tom's networking guide
 
Anzeige
Hybride Zukunft für Radio und Fernsehen >
< Buchbesprechung: Home-Office - Ein fast wahrer Bericht
23.10.13 11:29 Alter: 7 Jahre
Kategorie: Top-News, Administratoren, Internet-Intranet, Office Connectivity, Sicherheit, Sonstiges, Analysewerkzeug, Kooperationen, Report, Virtualisierung
Von: Arno Kral

Schnüffeln mit Recht - Kontext ist King

Rechtliche Implikationen beim Einsatz von IT-Monitoring-Systemen wie RSA Security Analytics in Unternehmen


MAD-Spion mit Lupe mit freundlicher Genehmigung des Dino-Verlags

it-sa-2013-Logo

München/Nürnberg – Die Sicherheitsmesse für Informationstechnologien, it-sa, die vom 8. bis 10. Oktober 2013 zum fünften Mal ins Messezentrum Nürnberg geladen hatte, erfreut sich wachsender Beliebtheit. Das zeigt sich nicht nur an der regen Beteiligung (2013: 357 Aussteller aus 22 Ländern), sondern ebenso am umfangreichen Kongress-Programm. Zu den gehaltvolleren Vorträgen zählte 2013 der gemeinsame Auftritt von RSA und KPMG: RSA, die Sicherheitssparte der Storage-Firma EMC, die Wirtschaftsprüfungs- und Beratungsgesellschaft KPMG und die gleichnamige Rechtsanwaltsgesellschaft präsentierten das Whitepaper RSA Security Analytics – The Legal Implications of Using Deep Security Monitoring in Germany & France, das Unternehmen allgemeine Hinweise geben will, wie diese ihre Datensicherheit auf dem neuesten technologischen Stand halten können. Denn selbst in Zeiten, in denen systematisches Ausspähen ganzer Nationalstaaten und Weltorganisationen in Verruf gekommen ist, müssen Unternehmen schon aus Gründen des Selbstschutzes und wegen gesetzlicher Verpflichtungen ihren Mitarbeitern auf die Finger schauen, wenn sie untereinander oder mit der Außenwelt kommunizieren. 

"Die Anforderungen an die Informationssicherheit verschärfen sich durch rasant ansteigende Vernetzung, neue Technologien und zunehmende Bedrohungen. Reguläre perimeterbasierte Schutzmaßnahmen wie Firewalls sowie Anti-Viren-Programme reichen für eine effektive Identifikation und Abwehr von sogenannten „Advanced Threats“ nicht mehr aus", verlautet RSA Analytics um ihr neues Monitoring-System für verschiedene Kommunikationskanäle zu bewerben.

Auf der IT-SA-Veranstaltung "Intelligence Driven Security / Umfassender Schutz vor Cyber-Gefahren" proklamierte Dipl.-Ing. Roger Scheer, Regional Director Germany von RSA: "Alte, parametrische Sicherheitstechnologie ist out! Fakt ist, dass der Angreifer bereits im Netzwerk ist. Wir müssen ihn nur erkennen können." Also müsse der Netzwerk-Traffic kontinuierlich gescannt werden. Und fast schon resigniert fügt er hinzu: "Wir wissen, ein Angreifer kommt immer ins Netzwerk", sei es durch Recherche, soziales Engineering etc. Andererseits wollten laut Scheer heutige Angreifer gar nicht mehr erkannt werden. So müsse die Sicherheitsdoktrin künftig lauten: Den Angreifer erkennen, bevor er Schaden anrichten kann, seine Verweilzeit [im Netzwerk] und die Reaktionszeit [für Abwehrmassnahmen] verringern. 

Big-Data-Problem
Scheer zur Folge hätten die meisten Unternehmen zwar viel in Prävention investiert, was aber heutzutage nicht mehr ausreichend sei. Er fordert ein Umdenken bei Sicherheitsmodellen. Reaktive Maßnahmen seien veraltet, zeitgemäße Maßnahmen müssten "intelligence driven" sein [Anm. d. Red.: Das Englische "intelligence" meint nicht nur Grips, sondern auch Geheimdienst]. Was darunter zu verstehen ist, beschreibt Scheer wie folgt: Alt bedeutet Perimeter-orientierte, mit statischen Controls ausgestattete, isolierte Management-Systeme (sogenannte Silos), neu bedeute hingegen kontext-bezogene, interaktive Management-Systeme, risiko-basierte Analysen und dynamische Controls – also schlussendlich ein Big-Data-Problem. "Information is King" erfordert, aus Daten Informationen zu machen, sie also zu strukturieren und sie in Bezug zueinander und zu externen Ereignissen (Kontext) zu setzen. Dazu bedarf es der Kenntnis und umfassenden Wissens über die Vorgänge im Unternehmen – Daten aus dem Unternehmen also, die mit externen Daten korreliert werden müssten. Also lautet die Devise "Kontext ist King". 

