Datenschutz bei Security Intelligence

Security-Analysen als Datenrisiko

16.12.2015 von Oliver Schonschek
Sollen personenbezogene Daten ausgewertet werden, muss der Datenschutz stimmen. Das gilt auch für Lösungen zur Erkennung von IT-Bedrohungen.

Fast klingt es nach dem alten Vorurteil, Datenschutz sei Täterschutz, wenn Vortragsthemen des ACDC-Projektteams "Is privacy stopping us from defeating cyber crime?" oder "Privacy concerns and legal boundaries in the fight against botnets" lauten. Immerhin ist ACDC, das Advanced Cyber Defence Centre, ein EU-Projekt, das ein europäisches Zentrum für Cyber Defence aufbauen und den Schutz vor Botnetzen stärken soll. Wenn der Datenschutz der Abwehr von Cybercrime und Bot-Attacken Grenzen auferlegt, scheint dies zu weit zu gehen.

Um Gefahrensituationen zu beurteilen und frühzeitig Abwehrmaßnahmen einzuleiten, können Unternehmen die Security-Analyse an Dienstleister auslagern, wie dem InfoGuard Cyber Defence Center.
Foto: InfoGuard AG

Grundsätzlich geht es dem Datenschutz aber um den Schutz der Daten, wenn die Verarbeitung, Speicherung und Nutzung der Daten nicht durch Datenschutzgesetze, andere Rechtsvorschriften oder die Einwilligung der Betroffenen erlaubt ist. Ist eine Rechtsgrundlage vorhanden, dürfen personenbezogene Daten natürlich genutzt und ausgewertet werden.

Die Frage ist, ob ein EU-Projekt zur Botnetz-Erkennung und -Abwehr und allgemeiner eine Plattform zur Erkennung von IT-Bedrohungen eine Rechtsgrundlage zur Verarbeitung personenbezogener Daten hat. Diese Frage musste sich nicht nur das Projekt ACDC stellen, sondern jeder Nutzer einer Security-Intelligence-Lösung muss dies vorab klären.

In dem EU-Projekt ACDC (Advanced Cyber Defence Centre) zur Erkennung und Abwehr von Botnetzen wurden auch umfangreiche Datenschutz-Analysen angestellt, um die Rechtsgrundlage für den Austausch sicherheitsrelevanter Daten sicherzustellen.
Foto: eco - Verband der Internetwirtschaft e.V.

Risiken bei Gefahrenabwehr beachten

Die deutschen Aufsichtsbehörden für den Datenschutz warnen vor Datenrisiken bei der Gefahrenabwehr, nicht nur, wenn diese durch Unternehmen erfolgt, sondern auch bei der staatlichen Strafverfolgung. In ihrer Entschließung "Big Data zur Gefahrenabwehr und Strafverfolgung: Risiken und Nebenwirkungen beachten" stellen die Datenschützer heraus, dass die Gefahr fehlerhafter Prognosen stets vorhanden ist, mit erheblichen Auswirkungen auf die dabei in Verdacht geratenen Personen. Es bestehe das Risiko, dass die Analysesysteme die Daten aus einem ganz anderen Zusammenhang verwenden, denen kein gefährdendes oder strafbares Verhalten zu Grunde liegt.

Bei einem Projekt wie ACDC kommt ein weiterer datenschutzrelevanter Punkt hinzu: Die Abwehr von Internetgefahren, wie sie Botnetze darstellen, kann ebenso wenig auf nationale Grenzen beschränkt werden wie die Erkennung möglicher Angriffe. Personenbezogene Daten, zu denen unter anderem IP-Adressen nach gängiger Rechtsmeinung gezählt werden, werden in verschiedenen Ländern erhoben, über Grenzen hinweg übertragen und dann in einem oder mehreren der beteiligten Länder ausgewertet.

Für die zentrale Auswertung und die Information betroffener Organisationen müssen die Daten über Botnetz-Aktivitäten über Grenzen hinweg übertragen werden. Dabei muss der Datenschutz Beachtung finden. Das Projekt ACDC hat dies entsprechend überprüft.
Foto: eco - Verband der Internetwirtschaft e.V.

