:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b9/19/b919a3957005579af63806ea93582f48/0110645981.jpeg "Security-Verantwortliche müssen sich jetzt auf die unmittelbare Gefahr durch den Missbrauch von KI-Tools vorbereiten – und diese selbst für den eigenen Schutz einsetzen. (Bild: Somchai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1e/e0/1ee07bf5cbd627475c53ce32cf023a8a/0110575489.jpeg "Unternehmen, die von Datenlecks betroffen sind, haben ein 7-fach höheres Risiko, auch einen Angriff durch Ransomware zu erleiden. Das zeigen Ergebnisse der Darknet-Studie von Botiguard. (Bild: Arthur Kattowitz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/20/ac20783291a95cf067da1ec768834933/0110551872.jpeg "Der Threat Report von Arctic Wolf Labs für 2023 zeigt, dass Cyberangriffe immer raffinierter werden und Unternehmen zunehmend Schwierigkeiten haben, mit der Bedrohung durch Ransomware, Social Engineering und Supply-Chain-Angriffe umzugehen. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/98/1a/981aceb27d5907ef149315c189951356/0110648062.jpeg "Bitdefender GravityZone Business Security Enterprise hilft IT-Administratoren dabei, einen vollständigen Einblick in den Sicherheitsstatus ihrer Netzwerke zu erhalten. (Bild: ZinetroN - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/32/74/3274604501b9d26401961bf864f1dc65/0109811934.jpeg "Mit dem Security Monitoring Tool Zeek, das auch mit kommerziellen IDS- und SIEM-Werkzeugen zusammenarbeitet, lassen sich mittlere und große Umgebungen überwachen. (Bild: The Zeek Project)")
:quality(80)/p7i.vogel.de/wcms/a3/02/a302fc55ce64854309f68658699489e9/0110092786.jpeg ""Die dunkle Seite des Mondes": Viele heute gängige Verschlüsselungsalgorithmen werden durch die Power der kommenden Quantenrechner „ausgeknockt“. (Bild: frei lizenziert: Sebastian)")
:quality(80)/p7i.vogel.de/wcms/d1/c5/d1c5fea2ce3ce0ed7deecfdfaf4107ba/0110318835.jpeg "NTT und Cisco geben ihre Zusammenarbeit bekannt: Gemeinsam möchten sie Managed Private 5G für Unternehmen anbieten. Gerade in der Industrie ist eine Beschleunigung in Sachen 5G erforderlich. (Bild: Parradee - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/90/02/90023abcb6d26dbfda9c9abb4b0e3c73/0110590578.jpeg "Messenger sind ein zentrales Kommunikationstool in Unternehmen und sollten die gleiche Sicherheit aufweisen, wie die gesamte IT-Infrastruktur. (Bild: ra2 studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/33/6f/336f669803411ad2c995f22cae0a8bd7/0110318812.jpeg "Eine SBOM listet sämtliche Komponenten einer Softwareanwendung samt wichtiger Informationen zu Lizenzierung und Sicherheit. (Bild: <a href=https://pixabay.com/users/camellia_sasanqua-2366387/>sasanqua camellia</a>)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/55/1a/551a6019dabe99651db28e09bf021474/0110645639.jpeg "Einfach und DSGVO-konform: Die Prozesse sind für die Anwenderinnen und Anwender ebenso sicher wie für die Unternehmen, die eine KI-basierte Methode zur automatischen Identitätsverifikation nutzen. (Bild: PXL Vision)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/00/a0/00a0e8a2f1cdfee83e671424736a7301/0110648118.jpeg "Hybridlösungen nutzen das Purdue-Modell mit der Segmentierung des IT- und OT-Datenflusses und bieten gleichzeitig die Flexibilität für IoT-Anwendungsfälle. (Bild: knssr - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/31/3b/313b076ec25acd35a9a3b6b3981b3c2c/0109580118.jpeg "Best of Breed ist ein Ansatz, bei dem für jeden Anwendungsfall Herstellerunabhängig immer die bestmögliche Unternehmenssoftware verwendet wird, statt einer Komplettlösung eines einzigen Anbieters. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/dc/af/dcaf041113e7b5b8202309088e3893f1/0110591636.jpeg "„Wer sein Unternehmen erfolgreich führen will, muss Cybersecurity zu einem wichtigen Teil der Unternehmensstrategie machen“, meint Markus Robin, Managing Director von SEC Consult Deutschland. (Bild: jirsak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/50/84501585e0f44b12e33125acd91fa5dd/0109580130.jpeg "Unicode ist ein Standard für die universelle Codierung von allen weltweit bekannten Textzeichen in Binärdarstellung. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Compliance-Anforderungen für SIEM und SOC SIEM- und SOC-Betrieb und der Datenschutz
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/117800/117805/65.png "VIT_Logo_RGB_Full.png ()")
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
Ein SIEM-System wird für viele Unternehmen immer wichtiger, da es als Grundlage eines Security Operation Centers (SOC) eine effiziente Überwachung, Auswertung und Reaktion auf Angriffe ermöglicht. Die überwachten Daten enthalten personenbezogene Daten, deren Erhebung im Zuge der Anforderungen des Datenschutzes gemäß DSGVO aber als kritisch zu betrachten ist.