Rechtskonforme Rasterfahndung
Die RSA Security Analytics Platform nutzt als Basis für ein zentrales Monitoring Netzwerk- und Login-Daten. Sie kann den gesamten Netzwerk-Verkehr von OSI-Layer 2 bis Layer 7 erfassen und auswerten. Dabei werden jedoch unvermeidbar auch personenbezogene Daten verarbeitet, was kein technisches, sondern ein juristisches Problem darstellt. Deshalb sei RSA eine Kooperation mit KPMG eingegangen.

So benannte Jörg Asma, bei KPMG zuständig für Partner und Technologie, die rechtlichen Implikationen für den Einsatz von Deep Security Monitoring Lösungen. Habe es 2002 noch verlässliche Perimeter gegeben, seien diese 2008 mit der Einführung der Smartphones durchlässiger geworden und hätten sich 2013 wegen der Vernetzung auf ganz wenige reduziert. Daher sei präventive Sicherheits-Technologie nicht mehr ausreichend, während Detektion und Reaktion an Bedeutung gewinnen würden. Login-Daten alleine ließen schon allerlei Rückschlüsse zu. Aber: "Es wird viel geloggt, aber man traut sich nicht, die Daten wirklich anzuschauen", sagt Asma, und spielt damit auf das Unbehagen im Umgang mit personenbezogenen Daten an. Stichwort: Persönlichkeitsrechte.

Persönlichkeitsrechte in Deutschland und Frankreich
Was Persönlichkeitsrechte anbelangt, sie die Gesetzgebung in Frankreich und Deutschland laut Asma einander recht ähnlich. Das Bundesdatenschutzgesetz (BDSG) sei gut, in Frankreich aber schärfer. Dafür erlaube das Arbeitsrecht in Frankreich mehr als in Deutschland. Zugriffe auf E-Mails, die als "privat" oder "persönlich" gekennzeichnet sind, bedürften in Frankreich der Legitimation durch einen Richter. "In Deutschland ist die private E-Mail-Nutzung in Unternehmen hingegen generell verboten. Wenn die Unternehmen aber nicht kontrollieren, gilt sie als toleriert!", führt Asmer aus. "Man darf zwar personenbezogene Daten grundsätzlich erfassen, darf sie jedoch nicht Personen zugänglich machen."

Anonymisierung im RAM vor Kontext-Operationen
Die Lösung für dieses Problem ist laut Asma die Anonymisierung personenbezogener Daten im Hauptspeicher (RAM) vor der Kontext-Herstellung (Thread Intelligence). Die Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU) beinhalten jedoch keine Kommunikationsdaten. Daher ist laut Asma zwar das Telekommunikationsgesetz (TKG) nicht anwendbar, dafür greife aber beispielsweise das Handelsgesetz. Außerdem schreibe das Bundesdatenschutzgesetz zum Beispiel Verfahrensverzeichnisse vor, aus denen hervorgehe, wer Zugriff auf welche Daten hat. 

Um das Mitarbeiter-Monitoring im Unternehmens-Netzwerk rechtskonform gestalten zu können, ist also weit mehr juristisches Wissen als lediglich technisches Können erforderlich. Denn in Deutschland müssen Unternehmen, die ihre Mitarbeiter überwachen, gleich drei juristischen Schwergewichten gerecht werden: 

  • dem Bundesdatenschutzgesetz (BDSG), 
  • dem Telekommunikationsgesetz (TKG) und
  • dem Strafgesetzbuch (StGB). 

Deutschland steht mit rechtlichen Restriktionen bei der Ausspähung der eigenen Mitarbeiter allerdings nicht allein da, denn in Frankreich unterliegt der Schutz personenbezogener Daten gleichfalls dem Arbeits-, Zivil- und Strafrecht. 

Wie Unternehmen die Datensicherheit auf dem neuesten Stand der Technik unter Beachtung der rechtlichen Vorgaben und Richtlinien bringen können, veranschaulicht der RSA-Security-Analytics-Report anhand dreier Szenarien:

Szenario 1: Wenn das Unternehmen seinen Mitarbeitern den privaten Gebrauch seiner Kommunikationssysteme erlaubt oder ihn toleriert, unterliegt der Arbeitgeber dem Telekommunikationsgesetz.

In diesem Fall würde RSA Security Analytics gescannte Daten aus den Internet-Gateways direkt in den Arbeitsspeicher seines Überwachungs-Rechners einspeisen um Anomalien fast in Echtzeit zu ermitteln. Im nächsten Schritt, der persistenten Speicherung auf Festplatte, würde das rein technisch jedoch erlauben, die Daten aufzuschlüsseln und personenbezogene Daten zu erheben. Hier sichert RSA Security Analytics zu, dass eine Erhebung personenbezogener Daten ausgeschlossen wird. Ohne personenbezogene Daten wird die weitere Verarbeitung zu Reports und Analysen nach den Maßgaben des TKG möglich, solange die Daten nur zur Ermittlung eines Missbrauchs der Systeme genutzt werden.

