Kategorie: Datenschutz

22 Okt 2017

Wie ein SIEM ihre Datenschutzmaßnahmen unterstützen kann

In der, ab Mai 2018 gültigen, EU-Datenschutzgrundverordnung wird sehr viel mehr Wert auf technische Systeme zur Umsetzung der Anforderungen gelegt als im bisherigen Datenschutz. Das Unternehmen muss Datenschutzverstöße aktiv erkennen und innerhalb von 72h an die Aufsichtsbehörde melden können. Grundsätzlich müssen die Verarbeitungstätigkeiten zumindest aber regelmäßig auf ihre Sicherheit hin überprüft werden.

Artikel 32 DSGVO – Sicherheit in der Verarbeitung fordert dazu:

Ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

Dies stellt den Datenschutzbeauftragten vor zeitliche und organisatorische Herausforderungen. Der Datenschutzbeauftragte könnte diese Forderung nun umsetzen indem er regelmäßig persönliche Überprüfungen durchführt, manuell Protokolle auswertet oder die Verantwortlichen befragt. Oder er setzt ein SIEM ein, dass ihm schnell und auf Knopfdruck die relevanten Informationen anzeigt.

Ein SIEM ist ein Security Information und Event Management System. Ein solches System erfasst mögliche Sicherheitsprobleme und Vorfälle im unternehmenseigenen Netz und löst danach einen Alarm aus. Ein Administrator prüft diesen Alarm und verwirft ihn entweder oder leitet Gegenmaßnahmen ein.

Das ist allerdings nur das Ergebnis einer ganzen Kette von Sicherheitsinformationen die gesammelt wird und die Sicherheitsbeauftragte oder die Datenschutzbeauftragte bei ihrer täglichen Arbeit unterstützen. Grundsätzlich erhalten diese damit einen Gesamtüberblick über die Sicherheitslage in ihrem Netzwerk, können Angriffe nachvollziehen und potentielle Schwachstellen frühzeitig erkennen und beheben. Die Funktionsweise soll nun einmal kurz dargestellt werden.

Funktionweise eines SIEM

Ein SIEM besteht meist aus einer zentralen Instanz, dem Server, dieser führt die gesammelten Informationen zusammen und stellt sie übersichtlich dar. Daneben gibt es mehrere Sensoren die Daten sammeln und an den Server weiterleiten sowie externe Informationsquellen.

Als Sensoren dienen die zu überwachenden Systeme selbst oder entsprechende zusätzliche kleinere Installationen. Die überwachten Systeme liefern Protokolldaten und Zustandsdaten an das SIEM und werden ihrerseits regelmäßig auf Schwachstellen gescannt. Das Einsammeln der Protokolldaten kann dabei auch ein weiterer Server übernehmen und damit das SIEM entlasten. Zuästzlich bekommt das SIEM noch Informationen von einem eventuell vorhandenem Intrusion Detection System, das Einbrüche ins Netz erkennt und meldet.

Die gesammelten Daten werden nun aggregiert und gegen Alarmierungsregeln geprüft. Außerdem werden externe Quellen, die sogenannte Threat Intelligence, angezapft. Dazu gehören zum Beispiel Listen mit bekannten Malware-Servern, bekannte Phishing-Server und weitere Sicherheitsinformationen. Erfüllen die Daten die Alarmierungsregeln, wird ein Alarm ausgelöst.

Aber auch wenn kein Alarm ausgelöst wird, bietet das SIEM einen umfassenden Überblick über den Zustand des Netzwerkes. Alle Netzwerkgeräte werden erfasst und inventarisiert. Die Protokolldaten werden erhoben und grafisch ausgewertet. Erkannte Schwachstellen nach ihrer Kritikalität geordnet und angezeigt. Die Wirkung von Sicherheitsmaßnahmen wird direkt messbar und problematische Konfigurationsfehler werden aufgezeigt.

Die gesammelten Informationen können dann in vorgefertigte Compliance-Berichte nach PCI-DSS oder ISO 27001 übernommen werden und erleichtern Audits und die regelmäßige Berichterstattung.

