Datenschutzkonforme SIEM-Analyse mit DA3KMU
Im Projekt „Datenschutz durch statistische Analyse und Adaptive Anonymisierung von personenbezogenen Daten für KMU“ (DA3KMU) entsteht eine einfach zu handhabende Open-Source Software für Kleine und Mittlere Unternehmen (KMU), mit deren Hilfe sensible Daten maßgeschneidert und teilautomatisch anonymisiert werden können. Ein mögliches Einsatzgebiet der DA3KMU-Lösung ist die Anonymisierung von Logdaten für sogenannte SIEM (Security Information & Event Management) Systeme. Warum der Einsatz der DA3KMU-Lösung in diesem Zusammenhang wichtig ist und welchen Nutzen er bringt, soll im Folgenden genauer beschrieben werden.
Download Grafik “Sind SIEM-Daten wirklich anonym?”
SIEM-Analyse und personenbeziehbare Daten
SIEM-Systeme sammeln und analysieren Meldungen und Logfiles von unterschiedlichen Geräten, Komponenten und Anwendungen eines Firmennetzes. Sie können verborgene Muster in diesen Daten identifizieren und so entscheidende Hinweise zur Erkennung von Angriffen und Angriffstrends liefern. SIEM-Systeme stellen damit mächtige Werkzeuge für den Betrieb von IT-Systemen und die Erkennung und Behandlung von IT-Sicherheitsproblemen dar. Allerdings beinhalten die dabei verarbeiteten Logdaten oft unerwartete Personenbezüge, was zu großen Problemen führen kann.
Laut EuGH-Entscheidung vom 19.10.2016 sind beispielsweise IP-Adressen als personenbezogene Daten anzusehen, wenn es möglich ist, diese bestimmten Personen zuzuweisen. Dies ist gerade bei der SIEM-Analyse über miteinander kombinierte Logdaten häufig der Fall. So können an sich unkritische Informationen wie Quell- und Ziel-IP-Adressen sowie Zeitpunkte von Web-Zugriffen z.B. dann überraschend einfach auf einzelne Personen zurückgeführt werden, wenn sie mit Logdaten von Web-Proxies, DHCP oder Access Points kombiniert werden. Es ist allerdings schwierig, entsprechende „Schwachstellen“ ohne geeignete Werkzeuge in den gesammelten Daten zu erkennen und zu beseitigen. Aber welche Folgen hat es, wenn die Personenbezüge nicht entfernt werden?
Rechtliche Beschränkungen bei der Speicherung von Logdaten
In Art. 5 Abs. 1 lit. e der DSGVO wird der zulässige Zeitraum zur Speicherung von personenbezogen Daten eingeschränkt: „Personenbezogene Daten müssen in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist.“ Dies bedeutet wiederum, dass ein erheblicher Teil der für SIEM-Analysen relevanten Logdaten unter die DSGVO fallen und nur kurzzeitig gespeichert werden dürfen. Für SIEM-Analysen ist aber oft eine langfristige Speicherung von Logs und Events erforderlich, um Langzeitanalysen des Netzwerkverkehrs durchzuführen und so das Potenzial zur Erkennung und Abwehr von Angriffen auszuschöpfen. Für eine datenschutzkonforme, längerfristige Speicherung müssen die Daten also vorab bereinigt werden. Dasselbe gilt auch und ganz besonders, wenn für die SIEM-Analysen Cloud-basierte Tools verwendet werden, die de facto eine Übertragung der Daten an Dritte zur Folge haben – was häufig der Fall ist. Neben der rechtskonformen Speicherung und Verarbeitung bringt das Entfernen von Personenbezügen aber noch einen weiteren Vorteil: Die potenziellen Schäden bei etwaigen Datenverlusten oder Ransomware-Angriffen auf Unternehmen sind viel geringer, wenn Daten nur in anonymisierter Form vorliegen.
Die Lösung: DA3KMU erkennt und anonymisiert sensible Daten
Es ist in der Praxis alles andere als einfach zu bestimmen, welche Daten DSGVO-relevant sind und wie man diese Daten so anonymisieren kann, dass sie rechtskonform gespeichert und übertragen werden können. Deshalb wird im Projekt DA3KMU eine Open Source Software für KMU entwickelt, mit der sich Personenbezüge deutlich einfacher und effektiver erkennen und entfernen lassen, als dies bei einem „manuellen“ Verfahren aktuell der Fall wäre.
Um das Ziel einer effektiven Anonymisierung speziell von Logdaten für SIEM-Analysen zu erreichen, wird im Projekt DA3KMU ein SIEM-Testsystem auf Basis des Open Source Analyse-Werkzeugs Elastic Stack aufgebaut und mit den im Projekt entwickelten Verfahren für eine entsprechende maßgeschneiderte, halbautomatische Anonymisierung kombiniert. So entsteht eine Softwarelösung, mit deren Hilfe KMU zukünftig Personenbezüge in Logdaten schnell erkennen und beseitigen können. Dies ermöglicht langfristige, rechtskonforme SIEM-Analysen und hilft, Sicherheitsrisiken in KMU nachhaltig zu vermeiden.
Der Blog-Artikel ist erschienen im Blog der Transferstelle IT-Sicherheit im Mittelstand: https://www.tisim.de/mit-datenschutz-mehr-sicherheit/