Ein Security Information and Event Management System (kurz „SIEM“-System) ist vereinfacht gesagt ein zentrales Sicherheitsverwaltungstool, welches in der Regel mit Maschinendaten (konkret: Logfiles) gefüllt werden kann, diese analysiert, aufbereitet und den Verantwortlichen durch Berichte über bestehende Events (Sicherheitsvorfälle) alarmiert.

Wofür werden SIEM-Systeme eingesetzt?

Ein solches SIEM-System dient der zentralisierten Überwachung. D.h. sämtliche Log-Daten aus beispielsweise Firewalls, DNS-Filtern, IDS/IPS und weiteren Sicherheitssystemen können in einem SIEM-System zusammengeführt und automatisiert ausgewertet werden. Daneben können natürlich noch weitaus mehr Logfiles aus verschiedenen IT-Systemen in das SIEM fließen, da grundsätzlich jedes IT-System, das auf einem Computer(system) genutzt wird, dazu fähig ist, bestimmte Aktionen von Prozessen zu protokollieren. Diese Art der Protokollierung findet im Hintergrund der IT-Systeme selbst statt, auf welche nur ganz bestimmte Mitarbeiter generell Zugriff haben sollten.

Das SIEM ermöglicht mittels einer zentralen Sicht auf sämtliche Sicherheitsereignisse eine schnelle Reaktion auf Angriffe. Es trägt somit zu einer ganzheitlichen frühzeitigen Bedrohungserkennung bei. Erkennt das System verdächtige Aktivitäten, dann erfolgt meist eine geeignete Alarmierung des Verantwortlichen. So können Angriffsversuche ggf. frühzeitig oder noch rechtzeitig erkannt und begrenzt werden. Falls nicht, dann kann im Rahmen einer Vorfallsbearbeitung evtl. das Angreifervorgehen zumindest nachvollzogen werden. Durch das zentralisierte Speichern von Logfiles haben SIEM-Systeme die Eigenschaft, dass die Logfiles im Gebrauch und im Ruhezustand gesichert werden können, sodass auch eine nachträgliche Beurteilung des Vorfalls ermöglicht wird. Mit diesen Daten sind daher auch forensische Untersuchungen möglich, um Beweise zu sichern, nachdem ein Angriff auf IT-Systeme oder Anwendungen bekannt wurde. So kann erkannt werden, was der Angriff auf die IT-Systeme angerichtet hat, welche Daten betroffen waren und wie weit der Angreifer in die Systeme gelangt ist.

Insofern dienen SIEM-Systeme nicht nur der Datensicherheit und folglich der Vorbeugung von Datenschutzverletzungen gem. Art. 4 Nr. 12 DSGVO, sondern auch der nachträglichen Aufklärungen dieser sowie der erforderlichen Bewertung nach Art. 33f. DSGVO.

Warum spielt Datenschutz hierbei eine Rolle

Bei der Nutzung eines SIEM-Systems werden grundsätzlich auch personenbezogene Daten gem. Art. 4 Nr. 1 DSGVO verarbeitet. Logfiles oder auch Protokolldaten genannt, sind Dateien, die Informationen über bestimmte Aktionen von Prozessen auf einem Computer(system) enthalten. Es gibt technische Logfiles, die lediglich Aktionen der Dienste selbst aufzeichnen und es gibt personenbezogene Logfiles, welche Aktionen der Nutzer des Systems aufzeichnen oder eben protokollieren. Eine einzelne Logdatei kann daher beispielsweise Informationen enthalten, zu welcher Zeit, welches System (Name sowie Informationen des Dienstes) von welchem Computer aus und konkret von welchem Nutzer (Username sowie IP-Adresse) in welchem Umfang bedient wurde. Beispielsweise kann eine einzelne Logdatei Zugriffe, Änderungen oder das Löschen von bestimmten Daten aufzeichnen. Sie kann protokollieren, ob und wer Benutzerrechteverwaltungsänderungen vorgenommen hat. Es können Authentisierungsvorgänge im Unternehmen protokolliert werden (wer sich wann am System angemeldet hat), aber auch Änderungen an sicherheitsrelevanten Konfigurationseinstellungen können hierdurch sichtbar gemacht werden. Insofern handelt es sich bei Logfiles um personenbezogene Daten, die in einem SIEM-System verarbeitet werden, was unweigerlich zur Anwendung der DSGVO führt.

Auch wenn sie auf den ersten Blick gesehen nur wenige Angaben über die Person liefern, so kann in der Gesamtschau von Logfiles ein Verhaltensmuster eines bestimmten Mitarbeiters wiedergegeben werden. Dieses Muster wird umso detaillierter, je mehr Informationen man über diese Person hat. Bei SIEM-Systemen liegt das Risiko darin, dass eine Vielzahl an Logfiles zentral gespeichert werden, die aus vielen verschiedenen Systemen oder Anwendungen stammen. Folglich führt die Masse an Logfiles dazu, dass ein bereits bestehendes Verhaltensmuster eines Mitarbeiters noch detaillierter wiedergegeben werden kann.

Was muss datenschutzrechtlich berücksichtigt werden

Rechtsgrundlage

Jede Verarbeitung von personenbezogenen Daten bedarf einer Rechtsgrundlage nach der DSGVO. Dies umfasst auch die zentralisierte Speicherung von Logfiles innerhalb des Unternehmens.

