Ausmaß und die Auswirkung auf den Beschäftigten – beschrieben werden muss
  • und die Zugriffsrechte auf die personenbezogenen Daten strikt geregelt werden müssen.

Datenschutz-Folgenabschätzung für die Maßnahme

Was viele nicht gerne hören, aber dennoch notwendig ist, ist die Datenschutz-Folgenabschätzung gem. Art. 35 Abs. 3 a DSGVO. Systeme wie ein SIEM (Data to Everything Plattformen) sind in der DSK-Liste in der laufenden Nr. 5 angeführt, als ein notwendiges System für das eine Datenschutz-Folgenabschätzung für erforderlich gehalten wird.

Der Einsatz eines SIEM ist eine wirkungsvolle und State of the Art Umsetzung von IT-Sicherheitsmaßnahmen gepaart mit einer professionellen Erkennung und Abwehr von Cyberangriffen. Datensicherheit und Datenschutz sind nicht widersprüchlich, sondern können mit adäquaten organisatorischen Maßnahmen in Einklang gebracht werden.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.