Szenario 2: Das Unternehmen verbietet seinen Mitarbeitern den privaten Gebrauch seiner Kommunikationssysteme generell.

Ist diesem Fall unterliegt das Unternehmen zwar nicht dem Telekommunikationsgesetz, sobald es aber personenbezogene Daten verarbeitet, gilt dennoch das Bundesdatenschutzgesetz. Dann obliegt es Sicherheitsbeauftragten, Datenschutzbeauftragten und der Unternehmensleitung gegen die Belange des Einzelnen abzuwägen, ob die personenbezogene Datenerfassung zur Sicherheit des Unternehmens zwingend erforderlich ist. In diesem Fall soll RSA Security Analytics grundsätzlich nutzbar sein.

Szenario 3: Das Unternehmen verbietet den privaten Gebrauch seiner Kommunikationssysteme und überwachte Daten enthalten keine personenbezogenen Informationen.

Sofern keine personenbezogenen Daten in die Analyse involviert sind, unterliegen sämtliche Funktionen und Features von RSA Security Analytics weder den Maßgaben für den Schutz personenbezogener Daten nach dem Telekommunikations- noch nach dem Bundesdatenschutzgesetz.

Fazit
Die genannten Szenarios für die Analyse der unternehmensinterner Kommunikation (Deep Security Monitoring) erfassen derzeit lediglich den E-Mail-Verkehr. Alternative Kommunikationswege, etwa über soziale Netze (etwa Twitter statt E-Mail) sind noch nicht geregelt, werden jedoch zunehmend gleichgesetzt. Für das Patentrecht stellt Deep Security Monitoring kein Problem dar, weil Forschung und Entwicklung im Unternehmen stets an personenbezogene Daten gekoppelt sind. Der Schutz personenbezogener Daten endet aber regelmäßig dann, wenn ein begründeter Anfangsverdacht besteht. Dann greift das Bundesdatenschutzgesetz nicht mehr, eine richterliche Erlaubnis ist dann reine Formsache. Das Deep Security Monitoring soll kann dann dazu beitragen, die Quote der "false positives", also fälschlicherweise als kritisch zu betrachtende Vorgänge, drastisch zu reduzieren. Andernfalls rollt auf die Gerichte ein Tsunami an Anträgen zur Aufhebung von Persönlichkeitsrechten zu. Der Trick mit zweistufigen Verarbeitung von Netzwerkdaten -- Anonymisierung personenbezogener Daten (beispielsweise Login-Logs und Metadaten aus E-Mails) und deren Kontext-Korrelation mit externen Informationen ausschließlich im Arbeitsspeicher hinterlässt keine persistent gespeicherte, also wieder abrufbare und damit mißbrauchbare Daten und schafft so Rechtssicherheit für Unternehmen, die den gesetzlichen Vorgaben gemäß handeln müssen. Die dunkle Seite der Macht aber wird solche Rücksichten nicht nehmen, ganz egal, ob es sich dabei um kriminelle, institutionelle oder kommerzielle Schnüffler handelt. 


Leserkommentar

Keine Kommentare

Kommentar hinzufügen

* - Pflichtfeld

*





*
*
Rubriken
Anzeige
Anzeige
Anzeige
Anzeige
News

CeBIT 2018 - ein holpriger Neustartversuch

CeBIT Logo

"Die CEBIT 2018 wird ein Business-Festival für Innovation und Digitalisierung", sagte Oliver Frese...

[mehr]

Trend Micro trauert um Günter Untucht

Günter Untucht (Bild: Trend Micro)

Der europäische Chefjustiziar von Trend Micro, Günter Untucht, ist Ende Januar überraschend...

[mehr]

Corel VideoStudio Ultimate 2018 mit neuen Funktionen verfügbar

Corel Logo (Grafik: Logo)

Erste Wahl für anspruchsvolle Gelegenheitsanwender – diesen Anspruch erfüllt das...

[mehr]

Argus 2 - kabellose Überwachungskamera für Akku- und Solarbetrieb

Die Argus 2 ist für innen und außen geeignet. (Bild: Reolink)

Reolink stellt mit der Argus 2 seine neueste Kamera vor. Die innovative Überwachungskamera...

[mehr]

Meltdown und Spectre: MSI liefert BIOS-Updates für Z370-Mainboard

MSI Logo

Mit den Updates will MSI mögliche SIcherheitslücken im aktuellen Intel-Microcode schließén. Updates...

[mehr]

CES 2018: Acer lässt Gamer-Herzen höher schlagen

Acer Nitro 5 (Bild: Acer)

Ob für Gamer, Kreative oder Business-Nutzer - auf der CES in Las Vegas stellt Acer für jeden etwas...

[mehr]
Anzeige
Anzeige