Security Information and Event Management

Datenschutz bei SIEM-Systemen

Die Angst vor Cyberangriffen geht um. Als Hauptverantwortliche gelten gut organisierte Cyberkriminelle, aber auch die eigenen Mitarbeiter sollte man nicht übersehen. Unabsichtlich oder mit Vorsatz können diese dem eigenen Betrieb Schaden zufügen. Systeme Security Information and Event Management (SIEM) können hier Abweichungen von der Normalität in IT-Systemen aufzeigen – und dies ohne gegen den Datenschutz zu verstoßen.

Bei der Nutzung von Systeme Security Information and Event Management (SIEM) sollte der Datenschutz nicht außen vor bleiben.

Im Jahr 2012 führte die Corporate Trust GmbH eine Studie mit dem Titel „Industriespionage 2012 – Aktuelle Risiken für die deutsche Wirtschaft durch Cyberwar“ durch. Darin heißt es, dass bereits 20 Prozent der befragten Unternehmen von Spionagevorfällen betroffen sind. Berücksichtigt man die nicht weiter konkretisierten oder nicht eindeutig nachgewiesenen Fälle steigt der Anteil auf 54 Prozent an. Dabei ist deutschlandweit ein Schaden von 4,3 Mrd. Euro entstanden. In mehr als der Hälfte der Fälle konnten Mitarbeiter als Urheber identifiziert werden.

Ein Ansatz um derartige Bedrohungsszenarien zu erkennen, ist die Einführung eines Security-Information-and-Event-Management-Systems (SIEM). Dieses bietet Möglichkeiten zur zentralen Sammlung und Auswertung von Log-Meldungen aller angebundenen Komponenten. Auch die Verknüpfung von Log-Meldungen unterschiedlicher Systeme (sogenannte Korrelation) ist möglich. Bekannte Angriffsmuster bzw. auch Abweichungen vom Normalverhalten können nahezu in Echtzeit erkannt und entsprechende Gegenmaßnahmen eingeleitet werden. Auch werden durch die zentrale Sammlung von Log-Meldungen forensische Auswertungen erleichtert.

Doch stellt sich die Frage, was ist beim Schutz vor Angriffen überhaupt erlaubt? Und wann sollte man am besten den Betriebsrat oder den Datenschutzbeauftragten mit ins Boot holen? SIEM-Systeme bieten die technische Möglichkeit, Mitarbeiter zu überwachen und detaillierte Profile zu erstellen. Der Schritt zu einem firmeninternen Prism ist nicht mehr weit. Diesem gilt es, mithilfe von Regeln und technisch sinnvollen Beschränkungen entgegenzuwirken.

Angst vor dem gläsernen Mitarbeiter

Kernstück eines jeden Security Information and Event Management sind die vorhandenen Regeln. Mit deren Qualität steht und fällt die Leistungsfähigkeit eines jeden SIEM-Systems. Um dies sicherzustellen werden Mitarbeiter benötigt, die zum einen ein sehr breites Wissen über verschiedenste Technologien besitzen. Zum anderen müssen diese aber auch in ständig wechselnden Spezialgebieten schnell tiefgreifendes Analysewissen aufbauen können.

Nicht zu vergessen sind ausgeprägte organisatorische Fähigkeiten. Diese werden beispielsweise im Rahmen des Security-Incident-Handling-Prozesses notwendig, der mit Entstehung eines Meta-Events gestartet wird. Folglich nimmt der SIEM-Mitarbeiter eine zentrale Rolle ein, die besondere Rechte und Pflichten zur Ausführung seiner Tätigkeiten bedingen. Dies ist besonders dann zu beachten, wenn sich Benutzerdaten in den Log-Meldungen finden – was praktisch niemals ausgeschlossen werden kann. Insofern ist der Verdacht naheliegend, ein SIEM-System führe automatisch zu gläsernen Mitarbeitern, ähnlich dem in der Presse viel zitierten und kritisierten Prism der NSA. Dem muss jedoch nicht so sein.

Organisatorische und technische Maßnahmen

Technisch gesehen kann ein SIEM-System die Tätigkeiten von Mitarbeitern relativ exakt sammeln und auswerten, sofern eine möglichst lückenlose Protokollierung durchgängig konfiguriert ist. Ein gläserner Mitarbeiter wäre damit denkbar. Jedoch existieren technische als auch organisatorische Möglichkeiten genau dies zu verhindern:

Die erste Möglichkeit bilden Log-Policies. Diese Form von Richtlinien legen auf einer organisatorischen Ebene alle Anforderungen hinsichtlich der allgemeinen Protokollierung fest. Ein Beispiel hierzu ist die Generierung von erfolgreichen und nicht erfolgreichen Anmeldeversuchen. Basierend auf der allgemeinen Protokollierungsrichtlinie leitet sich pro Log-Quelltyp eine technisch konkretisierte Log-Policy ab. Hier werden alle notwendigen  Konfigurationseinstellungen für die jeweilige Log-Quelle zur Umsetzung der allgemeinen Log-Policy detailliert beschrieben. Damit wird sichergestellt, dass möglichst nur die Ereignisse protokolliert werden, die später im Rahmen der Auswertung auch von Interesse sind. Dies geht Hand in Hand mit dem Prinzip der Datensparsamkeit bzw. Datenvermeidung aus dem Bundesdatenschutzgesetz (BDSG). Unabdingbar ist hier die Einbeziehung des Datenschutzbeauftragten und des Betriebsrats.

