Die Open-Source-Software DA3KMU ermöglicht es kleinen und mittleren Unternehmen (KMU), ihre Daten DSGVO-konform aufzubereiten und für weitere Nutzungsszenarien zu verwenden. (Foto: istock.com/gorodenkoff)
Sensible Unternehmensdaten schützen und gleichzeitig besser nutzbar machen
Forschende des Fraunhofer-Instituts für Digitale Medientechnologie IDMT in Ilmenau entwickeln im Rahmen des öffentlich geförderten Projekts DA3KMU eine Software, mit der kleine und mittlere Unternehmen (KMU) ihre gespeicherten Daten datenschutzkonform aufbereiten und für weitere Nutzungsszenarien einsetzen können. Ein mögliches Einsatzgebiet der Lösung ist die Anonymisierung bzw. Pseudonymisierung von Logdaten für sogenannte SIEM (Security Information & Event Management) Systeme. Der Prototyp der Software wird erstmals auf der Hannover Messe 2023 vorgestellt.
Herausforderungen für KMU bei der Analyse von IT-Sicherheitsvorfällen
Auf der Hannover Messe vom 17. bis 21. April 2023 demonstriert das Fraunhofer IDMT am Messestand des Industrial Security Circus (Halle 16, Stand D04/33) einen exemplarischen Anwendungsfall. Mit Hilfe der DA3KMU-Software können KMU ihre Logdaten zur Prüfung von Sicherheitsvorfällen datenschutzkonform an Externe übertragen oder für Analysezwecke im Unternehmen dauerhaft speichern.
Zum Hintergrund: Viele KMU nutzen kleine IT-Infrastrukturen mit mehreren Servern, Netzwerkrechnern und verschiedenen Wireless Access Points, um Geräte in einem drahtlosen Netzwerk zu verbinden. Sie sammeln Meldungen und Log-Daten von unterschiedlichen Geräten, Komponenten und Anwendungen innerhalb ihres Firmennetzes mit sogenannte SIEM-Systemen. Die so gesammelten Informationen geben beispielsweise Aufschluss darüber, auf welche Weise bestimmte Dateien angefordert werden, wer sie angefordert hat oder woher Dateien stammen. Diese Informationen liefern wichtige Hinweise zur Erkennung möglicher Hackerangriffe und anderer Sicherheitsvorfälle auf ihre IT-Infrastruktur.
KMU beauftragen für entsprechende Analysen bei einem Sicherheitsvorfall gerne externe Unternehmen, die über die erforderliche Expertise verfügen. Dafür ist eine Übertragung der Logdaten erforderlich, aber aufgrund von Datenschutzregelungen und Unternehmensinteressen ist dies sehr problematisch, da die Daten Personenbezüge oder sensible Geschäftsprozessinformation enthalten können. Ähnlich verhält es sich auch, wenn KMU die Logdaten für spätere Analysen selbst dauerhaft speichern möchten: Eine Langzeitspeicherung ist nach der geltenden Datenschutz-Grundverordnung nicht erlaubt, wenn personenbezogene Daten betroffen sind.
DA3KMU-Software für adaptive Datenanonymisierung
Die genannten Probleme für KMU können mit der DA3KMU-Software adressiert werden. Ziel des Projekts DA3KMU ist die Entwicklung einer Open-Source Softwarelösung für KMU, mit deren Hilfe Daten maßgeschneidert anonymisiert werden können. Das bedeutet, dass die Anonymisierungsverfahren einerseits die Eigenschaften der zugrundeliegenden Daten berücksichtigen, andererseits aber auch die Notwendigkeiten der anschließenden Analyse. So lassen sich Daten für ausgewählte Anwendungsfälle so generalisieren und anonymisieren, dass eine unbeabsichtigte Preisgabe sensibler Informationen vermieden wird, die Daten für Analysezwecke aber trotzdem weitgehend nutzbar bleiben.
Im Fall der SIEM-Analyse können mit Hilfe der Software Logdaten so aufbereitet werden, dass sie für die Analyse von Sicherheitsvorfällen an Externe weitergegeben oder auch dauerhaft gespeichert werden.
DA3KMU steht für »Datenschutz durch statistische Analyse und Adaptive Anonymisierung von personenbezogenen Daten für KMU« und ist ein Projekt, das vom Bundesministerium für Wirtschaft und Klimaschutz BMWK im Rahmen der Initiativen IT-Sicherheit in der Wirtschaft gefördert und durchgeführt wird. Die Projektleitung und -durchführung liegt beim Fraunhofer IDMT, die Unternehmen Psoido GmbH und EurA AG unterstützen das Projekt im Unterauftrag. Darüber hinaus sind weitere assoziierte Partner im Projekt beteiligt, die sich mit ihren Anforderungen einbringen und die Software testen.
Besuchen Sie uns vom 17. bis 21. April 2023 auf dem Messestand des Industrial Security Circus in Halle 16, Stand C04/34 und informieren Sie sich zu den aktuellen Entwicklungsschritten zur Anonymisierung von personenbezogenen Daten für kleine und mittlere Unternehmen. Erleben Sie weitere Angebote des Netzwerks Mittelstand-Digital zum Thema IT-Sicherheit auf dem Messestand.
Mittelstand Digital Netzwerk
Das Mittelstand-Digital Netzwerk bietet mit den Mittelstand-Digital Zentren, der Initiative IT-Sicherheit in der Wirtschaft und Digital Jetzt umfassende Unterstützung bei der Digitalisierung. Kleine und mittlere Unternehmen profitieren von konkreten Praxisbeispielen und passgenauen, anbieterneutralen Angeboten zur Qualifikation und IT-Sicherheit. Das Bundesministerium für Wirtschaft und Klimaschutz (BMWK) ermöglicht die kostenfreie Nutzung und stellt finanzielle Zuschüsse bereit. Weitere Informationen finden Sie unter www.it-sicherheit-in-der-wirtschaft.de.