:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/20/ac20783291a95cf067da1ec768834933/0110551872.jpeg "Der Threat Report von Arctic Wolf Labs für 2023 zeigt, dass Cyberangriffe immer raffinierter werden und Unternehmen zunehmend Schwierigkeiten haben, mit der Bedrohung durch Ransomware, Social Engineering und Supply-Chain-Angriffe umzugehen. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/47/21/4721b85a3c99b2a726f2c14f10595d75/0110512209.jpeg "Eavesdropping-Angriffe zielen darauf ab, während einer Datenübertragung, Informationen wie Passwörter, Kartendetails und andere sensible Daten zu erbeuten. (Bild: Thaut Images - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/e9/93e95863466ebeeb1c1f44322f9429e0/0110510164.jpeg "Für ihr Projekt haben die Forschenden Tausende von mikroskopischen Aufnahmen von Mikrochips gemacht. Hier ist ein solcher Chip in einem goldenen Chipgehäuse zu sehen. Die untersuchte Chipfläche ist nur etwa zwei Quadratmillimeter groß. (Bild: RUB, Marquard)")
:quality(80)/p7i.vogel.de/wcms/6c/65/6c65a1a9648d14f9555e7e8e008a7f9c/0109735694.jpeg "Mit dem App Traffic Optimizer von Bitdefender können Nutzer jeder Anwendung Bandbreite auf Wunsch zuteilen. (Bild: Bitdefender)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d6/32/d63226d47fb28c9e31bd3b019621723f/0110317549.jpeg "Mit dem Aufkommen des vernetzten Internet of Medical Things (IoMT) nehmen auch Cyberbedrohungen zu (© MQ-Illustrations - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/39/2b39615bb59330a79c5721ff23b0e3de/0110385480.jpeg "Verschlüsselung ist als Mittel zur Datensicherheit gerade beim Transport oder Versand sensibler Daten unverzichtbar. Wir zeigen in diesem Beitrag zehn praktische Verschlüsselungstools für Dateien und USB-Sticks. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/8d/898dc2faf5f0568d3672ac9179f4d906/0110552705.jpeg "Neue Leitlinien des Europäischen Datenschutzausschusses (EDSA) erläutern die praktische Anwendung der Zertifizierung als Instrument für Übermittlungen personenbezogener Daten in Drittländer. Allerdings können Datenschutzzertifikate allein das Datenschutzniveau in einem Drittland nicht garantieren und sind kein Ausweg bei Datentransfers. (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5a/ae/5aae0faab5e96030eec56fbdc19b5876/0110368604.jpeg ""Mit nachhaltiger Security gegen zukünftige Bedrohungen", ein Interview von Oliver Schonschek, Insider Research, mit Alexander Werkmann von IBM. (Bild: Vogel IT-Medien / IBM / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Compliance-Anforderungen für SIEM und SOC SIEM- und SOC-Betrieb und der Datenschutz
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/135400/135488/65.jpg "Insider Research Cover-1400x1400px.jpg ()")
Ein SIEM-System wird für viele Unternehmen immer wichtiger, da es als Grundlage eines Security Operation Centers (SOC) eine effiziente Überwachung, Auswertung und Reaktion auf Angriffe ermöglicht. Die überwachten Daten enthalten personenbezogene Daten, deren Erhebung im Zuge der Anforderungen des Datenschutzes gemäß DSGVO aber als kritisch zu betrachten ist.
Der IoT-Markt und das 5G-Mobilfunknetz sorgen für eine Vervielfältigung der kommunizierenden Geräte weltweit – in 2020 werden bis zu 200 Mrd. Geräte über das Netzwerk kommunizieren. Diese enorme Vergrößerung der „Angriffsfläche“ erhöht das Risiko von Hackerangriffen selbst bei gleichbleibendem Angriffs-Volumina. Zudem steigt das Schadenspotential durch gesteigerte Abhängigkeit an dieses technische Equipment.
Allein auf Antivirus- oder Endpoint-Protection-Lösungen zu setzen, reicht nicht mehr aus. Eine aktive Überwachung und Echtzeit-Korrelation sinnvoller Messpunkte ist von Nöten. Dies sind Kernaufgaben eines SIEM-Systems, welches Auffälligkeiten in der IT-Infrastruktur erkennen kann. Durch die entstehende Informationsflut ist ein SIEM zur technischen Analyse großer Datenmengen fähig. Sind kritische Vorfälle durch die definierten Use Cases erkennbar, wird außerdem in einem SOC ggf. 24x7 mit menschlichen Kräften reagiert. Diese Vorgänge ziehen die Verarbeitung großer Datenmengen mit sich.
SIEM arbeitet mit großen Datenmengen
Bei der Verwendung eines SIEM-Systems werden Daten durch Sensoren oder Kollektoren - zentral im Netzwerk bzw. auf Endgräten selbst platziert - weitergeleitet, gespeichert, aufbereitet und analysiert. Meist werden unstrukturierte „Rohdaten“ und normalisierte „abgespeckten“ Daten unterschieden, die im Falle eines Vorfalls von SOC-Mitarbeitern zur genauen (ggf. IT-forensischen) Analyse genutzt werden. Die dabei anfallenden Daten sind vielfältig und enthalten (Log-)Daten aller Art, von MAC- und IP-Adressen, Zeitstempel, verwendete Applikationen bis zu Klartextinformationen (ggf. sogar Kreditkarteninformationen, Telefonnummern, Anmeldedaten etc.).
Die Informationen dieser teils personenbezogener Daten sind wichtige Teile im Untersuchungsprozesses eines Vorfalls. In der (IT-)Forensik sind im Schadensfall genau die Fragen wichtig, die für den Datenschutz kritisch sind: Wer hat was, wann, womit gemacht? Deutlich wird hier der scheinbare Widerspruch zwischen SIEM- und SOC-Betrieb und den Anforderungen des Datenschutzes (siehe Bild).
