Suchen

Compliance-Anforderungen für SIEM und SOC SIEM- und SOC-Betrieb und der Datenschutz

| Autor / Redakteur: Dr. Jan Kopia / Peter Schmitz

Ein SIEM-System wird für viele Unternehmen immer wichtiger, da es als Grundlage eines Security Operation Centers (SOC) eine effiziente Überwachung, Auswertung und Reaktion auf Angriffe ermöglicht. Die überwachten Daten enthalten personenbezogene Daten, deren Erhebung im Zuge der Anforderungen des Datenschutzes gemäß DSGVO aber als kritisch zu betrachten ist.

Firmen zum Thema

Unternehmen, die höhere Ansprüche an die Überwachung und Reaktionsfähigkeiten bei Vorfällen anstreben bzw. anstreben müssen, etablieren meist ein SIEM und SOC-Betrieb.
Unternehmen, die höhere Ansprüche an die Überwachung und Reaktionsfähigkeiten bei Vorfällen anstreben bzw. anstreben müssen, etablieren meist ein SIEM und SOC-Betrieb.
(© ArtemSam - stock.adobe.com)

Der IoT-Markt und das 5G-Mobilfunknetz sorgen für eine Vervielfältigung der kommunizierenden Geräte weltweit – in 2020 werden bis zu 200 Mrd. Geräte über das Netzwerk kommunizieren. Diese enorme Vergrößerung der „Angriffsfläche“ erhöht das Risiko von Hackerangriffen selbst bei gleichbleibendem Angriffs-Volumina. Zudem steigt das Schadenspotential durch gesteigerte Abhängigkeit an dieses technische Equipment.

Allein auf Antivirus- oder Endpoint-Protection-Lösungen zu setzen, reicht nicht mehr aus. Eine aktive Überwachung und Echtzeit-Korrelation sinnvoller Messpunkte ist von Nöten. Dies sind Kernaufgaben eines SIEM-Systems, welches Auffälligkeiten in der IT-Infrastruktur erkennen kann. Durch die entstehende Informationsflut ist ein SIEM zur technischen Analyse großer Datenmengen fähig. Sind kritische Vorfälle durch die definierten Use Cases erkennbar, wird außerdem in einem SOC ggf. 24x7 mit menschlichen Kräften reagiert. Diese Vorgänge ziehen die Verarbeitung großer Datenmengen mit sich.

SIEM arbeitet mit großen Datenmengen

Bei der Verwendung eines SIEM-Systems werden Daten durch Sensoren oder Kollektoren - zentral im Netzwerk bzw. auf Endgräten selbst platziert - weitergeleitet, gespeichert, aufbereitet und analysiert. Meist werden unstrukturierte „Rohdaten“ und normalisierte „abgespeckten“ Daten unterschieden, die im Falle eines Vorfalls von SOC-Mitarbeitern zur genauen (ggf. IT-forensischen) Analyse genutzt werden. Die dabei anfallenden Daten sind vielfältig und enthalten (Log-)Daten aller Art, von MAC- und IP-Adressen, Zeitstempel, verwendete Applikationen bis zu Klartextinformationen (ggf. sogar Kreditkarteninformationen, Telefonnummern, Anmeldedaten etc.).

Die Informationen dieser teils personenbezogener Daten sind wichtige Teile im Untersuchungsprozesses eines Vorfalls. In der (IT-)Forensik sind im Schadensfall genau die Fragen wichtig, die für den Datenschutz kritisch sind: Wer hat was, wann, womit gemacht? Deutlich wird hier der scheinbare Widerspruch zwischen SIEM- und SOC-Betrieb und den Anforderungen des Datenschutzes (siehe Bild).

Anforderungen der DSGVO im Rahmen von SIEM

Unterschiedliche Anforderungen eines SIEM-Systems stehen im Widerspruch.
Unterschiedliche Anforderungen eines SIEM-Systems stehen im Widerspruch.
(Bild: Kopia)