Das ACDC-Projekt ist auf den EU-Raum beschränkt, Security-Intelligence-Plattformen vieler Anbieter jedoch nicht. Spätestens seit dem Safe-Harbor-Urteil sollte endgültig klar sein, dass die Datenübermittlung in Drittstaaten eine neue Rechtsgrundlage benötigt. Die deutschen Aufsichtsbehörden für den Datenschutz hatten dies bereits zuvor mehrfach gefordert.

Vor ungeprüften Datenübermittlungen sei gewarnt

Bei Lösungen wie Security Intelligence aus der Cloud oder SIEM as s Service (Security Information and Event Management) stellen Unternehmen Daten für die Security-Analyse durch einen Anbieter bereit. Wenn sich personenbezogene Daten wie ungekürzte IP-Adressen oder andere Nutzerinformationen darunter befinden, muss sichergestellt sein, dass die Daten auch tatsächlich nach den Datenschutz-Prinzipien verarbeitet werden.

SIEM - Security Analytics
IP-Filter
Die SIEM-Lösung zeigt unter anderem an, von welcher IP-Adresse aus zu bestimmten Zeiten auf bestimmte Daten (in diesem Fall aus einer IRC-Verbindung) zugreifen.
Gefahrenquellen
Es werden Daten über laufende Programme und Web-Services erhoben.
Art des Traffics
Über welche Protokolle und Web-Services welcher Datenverkehr fließt, lässt sich ebenfalls nachvollziehen.

Dazu gehört insbesondere die Zweckbindung oder im Fall der Security-Analyse der Besonderen Zweckbindung. Demnach dürfen personenbezogene Daten, die ausschließlich zu Zwecken der Datenschutzkontrolle, der Datensicherung oder zur Sicherstellung eines ordnungsgemäßen Betriebes einer Datenverarbeitungsanlage gespeichert werden, nur für diese Zwecke verwendet werden.

Damit personenbezogene Daten bei Security-Analysen geschützt werden können, sollten verschiedene Funktionen bei der Security-Intelligence-Plattform verfügbar sein: Personenbezogene Daten sollen - wenn technisch möglich - bereits vor den Analyse anonymisiert oder pseudonymisiert werden (Datenmaskierung). Werden personenbezogene Daten übertragen, sollten diese zum Beispiel durch Verschlüsselung und andere Formen des Zugangs- und Zugriffsschutzes vor unbefugter Nutzung bewahrt werden.

Beispiel für die internationale Verteilung eines Botnetzes. Die Erkennung und Abwehr muss deshalb ebenso grenzüberschreitend sein wie der Datenaustausch als Basis der Security-Analyse.
Foto: Link11 GmbH

Die Security-Intelligence-Plattform sollte zudem ein Berechtigungs- und Rollensystem aufweisen und das Vier-Augen-Prinzip unterstützen, um den Zugriff auf personenbezogene Daten zu kontrollieren und zu begrenzen. Bekannt sein muss zudem, wer für den Datenschutz bei der Plattform verantwortlich ist, wer Datenschutzbeauftragter ist, zu welchem genauen Zweck die Daten verarbeitet werden sollen, welche Art von Daten betroffen ist, an wen die Daten übermittelt werden sollen, wann die Daten gelöscht werden und wie sie geschützt werden sollen.

Besondere Beachtung muss dem Fall geschenkt werden, dass personenbezogene Daten zum Zwecke der Security-Analyse Grenzen überschreiten sollen. Im Fall des ACDC-Projektes fanden umfangreiche Datenschutz-Überlegungen und -Analysen statt, um den Rechtsrahmen für die Botnetz-Erkennung und -Abwehr ermitteln zu können. Das ist auch für andere Security-Intelligence-Anwendungen erforderlich, ganz besonders dann, wenn eine Datenübermittlung an einen Drittstaat, wie zum Beispiel in eine US-Cloud, geplant ist.