Der IoT-Markt und das 5G-Mobilfunknetz sorgen für eine Vervielfältigung der kommunizierenden Geräte weltweit – in 2020 werden bis zu 200 Mrd. Geräte über das Netzwerk kommunizieren. Diese enorme Vergrößerung der „Angriffsfläche“ erhöht das Risiko von Hackerangriffen selbst bei gleichbleibendem Angriffs-Volumina. Zudem steigt das Schadenspotential durch gesteigerte Abhängigkeit an dieses technische Equipment.
Allein auf Antivirus- oder Endpoint-Protection-Lösungen zu setzen, reicht nicht mehr aus. Eine aktive Überwachung und Echtzeit-Korrelation sinnvoller Messpunkte ist von Nöten. Dies sind Kernaufgaben eines SIEM-Systems, welches Auffälligkeiten in der IT-Infrastruktur erkennen kann. Durch die entstehende Informationsflut ist ein SIEM zur technischen Analyse großer Datenmengen fähig. Sind kritische Vorfälle durch die definierten Use Cases erkennbar, wird außerdem in einem SOC ggf. 24x7 mit menschlichen Kräften reagiert. Diese Vorgänge ziehen die Verarbeitung großer Datenmengen mit sich.
SIEM arbeitet mit großen Datenmengen
Bei der Verwendung eines SIEM-Systems werden Daten durch Sensoren oder Kollektoren - zentral im Netzwerk bzw. auf Endgräten selbst platziert - weitergeleitet, gespeichert, aufbereitet und analysiert. Meist werden unstrukturierte „Rohdaten“ und normalisierte „abgespeckten“ Daten unterschieden, die im Falle eines Vorfalls von SOC-Mitarbeitern zur genauen (ggf. IT-forensischen) Analyse genutzt werden. Die dabei anfallenden Daten sind vielfältig und enthalten (Log-)Daten aller Art, von MAC- und IP-Adressen, Zeitstempel, verwendete Applikationen bis zu Klartextinformationen (ggf. sogar Kreditkarteninformationen, Telefonnummern, Anmeldedaten etc.).
Die Informationen dieser teils personenbezogener Daten sind wichtige Teile im Untersuchungsprozesses eines Vorfalls. In der (IT-)Forensik sind im Schadensfall genau die Fragen wichtig, die für den Datenschutz kritisch sind: Wer hat was, wann, womit gemacht? Deutlich wird hier der scheinbare Widerspruch zwischen SIEM- und SOC-Betrieb und den Anforderungen des Datenschutzes (siehe Bild).
Anforderungen der DSGVO im Rahmen von SIEM
Ein SIEM-System und der SOC-Betrieb müssen Compliance-Anforderungen erfüllen und damit sowohl die Analyse- und Beweissicherungsfähigkeit wie auch die Umsetzung der Anforderungen des Datenschutzgesetzes ermöglichen. Wichtige Datenschutzanforderungen der DSGVO lassen sich in Bezug auf ein SIEM-System vor allem auf Kapitel 2 DSGVO (u.a. Anforderungen an die Rechtmäßigkeit und Einwilligung), Kapitel 3 DSGVO (Rechte der Betroffenen, vor allem Löschung und Übertragung) und Kapitel 5 DSGVO (Übertragung, insbesondere in der Zusammenarbeit mit Dienstleistern oder bei Cloud-Komponenten). Vor allem durch sekundengenaue Informationen aus den Log-Quellen ist die Möglichkeiten zur technischen Analyse der Leistungen oder des Verhaltens von Mitarbeitern gegeben (siehe Art. 35 Abs. 1 und 3 DSGVO). Im Einzelfall sind sogar Bewegungsdaten durch Zutrittssysteme vom SIEM-System auswertbar, sofern daran angebunden. Besonders kritisch wird dies, wenn Artikel 9-Daten der DSGVO vorhanden sind. Grundsätzlich kann daher angenommen werden, dass die Einführung eines SIEM-Systems zur Notwendigkeit der Erstellung einer Datenschutzfolgeabschätzung (DSFA) führt.