Datenschutzrechtliche Bedenken

Als Datenschützer hört man die Worte „Überwachung“ und „Auswertung“ grundsätzlich nicht gerne. Tatsächlich gibt es hier auch ein Spannungsfeld zwischen der Sicherheit des Netzes und den personenbezogenen Daten der Mitarbeiter. Deshalb muss der Datenschützer die Einführung eines solchen Systems genau abwägen.

Für das System spricht der umfassende Überblick, die schnelle Erkennung von Sicherheitslücken und die Alarmierung. Dagegen steht die Erfassung von Protokolldaten von einer Vielzahl von Systemen und Anwenderaktivitäten. Als Datenschützer sollten sie hier auf eine Minimierung der erfassten personenbezogenen Daten, ein sorgfältig ausgearbeitetes Berechtigungskonzept und ein Löschkonzept für die Protokolldaten achten.

Lösungen und Kosten

Wie bei jeder technischen Lösung gibt es eine große Bandbreite von Anbietern für SIEM-Systeme mit unterschiedlichem Leistungsumfang und den damit verbundenen Kosten. Auch unterscheiden sich die Preismodelle sehr stark voneinander. Entweder wird anhand der installierten Systeme, dem Datenvolumen der Protokolle oder der Anzahl der überwachten Systeme abgerechnet.

Gartner hat in seiner Marktanalyse für SIEM Tools (Security Information and Eventmanagement 2017 ) die folgenden drei Gewinner ausgemacht:

LogRhytm

Geeignet vor allem für sehr große Unternehmen mit einer großen Menge an Endpunkten und Daten sowie dem entsprechenden Personal. LogRhytm selbst schweigt sich über den Preis aus, vereinzelt wird aber ein Preis von 32.000$ plus 20% jährlicher Wartung und Tests genannt. Dabei wird jedoch keine Grundlage für die Berechnung genannt.

logpoint

Ein europäisches Unternehmen mit einem Sitz in Deutschland. Als Datenschützer lässt schon einmal darauf hoffen, dass die datenschutzrechtlichen Vorgaben der DSGVO mit berücksichtigt werden. Grundsätzlich auch eher für sehr große Unternehmen geeignet, hier wird nach Anzahl der überwachten Systeme abgerechnet.

Splunk

Splunk ist sowohl für sehr kleine als auch für sehr große Unternehmen geeignet. Dazwischen liegt aber eine ziemlich große Lücke. Das liegt vor Allem am Abrechnungsmodell. Splunk rechnet nach Volumen der Protokolle in GB ab. Bis 500MB pro Tag kann es kostenlos genutzt werden. Danach fallen je nach Variante unterschiedliche Kosten an.

Es gibt die Möglichkeit Splunk als Software-as-a-Service aus der Cloud zu beziehen, in diesem Fall werden bis 5GB Protokolldaten 186$ monatlich fällig. Diese Variante sollte aber rein aus Datenschutzgründen schon nicht berücksichtigt werden. Die gesamten Protokolldaten des eigenen Unternehmens landen so bei einem Cloud-Anbieter.

Bei einer Vor-Ort-Installation sind zu den Server- und Administrationskosten zwischen 2070$ /Jahr/GB für 1 GB Daten täglich und 690$/Jahr/ pro GB ab einem Volumen von 100GB Daten täglich fällig. (Preismodell)

Dafür bietet es eine Vielzahl an Integrationen, eine schnelle Auswertung und eine schnelle Weiterentwicklung ohne zusätzliche Kosten.

Neben den drei Testsiegern ist aber vor allem Alienvault hervorzuheben.

Alienvault bietet mit OSSIM einen kostengünstigen Einstieg auf OpenSource-Basis, dafür muss der Anwender aber auf Support bei der Einrichtung und auf die Zentrale Protokollverwaltung verzichten. Abgesehen davon, bietet es aber die wesentlichen Funktionen eines SIEM wie Schwachstellenanalyse, Inventarisierung, Einbruchserkennung und Alarmierung.