Austausch von Security Intelligence mit Nebenwirkungen

Die Internetkriminellen agieren global, entsprechend muss auch die Erkennung und Abwehr länderübergreifend möglich sein. "Nur zusammen und über Ländergrenzen hinweg können wir Cyberkriminalität erfolgreich bekämpfen", so zum Beispiel Jens-Philipp Jung, Geschäftsführer von Link11, anlässlich der Partnerschaft mit dem Advanced Cyber Defence Centre (ACDC).

Dementsprechend machen auch die Initiativen Sinn, Security-Intelligence innerhalb eines Netzwerkes auszutauschen und so die Basis für die Bedrohungserkennung zu optimieren. Beispiele für einen solchen Threat-Intelligence-Austausch sind IBM X-Force Exchange, das CrowdStrike Intelligence Exchange (CSIX) Program sowie McAfee Global Threat Intelligence, wobei Bedrohungsdaten von Drittanbietern sowie sogenannte STIX-Dateien mit lokal erfassten Daten aus Sicherheitslösungen der Nutzer kombiniert werden. STIX steht dabei für Structured Threat Information eXpression und stellt ein Austauschformat für Security Intelligence dar. Innerhalb der Informationen zum sogenannten Threat Actor können Identitätsinformationen zu einem Angreifer enthalten sein.

Threat Intelligence Exchange ist eine wesentliche Basis für die optimierte Erkennung von IT-Bedrohungen. Plattformen wie IBM X-Force Exchange unterstützen dabei den Austausch der Daten zwischen den Teilnehmer.
Foto: IBM

Bevor Unternehmen Security-Intelligence-Daten mit einem entsprechenden Netzwerk austauschen oder an einem Anbieter übertragen, der an einer Austausch-Plattform teilnimmt, sollte geklärt sein, dass das Datenschutzniveau gewahrt bleibt und keine personenbezogenen Daten unerlaubt in Drittstaaten oder anderweitig übermittelt werden. Da mit einer steigenden Zahl an Security-Intelligence-Plattformen und Austauschnetzwerken zu rechnen ist, kann nicht einfach davon ausgegangen werden, dass der Datenschutz grundsätzlich dem EU-Standard entspricht.

Die European Union Agency for Network and Information Security (ENISA) stellte im Rahmen des "ENISA Workshop on EU Threat Landscape" im Februar 2015 anschaulich dar, worin die Unterschiede bei dem Austausch von Security-Intelligence- oder Threat-Intelligence-Daten in den USA und in der EU liegen. Während in der EU eine der treibenden Kräfte der Datenschutz ist und die Grundlage durch die Datenschutzgesetze gebildet wird, stammt die rechtliche Basis für den Austausch von Threat Intelligence in den USA aus dem Bereich "Homeland Security", also nationale Sicherheit.

Mehr Security Intelligence für die IT
Weite Bedrohungslandschaft
Ohne Security Intelligence wird es schwierig, der Vielfalt an IT-Bedrohungen effektiv zu begegnen. Der Bericht ENISA Threat Landscape 2014 zeigt eine breite Front an möglichen Angriffen.
Unternehmen sind unterlegen
IT-Sicherheitsverantwortliche berichten mehrheitlich (59 Prozent), dass ihre IT-Sicherheit den raffinierten Angreifern gegenüber unterlegen ist.
... wollen sich aber wehren
Die raffinierten Attacken werden als größte Herausforderung für die IT-Sicherheit angesehen.
Security Intelligence hilft
Mit Security Intelligence kann die Abwehr raffinierter Attacken verbessert werden. Dazu werden zahlreiche Datenquellen ausgewertet; die Ergebnisse der Sicherheitsanalysen stehen dann verschiedenen Bereichen der IT-Sicherheit zur Verfügung, nicht nur die Abwehr, sondern auch vorbeugende Maßnahmen profitieren.
Großes Wehklagen
Unternehmen beklagen, dass sie nicht genug über mögliche Schwachstellen wissen. Hier können Security-Intelligence-Lösungen helfen und den Patchmanagement-Prozess optimieren.
Software-Tools
Security-Intelligence-Plattformen liefern Entscheidungsgrundlagen für das IT-Sicherheitsmanagement.
Risiken verwalten
Security Intelligence hilft bei der Bewertung der Risiken, die mit digitalen Identitäten verbunden sind.
Falsche Identitäten erkennen
Mit Security Intelligence lassen sich betrügerische Aktivitäten besser erkennen, bei denen zum Beispiel gefälschte Identitäten eingesetzt werden.
Malware und Phishing verhindern
Security Intelligence hilft bei der Erkennung von Malware, schädlichen Web-Seiten und Phishing-Attacken.
Auch mobil auf dem Laufenden
Die Bewertung des Risikos durch mobile Apps wird durch Security-Intelligence-Lösungen unterstützt.