Logfiles dienen Unternehmen zu verschiedenen Zwecken und sind vor allem für die Aufrechterhaltung der IT-Infrastruktur sowie der Sicherheit der Datenverarbeitung von enormer Bedeutung. Das Speichern und Auswerten von Logfiles innerhalb von SIEM-Systemen dient der Vorbeugung, aber auch der Aufklärung von Sicherheitsprobleme wie Angriffen auf betriebene Dienste und Anwendungen des Unternehmens von außen aber auch von innen.

Sofern Verantwortliche keinen nationalen gesetzlichen Verpflichtungen unterliegen, dürfte als Rechtsgrundlage ausschließlich eine Verarbeitung aufgrund berechtigten Interesses gem. Art. 6 Abs. 1 lit. f DSGVO in Betracht kommen. Bei der Prüfung der Zulässigkeit der Datenverarbeitung nach Art. 6 Abs. 1 lit. f DSGVO muss der Verantwortliche eine Abwägung zwischen den eigenen Interessen an einer erfolgreichen unternehmensinternen Sicherheitspolitik und den Interessen der betroffenen Personen, selbst zu entscheiden, was mit ihren Daten geschieht, durchführen. Dabei muss der Verantwortliche auch die Datenschutzgrundsätze berücksichtigen:

Zweckbindung und Datenminimierung gem. Art. 5 Abs. 1 lit. b und c DSGVO:

Der Grundsatz der Datenminimierung besagt, dass nur so viele personenbezogene Daten wie nötig, aber so wenige wie möglich verarbeitet werden sollten, um den Zweck zu erreichen. D.h. der Verantwortliche muss sich vorab konkret bewusstwerden, welche Logfiles er zwingend zentralisiert vorhalten muss, um der entsprechenden Bedrohungslage entgegenzuwirken. Ein pauschales Vorhalten aller in IT-Systemen und Anwendungen erhobenen Logfiles in einem SIEM-System entspricht nicht dem Grundsatz der Zweckbindung und Datenminimierung und führt beim Betroffenen zu einem enormen Überwachungsdruck, der als unverhältnismäßig bewertet werden kann. Der Verantwortliche muss sich daher vorher genau bewusstwerden, welche Logfiles er wirklich zwingend benötigt, um seinen Zweck erfüllen zu können.

Neben der zentralisierten Datenhaltung muss der Verantwortliche auch begründen, warum er die Logfiles auch noch in seinen lokalen IT-Systemen/Anwendungen vorrätig hält.

Grundsatz der Speicherbegrenzung gem. Art. 5 Abs. 1 lit. e DSGVO:

Der Verantwortliche muss vorab prüfen und nachvollziehbar begründen, für wie lange er die Logfiles in einem SIEM-System speichert. Hier nehmen wir Bezug auf unseren Blogbeitrag Speicherdauer von Logfiles innerhalb des Unternehmensnetzwerks.

Grundsatz der Integrität und Vertraulichkeit gem. Art. 5 Abs. 1 lit. f DSGVO:

Es muss sichergestellt werden können, dass auf ein SIEM nur ein kleiner Kreis an berechtigten Mitarbeitern Zugriff hat (siehe hierzu unsere Ausführungen zum Need-to-Know Prinzip). Zudem muss das SIEM-System auch durch weitere technische und organisatorische Maßnahmen gesichert werden, damit kein Angriff auf das SIEM-System selbst stattfinden kann.

Grundsatz der Transparenz gem. Art. 5 Abs. 1 lit. a DSGVO:

Der Verantwortliche muss die Betroffenen über die geplante Datenverarbeitung informieren, gem. Art. 13f. DSGVO.

Fazit

Der Schutz der IT-Sicherheit und damit inbegriffen auch die Abwehr von Cyberangriffen ist mitunter eine wichtige Maßnahme zum Schutz der IT-Infrastruktur eines Unternehmens. Verantwortliche dürfen dabei aber nicht außen vorlassen, dass hierbei in erster Linie auch Daten der eigenen Mitarbeiter betroffen sind. Jedes Anbinden weiterer IT-Systeme/Anwendungen an ein SIEM-System und folglich das Erheben und Speichern weiterer Logfiles führt damit auch zu einem intensiveren Eingriff in das Persönlichkeitsrecht der betroffenen Mitarbeiter, deren Daten hier verarbeitet werden. Dabei wird nicht verkannt, dass ein SIEM-System gerade auch der Sicherheit von (personenbezogenen) Daten dient, die durch den Verantwortlichen verarbeitet werden. Insofern kann die Entscheidung über die Anzahl der Systeme und Anwendungen sowie die Masse an Logfiles in einem SIEM-System auch stets durch die Bedürfnisse der Cybersicherheit in der aktuellen Zeit variieren. Diese Entscheidung muss jedoch auch unter dem Deckmantel der DSGVO und folglich der Sicherstellung des Persönlichkeitsrechts der betroffenen Personen getroffen werden.

Verantwortliche sind daher angehalten sich vor Einsatz sowie auch während des Einsatzes eines SIEM-Systems  (d.h. bei jeder Anbindung von weiteren Systemen/Anwendungen) mit den datenschutzrechtlichen Grundsätzen und den Rechten der Betroffenen auseinanderzusetzen. Dabei muss der Verantwortliche eine Entscheidung treffen, die sowohl mit dem Datenschutz als auch der Datensicherheit im Einklang steht. Hierbei sollten sich Verantwortliche von ihrem Datenschutzbeauftragen unterstützen lassen.

| | , , | , , , , ,