Das Rollen- und Rechtekonzept

Eine weitere Möglichkeit betrifft das Rollen- und Rechtekonzept des SIEM-Systems. So muss sichergestellt sein, dass dem Need-to-Know-Prinzip Rechnung getragen wird, das heißt die Zugriffsrechte der SIEM-Benutzer sind so restriktiv wie möglich zu definieren. Auch muss die Anzahl der SIEM-Benutzer möglichst klein und diese namentlich benannt sein.

Auch wenn ein ausgefeiltes Rollen- und Rechtekonzept zum Einsatz kommt, bleibt ein Nachteil bestehen: Der SIEM-Benutzer kann die Identität des Log-Verursachers einsehen. Damit lassen sich möglicherweise Bewegungsprofile erstellen, die direkt einem Benutzer zugeordnet werden können. Dieser Personenbezug stellt eine der größten Herausforderungen beim Aufbau eines SIEM-Systems dar, wobei hierzu mittlerweile meist technische Lösungsmöglichkeiten existieren.

So ermöglichen Anonymisierung bzw. Pseudonymisierung das Verschleiern der wahren Identität. Beispielsweise wird aus dem Benutzernamen „Max Müller“ der Wert „XHd73lfuaSJ87“. Von Anonymisierung spricht man, wenn personenbezogene Daten derart verändert werden, dass die Einzelangaben über persönliche und sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können (siehe BDSG §3 Abs.6).

Pseudonymisierung ist nicht ganz so strikt definiert. Hierunter versteht man das Ersetzen des Namens oder anderer Identifikationsmerkmale durch ein Kennzeichen zu dem Zweck, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren (siehe BDSG §3 Abs.6a).

Da die Anforderung der Auflösung des verschleierten Datums besteht, kommt bei SIEM-Systemen die Pseudonymisierung zum Einsatz. Aus technischer Sicht können hier z.B. Hash-, symmetrische Verschlüsselungs- (z.B. AES256) oder asymmetrische Verschlüsselungsverfahren (z.B. Public-Private-Key-Verfahren) zum Einsatz kommen. Letztere eignen sich aufgrund der geringen Geschwindigkeit gegenüber symmetrischer Verfahren weniger zur Pseudonymisierung selbst. Eher noch sind sie zum Schutz der eigentlichen Pseudonymisierungsfunktion oder des symmetrischen Schlüssels geeignet. Zur Auflösung des Pseudonyms müssen organisatorische Verfahren abgestimmt und implementiert werden, die festlegen wann welche Unternehmensbereiche wie Datenschutz, Betriebsrat oder auch Revision miteinbezogen werden müssen und welche Mitspracherechte und -pflichten sie einnehmen. Die Kombination aus diesen Prozessen und der technischen Möglichkeit der Pseudonymisierung bestimmt dabei den Reifegrad des SIEM-Systems hinsichtlich des Datenschutzes.

Dialog mit Betriebsrat, Datenschützern und Revision

Weiter verbleibt die regelmäßige Kontrolle der SIEM-Lösung bzw. der zurückliegenden Analysen und Auswertungen. Hierzu muss eine geeignete Stelle im Unternehmen gefunden werden. Naheliegend ist die Einbindung der Revision.
Es empfiehlt sich weiter eine breite Akzeptanz zum Thema Log-Auswertung und -Analyse im Unternehmen zu schaffen. Dies gelingt durch eine frühzeitige Einbeziehung eines jeden Einzelnen. So bietet sich etwa die gemeinsame Erarbeitung von technischen Log-Policies mit den jeweiligen Fachbereichen an. In diesem Zusammenhang wird deren Fachwissen genutzt und die Funktionsweise eines SIEM-Systems weiter vermittelt, was letztlich in einem höheren Vertrauen auf Basis größerer Transparenz mündet. Darüber hinaus muss frühzeitig mit Betriebsrat, Datenschutz und Revision gesprochen werden. Haben diese die Möglichkeit das Projekt aktiv mitzugestalten, ist ihre Unterstützung meist sicher.
Insgesamt stehen damit organisatorische als auch technische Möglichkeiten zur Verfügung, die einen gläsernen Mitarbeiter verhindern. Im Gegensatz zu Prism verfügt ein gut konfiguriertes SIEM-System über ähnliche Möglichkeiten, jedoch unter Wahrung der Persönlichkeitsrechte. Dies macht SIEM-Systeme zu einer wichtigen Waffe im Cyberwar.

www.tuv.com/informationssicherheit

* Die Autoren: Michael Sepp ist Berater beim TÜV Rheinland und arbeitet dort schwerpunktmäßig im Bereich Sicherheitskonzepte und Lösungen.

Thomas Mörwald ist Senior Consultant beim TÜV Rheinland und arbeitet dort schwerpunktmäßig im Bereich Sicherheitskonzepte und Lösungen. Er ist zudem verantwortlich für die fachliche Weiterentwicklung der Themenbereiche Service-Monitoring, Log-Management sowie Security Information and Event Management (SIEM).

Bildquelle: Gerd Altmann/Pixelio.de

Bildquelle: Thinkstock/iStock

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok