Datenschutz: Sicherheits-Monitoring statt Mitarbeiterüberwachung

Monitoring-Lösungen kombinieren Protokolldaten der IT-Sicherheit, um Angriffe aufzudecken. Dabei könnten Beschäftigtendaten zu transparent werden.

Deutsche Unternehmen sind zu sorglos bei der IT-Sicherheit, insbesondere wenn es um die Abwehr raffinierter Internetattacken (APT, Advanced Persistent Threat) geht. Die IDC-Studie „Vor dem Sturm: IT-Security in Deutschland 2013“ zeigt den Bedarf deutscher Firmen, ihre IT-Sicherheit besser zu planen und zu überwachen.

Komplexe Angriffe erfordern mehrstufige Sicherheit

Einzelne Sicherheitslösungen reichen nicht, um Angriffe zu erkennen und abzuwehren, die über verschiedene Kanäle gleichzeitig auf das Unternehmensnetzwerk eindringen. Erst die Kombination aus den richtigen IT-Sicherheitsanwendungen kann die optimale Antwort auf die komplexen Attacken sein. Damit solche Angriffe zeitnah erkannt und der mögliche Schaden minimiert werden können, ist es wichtig, die verschiedenen Sicherheitswarnungen und Meldung der einzelnen IT-Sicherheitssysteme gemeinsam zu betrachten. Oftmals zeigt erst die Kombination verschiedener Sicherheitsmeldungen, dass ein Angriff vorliegt.

Modernes Sicherheits-Monitoring kann helfen und selbst zum Risiko werden

Verschiedene Security Information and Event Management-Lösungen (SIEM) und System für Sicherheits-Monitoring wollen Unternehmen dabei helfen, die Reaktionszeiten bei möglichen Angriffen zu verkürzen und die Informationsflut einzudämmen, die durch die zahlreichen Warnungen und Protokolldaten der IT-Sicherheitsanwendungen entsteht. Dazu werden die Protokolldaten und Event-Meldungen kombiniert ausgewertet.

In der Regel werden dabei nicht nur die IT-Sicherheitslösungen eines Herstellers berücksichtigt, sondern die verschiedener Sicherheitsanbieter. Dazu müssen die Protokoll- und Event-Daten bestimmten Standards und Schnittstellen entsprechen um eine zentrale Auswertung erlauben. So können zum Beispiel die Sicherheitsmeldungen und Systemprotokolle bestimmter Lösungen im Bereich Schwachstellen-Scanning, Data Loss Prevention (DLP) und Malware-Schutz gemeinsam ausgewertet und in einen Sicherheitsbericht gegossen werden. Mit der Konzentration von Daten steigen allerdings auch die möglichen Risiken aus Datenschutz-Sicht.

Nutzerprofile bei IT-Sicherheitssystemen

Bereits ein einzelnes IT-Sicherheitssystem kann dazu führen, dass die Nutzeraktivitäten transparenter werden, als es dem Datenschutz recht ist. Schwachstellen-Scanner lassen sich beispielsweise bei Endgeräten einsetzen, die sowohl privat als auch dienstlich genutzt werden. Hier könnten die entsprechenden Scan-Protokolle neben den entdeckten Schwachstellen auch die privat installierten Anwendungen offenlegen und unter Umständen zeigen, welche dieser privaten Anwendungen besonders oft genutzt werden.

Möchte ein Unternehmen verhindern, dass vertrauliche Daten abhandenkommen und setzt deshalb eine DLP-Lösung ein, dann könnte die Überwachung der Datenbewegungen so weit gehen, dass jede einzelne Aktivität eines Nutzers am Computer transparent wird.

Selbst die Protokolle und Meldungen der Anti-Viren-Software können Rückschlüsse auf heruntergeladene Dateien, geöffnete Dokumente und besuchte Webseiten geben. Auch ohne erlaubte Privatnutzung von Internet und E-Mail darf die Analyse der Nutzeraktivitäten nicht zur vollständigen Überwachung ausarten.

Besondere Zweckbindung beachten

Der deutsche Datenschutz sieht vor, dass personenbezogene Daten, die ausschließlich zu Zwecken der Datenschutzkontrolle, der Datensicherung oder zur Sicherstellung eines ordnungsgemäßen Betriebes einer Datenverarbeitungsanlage gespeichert werden, auch nur für diese Zwecke verwendet werden dürfen (sogenannte Besondere Zweckbindung). Das bedeutet, dass Systemprotokolle von IT-Sicherheitssystemen insbesondere nicht zur Leistungs- und Verhaltenskontrolle der Beschäftigten genutzt, genauer missbraucht werden dürfen.

Datenschutzgerechte Protokollierung umsetzen

Da Systemprotokolle generell das Potenzial haben können, anderweitig ausgewertet und damit missbraucht zu werden, haben die Aufsichtsbehörden für den Datenschutz eine Orientierungshilfe Protokollierung herausgegeben, die auch bei neuartigen Monitoring-Lösungen zum Tragen kommen muss.

Für die Gestaltung der Protokollierungsverfahren gilt der Grundsatz der Erforderlichkeit.

Art, Umfang und Dauer der Protokollierung sind auf das zur Erfüllung des Protokollierungszwecks erforderlichen Maß zu beschränken. Für die technische Ausgestaltung und Auswahl der Verfahren für die Protokollierung ist das Gebot der Datensparsamkeit und Datenvermeidung zu befolgen. Hierbei sind insbesondere die Möglichkeiten zur Pseudonymisierung oder Anonymisierung zu berücksichtigen.

Neues Risiko: Kombination scheinbar harmloser Protokolldaten

Besondere Aufmerksamkeit ist erforderlich, wenn verschiedene Protokolldaten kombiniert und verknüpft werden, wie dies gerade zur Erkennung der raffinierten Angriffe aus dem Internet sinnvoll ist. In der Kombination können eigentlich unkritische Nutzerdaten zu einem neuen Bild zusammengefügt werden, das plötzlich mehr zeigt, als es zeigen soll: nämlich das konkrete Verhalten eines Nutzers.

Wird zum Beispiel der Standort eines mobilen Gerätes überwacht, um es im Verlustfall auffinden zu können, und gleichzeitig die Datenbewegungen auf dem Gerät untersucht, um ungewollten Datenabfluss zu verhindern, ergibt sich ein Bild dessen, wo mit dem Gerät welche Anwendungen und Daten verwendet werden. In Verbindung mit den Nutzerdaten entsteht eine Übersicht, wo der Nutzer was genau mit den Anwendungen und Daten gemacht hat. Das ist nicht nur bei betrieblicher Nutzung privater Geräte (BYOD) ein Problem.

Fazit: Kein Sicherheits-Monitoring der Mitarbeiter

Es steht außer Zweifel, dass die eigenen Mitarbeiter eines Unternehmens zu den Hauptursachen für Datendiebstahl gehören können, wie zum Beispiel eine Umfrage von Kaspersky Lab zeigt. Trotzdem müssen Unternehmen darauf achten, dass das Sicherheits-Monitoring zu einer Durchleuchtung der Beschäftigten führen kann. Erst im konkreten Verdachtsfall darf es zu einer konkreten Überwachung der Aktivitäten des entsprechenden Nutzers kommen. Das darf nur zeitlich beschränkt und unter Einbeziehung der Mitarbeitervertretung und des Datenschutzbeauftragten erfolgen. Andernfalls müssen die Nutzerdaten in den Sicherheitsprotokollen anonymisiert oder pseudonymisiert werden. Schließlich soll das Monitoring der IT-Sicherheit die Datensicherheit erhöhen und nicht den Datenschutz gefährden.

Artikel wurde zuletzt im September 2013 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Enterprise-Compliance

0 Kommentare

Älteste Beiträge 

Passwort vergessen?

Kein Problem! Tragen Sie Ihre E-Mail-Adresse unten ein. Wir werden Ihnen eine E-Mail mit Ihrem Passwort schicken.

Ihr Passwort wurde an die folgende E-Mail-Adresse gesendet::

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close