Für Unternehmen in Deutschland und in der EU sind die Datenschutzgesetze die Leitlinien, auch wenn es um die Erkennung und Abwehr von IT-Bedrohungen geht. Datenschutzfreundliche Lösungen auf dem Markt zeigen, dass Security Intelligence und Datenschutz nicht nur vereinbar sind, sondern nach EU-Verständnis zwingend zusammengehören.

Checkliste: Datenschutz bei Security Intelligence

Was Unternehmen zur EU-Datenschutzreform beachten müssen
Was Unternehmen zur EU-Datenschutzreform beachten müssen
Es ist wohl nur noch eine Frage von Wochen und Monaten, bis die neue EU-Datenschutzverordnung in Kraft tritt. Was bedeutet das für die Unternehmen? Was müssen sie wissen? Marco Schmid, Country Manager DACH beim Webhoster Rackspace, gibt Tipps.
Einwilligung
Unternehmen müssen sicherstellen, dass sie über eine unmissverständliche Einwilligung zur Verarbeitung personenbezogener Daten verfügen, sowohl von Kunden als auch von Mitarbeitern. Von dieser Neuerung sind vor allem Firmen im Consumer-Bereich betroffen, die alle Daten aus ihren Kunden-Datenbanken löschen müssen, für die kein Einverständnis vorliegt. So ist es beispielsweise nicht zulässig, die Daten von Frau Mustermann, die vor zehn Jahren Socken für ihren Mann gekauft hat, weiterhin zu speichern. Marketingabteilungen müssen zukünftig in der Lage sein, Anfragen von Kunden zu berücksichtigen, die um die Löschung ihrer persönlichen Daten bitten oder wollen, dass ihre Daten nicht weiter genutzt werden.
"Recht auf Vergessen"
Die meisten Unternehmen konzentrieren sich erfolgreich darauf, Daten zu sammeln – aber die wenigsten darauf, sie auch wieder aus ihren Systemen zu löschen. Dies wird eine Herausforderung für viele Firmen, sobald Googles „Recht auf Vergessen“ zum Tragen kommt. Eventuell ist die Anonymisierung von Daten eine Alternative für Unternehmen, die es sich leisten können.
Technische und organisatorische Maßnahmen
Ein weiterer wichtiger Aspekt ist die Sicherheit der IT-Systeme vor ungewollten Zugriffen. Setzen Unternehmen geeignete Kontrollen ein, um Kunden- und Personaldaten zu schützen – und das solange es erforderlich ist und ohne dass die Gefahr eines unbeabsichtigten Verlusts entsteht? Ist überhaupt bekannt, warum solche Daten gespeichert werden – geschieht es einfach nur wegen der legitimen Absicht, sie weiter zu verarbeiten? Indem Unternehmen diese Fragen beantworten, bereiten sie sich technisch und organisatorisch auf die Einführung der neuen Datenschutz-Verordnung vor.
Anzeige bei Verstößen
Unternehmen, die Daten verarbeiten, sind dazu verpflichtet, Verstöße gegen die Datensicherheit den zuständigen Datenschutz-Behörden und den Betroffenen innerhalb von 72 Stunden zu melden, wenn der Verstoß zu hohen Risiken führt. Daher müssen Unternehmen zuverlässige Reaktionsprozesse zum Incident Management etablieren, mit denen sie dieser Verpflichtung nachkommen können.
Umsetzung und Strafen
Wenn ein Unternehmen aus irgendeinem Grund gegen die Datenschutz-Verordnung verstößt, kann die zuständige Behörde eine Strafe von bis zu einer Million Euro oder zwei Prozent des jährlichen Umsatzes fordern.