Anforderungen der DSGVO im Rahmen von SIEM
Ein SIEM-System und der SOC-Betrieb müssen Compliance-Anforderungen erfüllen und damit sowohl die Analyse- und Beweissicherungsfähigkeit wie auch die Umsetzung der Anforderungen des Datenschutzgesetzes ermöglichen. Wichtige Datenschutzanforderungen der DSGVO lassen sich in Bezug auf ein SIEM-System vor allem auf Kapitel 2 DSGVO (u.a. Anforderungen an die Rechtmäßigkeit und Einwilligung), Kapitel 3 DSGVO (Rechte der Betroffenen, vor allem Löschung und Übertragung) und Kapitel 5 DSGVO (Übertragung, insbesondere in der Zusammenarbeit mit Dienstleistern oder bei Cloud-Komponenten). Vor allem durch sekundengenaue Informationen aus den Log-Quellen ist die Möglichkeiten zur technischen Analyse der Leistungen oder des Verhaltens von Mitarbeitern gegeben (siehe Art. 35 Abs. 1 und 3 DSGVO). Im Einzelfall sind sogar Bewegungsdaten durch Zutrittssysteme vom SIEM-System auswertbar, sofern daran angebunden. Besonders kritisch wird dies, wenn Artikel 9-Daten der DSGVO vorhanden sind. Grundsätzlich kann daher angenommen werden, dass die Einführung eines SIEM-Systems zur Notwendigkeit der Erstellung einer Datenschutzfolgeabschätzung (DSFA) führt.
Technische Schutzmaßnahmen im SIEM
Im Rahmen der DSFA können für die Erfüllung der DSGVO verschiedene Vorgaben aus Artikels 17, 20 oder 25 herangezogen werden. Diese schreiben vor, dass technische Möglichkeiten zur Umsetzung von Datenschutzmaßnahmen im System verankert sein müssen, um personenbezogene Daten zu schützen. Beispiele sind:
- Pseudonymisierung / Anonymisierung: Ersetzen von Teilen der Daten durch Pseudonyme, wodurch einzelne Daten durch Zufällige ersetzt werden.
- Tokenization: Ersetzen von Bestandteilen von Daten mit anderen Daten der gleichen Länge.
- Verschlüsselung: Verschlüsseln von Daten, wodurch sich die Länge und Größe der Daten verändern kann.
- Minimierung: Reduzierung der erhobenen Daten auf das absolut Notwendigste.
- Löschung und Löschbarkeit: Daten sollen sowohl auf Anfrage wie auch nach einer bestimmten Zeit gelöscht werden können.
- Übertragbarkeit: Daten sollten auf Anfrage übertragen werden können.
Die dargestellten Maßnahmen können an unterschiedlichen Punkten ansetzen. Die Minimierung von Daten beginnt bereits in der Konzeptionsphase des im SIEM-Implementierungsprojekts. Eine Minimierung kann direkt an den Systemen (z.B. Betriebssysteme) und zentralen Knotenpunkten (z.B. vor und/oder hinter einer zentralen Firewall oder Proxy-Server) z.B. durch Filter umgesetzt werden. Allerdings besteht bei diesem Vorgehen die Gefahr, dass wertvolle Informationen verloren gehen, was möglicherweise das ganze SIEM infrage stellt. Die Umsetzung der „Datenschutz-Controls“ durch das SIEM-Systems selbst sind daher bei der SIEM-Systemeinführung mindestens ebenso wichtig.
Erfüllung der DSGVO bei der SIEM-Einführung
Beruft man sich auf Artikel 6 DGSVO, können alle jene Daten erhoben werden, die für die Erfüllung der rechtlichen und regulatorischen Ansprüche erforderlich sind. Unternehmen müssen nach der Klärung der rechtlichen Grundlage daher vor allem die DSFA durchführen und stets aktualisieren. Diese beinhaltet:
- eine Risikoanalyse, die die Risikolage bewertet, mögliche Konsequenzen aufzeigt sowie risikoreduzierende Maßnahmen definiert.
- die Dokumentation der Prozesse und Regelwerke der Erhebung und Verarbeitung einschl. aller beteiligten Parteien sowie der Schutzmaßnahmen.
Einige technische Schutzmaßnahmen heutiger SIEM-Systeme sind starke Mechanismen zur rollenbasierten Authentifizierung und Autorisierung, ein transparenter Audit-Trail des SIEM-System selbst, gehärtete Hard- und Software aller Komponenten, Verschlüsselte Datenablage sowie Datenübertragung, ein event- und zeitbasiertes Löschkonzept und Möglichkeiten der Pseudonymisierung der Ansicht der Daten durch die SOC-Mitarbeiter (Maskierung) bei gleichzeitigem Erhalt der Beweismittelkette.
Die Einführung eines SIEM-System widerspricht damit nicht den Anforderungen der DSGVO, wenn die beschriebenen Punkte beachtet werden.
(ID:46799399)
:quality(80)/images.vogel.de/vogelonline/bdb/1926100/1926181/original.jpg "Der Europäische Datenschutztag ist ein durch den Europarat ins Leben gerufener Aktionstag für den Datenschutz. Er wird seit 2007 jährlich am 28. Januar begangen. (peterschreiber.media - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1945500/1945539/original.jpg "Der Fachkräftemangel, das immer komplexere Security-Management und die Masse an Security Alerts führen dazu, dass Incidents nicht schnell genug ausgewertet werden und Bedrohungen zu lange unbemerkt bleiben. (leowolfert - stock.adobe.com)")