Technische Schutzmaßnahmen im SIEM
Im Rahmen der DSFA können für die Erfüllung der DSGVO verschiedene Vorgaben aus Artikels 17, 20 oder 25 herangezogen werden. Diese schreiben vor, dass technische Möglichkeiten zur Umsetzung von Datenschutzmaßnahmen im System verankert sein müssen, um personenbezogene Daten zu schützen. Beispiele sind:
- Pseudonymisierung / Anonymisierung: Ersetzen von Teilen der Daten durch Pseudonyme, wodurch einzelne Daten durch Zufällige ersetzt werden.
- Tokenization: Ersetzen von Bestandteilen von Daten mit anderen Daten der gleichen Länge.
- Verschlüsselung: Verschlüsseln von Daten, wodurch sich die Länge und Größe der Daten verändern kann.
- Minimierung: Reduzierung der erhobenen Daten auf das absolut Notwendigste.
- Löschung und Löschbarkeit: Daten sollen sowohl auf Anfrage wie auch nach einer bestimmten Zeit gelöscht werden können.
- Übertragbarkeit: Daten sollten auf Anfrage übertragen werden können.
Die dargestellten Maßnahmen können an unterschiedlichen Punkten ansetzen. Die Minimierung von Daten beginnt bereits in der Konzeptionsphase des im SIEM-Implementierungsprojekts. Eine Minimierung kann direkt an den Systemen (z.B. Betriebssysteme) und zentralen Knotenpunkten (z.B. vor und/oder hinter einer zentralen Firewall oder Proxy-Server) z.B. durch Filter umgesetzt werden. Allerdings besteht bei diesem Vorgehen die Gefahr, dass wertvolle Informationen verloren gehen, was möglicherweise das ganze SIEM infrage stellt. Die Umsetzung der „Datenschutz-Controls“ durch das SIEM-Systems selbst sind daher bei der SIEM-Systemeinführung mindestens ebenso wichtig.
Erfüllung der DSGVO bei der SIEM-Einführung
Beruft man sich auf Artikel 6 DGSVO, können alle jene Daten erhoben werden, die für die Erfüllung der rechtlichen und regulatorischen Ansprüche erforderlich sind. Unternehmen müssen nach der Klärung der rechtlichen Grundlage daher vor allem die DSFA durchführen und stets aktualisieren. Diese beinhaltet:
- eine Risikoanalyse, die die Risikolage bewertet, mögliche Konsequenzen aufzeigt sowie risikoreduzierende Maßnahmen definiert.
- die Dokumentation der Prozesse und Regelwerke der Erhebung und Verarbeitung einschl. aller beteiligten Parteien sowie der Schutzmaßnahmen.
Einige technische Schutzmaßnahmen heutiger SIEM-Systeme sind starke Mechanismen zur rollenbasierten Authentifizierung und Autorisierung, ein transparenter Audit-Trail des SIEM-System selbst, gehärtete Hard- und Software aller Komponenten, Verschlüsselte Datenablage sowie Datenübertragung, ein event- und zeitbasiertes Löschkonzept und Möglichkeiten der Pseudonymisierung der Ansicht der Daten durch die SOC-Mitarbeiter (Maskierung) bei gleichzeitigem Erhalt der Beweismittelkette.
Die Einführung eines SIEM-System widerspricht damit nicht den Anforderungen der DSGVO, wenn die beschriebenen Punkte beachtet werden.
(ID:46799399)
:quality(80)/images.vogel.de/vogelonline/bdb/1926100/1926181/original.jpg "Der Europäische Datenschutztag ist ein durch den Europarat ins Leben gerufener Aktionstag für den Datenschutz. Er wird seit 2007 jährlich am 28. Januar begangen. (peterschreiber.media - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1945500/1945539/original.jpg "Der Fachkräftemangel, das immer komplexere Security-Management und die Masse an Security Alerts führen dazu, dass Incidents nicht schnell genug ausgewertet werden und Bedrohungen zu lange unbemerkt bleiben. (leowolfert - stock.adobe.com)")