Wie ein SIEM ihre Datenschutzmaßnahmen unterstützen kann

In der, ab Mai 2018 gültigen, EU-Datenschutzgrundverordnung wird sehr viel mehr Wert auf technische Systeme zur Umsetzung der Anforderungen gelegt als im bisherigen Datenschutz. Das Unternehmen muss Datenschutzverstöße aktiv erkennen und innerhalb von 72h an die Aufsichtsbehörde melden können. Grundsätzlich müssen die Verarbeitungstätigkeiten zumindest aber regelmäßig auf ihre Sicherheit hin überprüft werden.

Artikel 32 DSGVO – Sicherheit in der Verarbeitung fordert dazu:

Ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

Dies stellt den Datenschutzbeauftragten vor zeitliche und organisatorische Herausforderungen. Der Datenschutzbeauftragte könnte diese Forderung nun umsetzen indem er regelmäßig persönliche Überprüfungen durchführt, manuell Protokolle auswertet oder die Verantwortlichen befragt. Oder er setzt ein SIEM ein, dass ihm schnell und auf Knopfdruck die relevanten Informationen anzeigt.

Ein SIEM ist ein Security Information und Event Management System. Ein solches System erfasst mögliche Sicherheitsprobleme und Vorfälle im unternehmenseigenen Netz und löst danach einen Alarm aus. Ein Administrator prüft diesen Alarm und verwirft ihn entweder oder leitet Gegenmaßnahmen ein.

Das ist allerdings nur das Ergebnis einer ganzen Kette von Sicherheitsinformationen die gesammelt wird und die Sicherheitsbeauftragte oder die Datenschutzbeauftragte bei ihrer täglichen Arbeit unterstützen. Grundsätzlich erhalten diese damit einen Gesamtüberblick über die Sicherheitslage in ihrem Netzwerk, können Angriffe nachvollziehen und potentielle Schwachstellen frühzeitig erkennen und beheben. Die Funktionsweise soll nun einmal kurz dargestellt werden.

Funktionweise eines SIEM

Ein SIEM besteht meist aus einer zentralen Instanz, dem Server, dieser führt die gesammelten Informationen zusammen und stellt sie übersichtlich dar. Daneben gibt es mehrere Sensoren die Daten sammeln und an den Server weiterleiten sowie externe Informationsquellen.

Als Sensoren dienen die zu überwachenden Systeme selbst oder entsprechende zusätzliche kleinere Installationen. Die überwachten Systeme liefern Protokolldaten und Zustandsdaten an das SIEM und werden ihrerseits regelmäßig auf Schwachstellen gescannt. Das Einsammeln der Protokolldaten kann dabei auch ein weiterer Server übernehmen und damit das SIEM entlasten. Zuästzlich bekommt das SIEM noch Informationen von einem eventuell vorhandenem Intrusion Detection System, das Einbrüche ins Netz erkennt und meldet.

Die gesammelten Daten werden nun aggregiert und gegen Alarmierungsregeln geprüft. Außerdem werden externe Quellen, die sogenannte Threat Intelligence, angezapft. Dazu gehören zum Beispiel Listen mit bekannten Malware-Servern, bekannte Phishing-Server und weitere Sicherheitsinformationen. Erfüllen die Daten die Alarmierungsregeln, wird ein Alarm ausgelöst.

Aber auch wenn kein Alarm ausgelöst wird, bietet das SIEM einen umfassenden Überblick über den Zustand des Netzwerkes. Alle Netzwerkgeräte werden erfasst und inventarisiert. Die Protokolldaten werden erhoben und grafisch ausgewertet. Erkannte Schwachstellen nach ihrer Kritikalität geordnet und angezeigt. Die Wirkung von Sicherheitsmaßnahmen wird direkt messbar und problematische Konfigurationsfehler werden aufgezeigt.

Die gesammelten Informationen können dann in vorgefertigte Compliance-Berichte nach PCI-DSS oder ISO 27001 übernommen werden und erleichtern Audits und die regelmäßige Berichterstattung.

Datenschutzrechtliche Bedenken

Als Datenschützer hört man die Worte „Überwachung“ und „Auswertung“ grundsätzlich nicht gerne. Tatsächlich gibt es hier auch ein Spannungsfeld zwischen der Sicherheit des Netzes und den personenbezogenen Daten der Mitarbeiter. Deshalb muss der Datenschützer die Einführung eines solchen Systems genau abwägen.