Für kleinere und mittlere Unternehmen, die ihre Netzwerke überwachen wollen und Datenschützer die einen guten Überblick haben wollen, bietet sich diese Lösung zumindest als Einstieg in die Welt des Security Information and Event Management an. Der notorisch überlastete Admin wird es Ihnen danken, wenn seine Arbeit im Bereich Sicherheit sichtbar und messbar wird.

Mit einem SIEM wird die zentrale Grundforderungen im Artikel 32 der DSGVO zwar nicht komplett erfüllt, man kommt dem Ziel aber schon sehr nahe. Der Datenschutzbeauftragte bekommt so einen umfassenden und übersichtlichen Einblick in die Netzwerklandschaft ohne sich mit vielen technischen Details oder Einzellösungen zu beschäftigen.

Wenn Sie Hilfe bei der Auswahl eines geeigneten SIEM oder bei der Installation und Einrichtung von OSSIM benötigen, sprechen sie uns an.

06 Okt 2017

Aktualisierte Vereinbarungen zur Auftragsverarbeitung bei der Datev

Die Datenschutzgrundverordnung (DSGVO) wirft so langsam ihre Schatten voraus und auch größere Unternehmen passen ihre Vereinbarungen und Formulare an die neue Gesetzgebung an. Dies gilt auch für die Auftragsverarbeitung von personenbezogenen Daten. Daraus entsteht auch für die Nutzer der entsprechenden Dienstleistungen Handlungsbedarf.

Was bedeutet Auftragsverarbeitung?

Die DATEV eG verarbeitet im Auftrag ihrer Kunden und Mitglieder besonders schutzwürdige personenbezogene Daten, zum Beispiel bei der Lohnabrechnung  die Religionszugehörigkeit, Krankenkassendaten und weitere sensible Daten. Damit diese Daten weiter verarbeitet werden können muss das Vertragsverhältnis zwischen dem Auftragsverarbeiter und dem Auftraggeber neu geordnet werden.

Der Auftraggeber ist die verantwortliche Stelle und muss dementsprechend sicherstellen das der Auftragsverarbeiter auch alle notwendigen Maßnahmen zum Schutz dieser Daten trifft. Das realistische Risiko einer Datenpanne bei der Datev selbst ist zwar als gering einzuschätzen, unabhängig davon fehlt aber die rechtliche Grundlage für die Datenverarbeitung ohne den Vertrag.

Wer ist betroffen?

Betroffen sind alle Kunden der DATEV eG welche personenbezogen Daten an diese übermitteln, unabhängig von der Größe des Auftraggebers. Dazu zählen u.a. die Nutzer der Lösungen wie DATEV Unternehmen Online oder sonstiger DATEV-Dienste aus der Cloud.

Dies gilt auch für Steuerberater, die das Angebot der DATEV zur Leistungserbringung nutzen. Aus datenschutzrechtlicher Sicht ist die DATEV ein Dienstleister der mit der Verarbeitung von personenbezogenen durch den StB beauftragt wird.

Der Steuerberater selbst muss dabei aber bisher keinen AV-Vertrag mit seinen Mandanten abschließen, da die Steuerberatung als „Funktionsübertragung“ gilt und er bereits durch berufsrechtliche Vorschriften zur Verschwiegenheit verpflichtet ist. Details finden sich dazu in diesem, bei der DATEV verlinkten, Artikel.

Was muss getan werden?

Bis zum 24.05.2018 muss der aktualisierte AV-Vertrag mit der DATEV abgeschlossen sein.

Dies kann bequem auf der DATEV-Seite selbst getan werden, Nutzer mit den entsprechenden Zugängen bekommen sogar bereits vorausgefüllte Verträge nach dem Login präsentiert.

Hier geht es zur entsprechenden Seite.

Wenn Sie weiterführende Informationen wünschen, sprechen Sie uns an (Kontaktformular)oder informieren sich über unser Angebot im Bereich Datenschutzmanagement.

 

Durch die weitere Nutzung der Seite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um Ihnen das beste Surferlebnis zu ermöglichen. Wenn Sie diese Website ohne Änderung Ihrer Cookie-Einstellungen verwenden oder auf "Akzeptieren" klicken, erklären Sie sich damit einverstanden.

Schließen