Ein SIEM-System und der SOC-Betrieb müssen Compliance-Anforderungen erfüllen und damit sowohl die Analyse- und Beweissicherungsfähigkeit wie auch die Umsetzung der Anforderungen des Datenschutzgesetzes ermöglichen. Wichtige Datenschutzanforderungen der DSGVO lassen sich in Bezug auf ein SIEM-System vor allem auf Kapitel 2 DSGVO (u.a. Anforderungen an die Rechtmäßigkeit und Einwilligung), Kapitel 3 DSGVO (Rechte der Betroffenen, vor allem Löschung und Übertragung) und Kapitel 5 DSGVO (Übertragung, insbesondere in der Zusammenarbeit mit Dienstleistern oder bei Cloud-Komponenten). Vor allem durch sekundengenaue Informationen aus den Log-Quellen ist die Möglichkeiten zur technischen Analyse der Leistungen oder des Verhaltens von Mitarbeitern gegeben (siehe Art. 35 Abs. 1 und 3 DSGVO). Im Einzelfall sind sogar Bewegungsdaten durch Zutrittssysteme vom SIEM-System auswertbar, sofern daran angebunden. Besonders kritisch wird dies, wenn Artikel 9-Daten der DSGVO vorhanden sind. Grundsätzlich kann daher angenommen werden, dass die Einführung eines SIEM-Systems zur Notwendigkeit der Erstellung einer Datenschutzfolgeabschätzung (DSFA) führt.

Technische Schutzmaßnahmen im SIEM

Im Rahmen der DSFA können für die Erfüllung der DSGVO verschiedene Vorgaben aus Artikels 17, 20 oder 25 herangezogen werden. Diese schreiben vor, dass technische Möglichkeiten zur Umsetzung von Datenschutzmaßnahmen im System verankert sein müssen, um personenbezogene Daten zu schützen. Beispiele sind:

  • Pseudonymisierung / Anonymisierung: Ersetzen von Teilen der Daten durch Pseudonyme, wodurch einzelne Daten durch Zufällige ersetzt werden.
  • Tokenization: Ersetzen von Bestandteilen von Daten mit anderen Daten der gleichen Länge.
  • Verschlüsselung: Verschlüsseln von Daten, wodurch sich die Länge und Größe der Daten verändern kann.
  • Minimierung: Reduzierung der erhobenen Daten auf das absolut Notwendigste.
  • Löschung und Löschbarkeit: Daten sollen sowohl auf Anfrage wie auch nach einer bestimmten Zeit gelöscht werden können.
  • Übertragbarkeit: Daten sollten auf Anfrage übertragen werden können.

Die dargestellten Maßnahmen können an unterschiedlichen Punkten ansetzen. Die Minimierung von Daten beginnt bereits in der Konzeptionsphase des im SIEM-Implementierungsprojekts. Eine Minimierung kann direkt an den Systemen (z.B. Betriebssysteme) und zentralen Knotenpunkten (z.B. vor und/oder hinter einer zentralen Firewall oder Proxy-Server) z.B. durch Filter umgesetzt werden. Allerdings besteht bei diesem Vorgehen die Gefahr, dass wertvolle Informationen verloren gehen, was möglicherweise das ganze SIEM infrage stellt. Die Umsetzung der „Datenschutz-Controls“ durch das SIEM-Systems selbst sind daher bei der SIEM-Systemeinführung mindestens ebenso wichtig.

Erfüllung der DSGVO bei der SIEM-Einführung

Beruft man sich auf Artikel 6 DGSVO, können alle jene Daten erhoben werden, die für die Erfüllung der rechtlichen und regulatorischen Ansprüche erforderlich sind. Unternehmen müssen nach der Klärung der rechtlichen Grundlage daher vor allem die DSFA durchführen und stets aktualisieren. Diese beinhaltet:

  • eine Risikoanalyse, die die Risikolage bewertet, mögliche Konsequenzen aufzeigt sowie risikoreduzierende Maßnahmen definiert.
  • die Dokumentation der Prozesse und Regelwerke der Erhebung und Verarbeitung einschl. aller beteiligten Parteien sowie der Schutzmaßnahmen.

Einige technische Schutzmaßnahmen heutiger SIEM-Systeme sind starke Mechanismen zur rollenbasierten Authentifizierung und Autorisierung, ein transparenter Audit-Trail des SIEM-System selbst, gehärtete Hard- und Software aller Komponenten, Verschlüsselte Datenablage sowie Datenübertragung, ein event- und zeitbasiertes Löschkonzept und Möglichkeiten der Pseudonymisierung der Ansicht der Daten durch die SOC-Mitarbeiter (Maskierung) bei gleichzeitigem Erhalt der Beweismittelkette.

Die Einführung eines SIEM-System widerspricht damit nicht den Anforderungen der DSGVO, wenn die beschriebenen Punkte beachtet werden.

(ID:46799399)