Für das System spricht der umfassende Überblick, die schnelle Erkennung von Sicherheitslücken und die Alarmierung. Dagegen steht die Erfassung von Protokolldaten von einer Vielzahl von Systemen und Anwenderaktivitäten. Als Datenschützer sollten sie hier auf eine Minimierung der erfassten personenbezogenen Daten, ein sorgfältig ausgearbeitetes Berechtigungskonzept und ein Löschkonzept für die Protokolldaten achten.

Lösungen und Kosten

Wie bei jeder technischen Lösung gibt es eine große Bandbreite von Anbietern für SIEM-Systeme mit unterschiedlichem Leistungsumfang und den damit verbundenen Kosten. Auch unterscheiden sich die Preismodelle sehr stark voneinander. Entweder wird anhand der installierten Systeme, dem Datenvolumen der Protokolle oder der Anzahl der überwachten Systeme abgerechnet.

Gartner hat in seiner Marktanalyse für SIEM Tools (Security Information and Eventmanagement 2017 ) die folgenden drei Gewinner ausgemacht:

LogRhytm

Geeignet vor allem für sehr große Unternehmen mit einer großen Menge an Endpunkten und Daten sowie dem entsprechenden Personal. LogRhytm selbst schweigt sich über den Preis aus, vereinzelt wird aber ein Preis von 32.000$ plus 20% jährlicher Wartung und Tests genannt. Dabei wird jedoch keine Grundlage für die Berechnung genannt.

logpoint

Ein europäisches Unternehmen mit einem Sitz in Deutschland. Als Datenschützer lässt schon einmal darauf hoffen, dass die datenschutzrechtlichen Vorgaben der DSGVO mit berücksichtigt werden. Grundsätzlich auch eher für sehr große Unternehmen geeignet, hier wird nach Anzahl der überwachten Systeme abgerechnet.

Splunk

Splunk ist sowohl für sehr kleine als auch für sehr große Unternehmen geeignet. Dazwischen liegt aber eine ziemlich große Lücke. Das liegt vor Allem am Abrechnungsmodell. Splunk rechnet nach Volumen der Protokolle in GB ab. Bis 500MB pro Tag kann es kostenlos genutzt werden. Danach fallen je nach Variante unterschiedliche Kosten an.

Es gibt die Möglichkeit Splunk als Software-as-a-Service aus der Cloud zu beziehen, in diesem Fall werden bis 5GB Protokolldaten 186$ monatlich fällig. Diese Variante sollte aber rein aus Datenschutzgründen schon nicht berücksichtigt werden. Die gesamten Protokolldaten des eigenen Unternehmens landen so bei einem Cloud-Anbieter.

Bei einer Vor-Ort-Installation sind zu den Server- und Administrationskosten zwischen 2070$ /Jahr/GB für 1 GB Daten täglich und 690$/Jahr/ pro GB ab einem Volumen von 100GB Daten täglich fällig. (Preismodell)

Dafür bietet es eine Vielzahl an Integrationen, eine schnelle Auswertung und eine schnelle Weiterentwicklung ohne zusätzliche Kosten.

Neben den drei Testsiegern ist aber vor allem Alienvault hervorzuheben.

Alienvault bietet mit OSSIM einen kostengünstigen Einstieg auf OpenSource-Basis, dafür muss der Anwender aber auf Support bei der Einrichtung und auf die Zentrale Protokollverwaltung verzichten. Abgesehen davon, bietet es aber die wesentlichen Funktionen eines SIEM wie Schwachstellenanalyse, Inventarisierung, Einbruchserkennung und Alarmierung.

Für kleinere und mittlere Unternehmen, die ihre Netzwerke überwachen wollen und Datenschützer die einen guten Überblick haben wollen, bietet sich diese Lösung zumindest als Einstieg in die Welt des Security Information and Event Management an. Der notorisch überlastete Admin wird es Ihnen danken, wenn seine Arbeit im Bereich Sicherheit sichtbar und messbar wird.

Mit einem SIEM wird die zentrale Grundforderungen im Artikel 32 der DSGVO zwar nicht komplett erfüllt, man kommt dem Ziel aber schon sehr nahe. Der Datenschutzbeauftragte bekommt so einen umfassenden und übersichtlichen Einblick in die Netzwerklandschaft ohne sich mit vielen technischen Details oder Einzellösungen zu beschäftigen.

Wenn Sie Hilfe bei der Auswahl eines geeigneten SIEM oder bei der Installation und Einrichtung von OSSIM benötigen, sprechen sie uns an.

Stefan Lorenz ist der Geschäftsführer der OSYSCON GmbH und seit mehr als 5 Jahren im IT-Sicherheitsumfeld und dem IT-Service tätig.

Schreiben Sie einen Kommentar