Security-Analysen als Datenrisiko 2015

Sollen personenbezogene Daten ausgewertet werden, muss der Datenschutz stimmen. Das gilt auch für Lösungen zur Erkennung von IT-Bedrohungen. [...]

Fast klingt es nach dem alten Vorurteil, Datenschutz sei Täterschutz, wenn Vortragsthemen des ACDC-Projektteams „Is privacy stopping us from defeating cyber crime?“ oder „Privacy concerns and legal boundaries in the fight against botnets“ lauten. Immerhin ist ACDC, das Advanced Cyber Defence Centre, ein EU-Projekt, das ein europäisches Zentrum für Cyber Defence aufbauen und den Schutz vor Botnetzen stärken soll. Wenn der Datenschutz der Abwehr von Cybercrime und Bot-Attacken Grenzen auferlegt, scheint dies zu weit zu gehen.

Um Gefahrensituationen zu beurteilen und frühzeitig Abwehrmaßnahmen einzuleiten, können Unternehmen die Security-Analyse an Dienstleister auslagern, wie dem InfoGuard Cyber Defence Center. (c) InfoGuard AG

Grundsätzlich geht es dem Datenschutz aber um den Schutz der Daten, wenn die Verarbeitung, Speicherung und Nutzung der Daten nicht durch Datenschutzgesetze, andere Rechtsvorschriften oder die Einwilligung der Betroffenen erlaubt ist. Ist eine Rechtsgrundlage vorhanden, dürfen personenbezogene Daten natürlich genutzt und ausgewertet werden.

Die Frage ist, ob ein EU-Projekt zur Botnetz-Erkennung und -Abwehr und allgemeiner eine Plattform zur Erkennung von IT-Bedrohungen eine Rechtsgrundlage zur Verarbeitung personenbezogener Daten hat. Diese Frage musste sich nicht nur das Projekt ACDC stellen, sondern jeder Nutzer einer Security-Intelligence-Lösung muss dies vorab klären.

In dem EU-Projekt ACDC (Advanced Cyber Defence Centre) zur Erkennung und Abwehr von Botnetzen wurden auch umfangreiche Datenschutz-Analysen angestellt, um die Rechtsgrundlage für den Austausch sicherheitsrelevanter Daten sicherzustellen. (c) eco - Verband der Internetwirtschaft e.V.

RISIKEN BEI GEFAHRENABWEHR BEACHTEN
Die deutschen Aufsichtsbehörden für den Datenschutz warnen vor Datenrisiken bei der Gefahrenabwehr, nicht nur, wenn diese durch Unternehmen erfolgt, sondern auch bei der staatlichen Strafverfolgung. In ihrer Entschließung „Big Data zur Gefahrenabwehr und Strafverfolgung: Risiken und Nebenwirkungen beachten“ stellen die Datenschützer heraus, dass die Gefahr fehlerhafter Prognosen stets vorhanden ist, mit erheblichen Auswirkungen auf die dabei in Verdacht geratenen Personen. Es bestehe das Risiko, dass die Analysesysteme die Daten aus einem ganz anderen Zusammenhang verwenden, denen kein gefährdendes oder strafbares Verhalten zu Grunde liegt.

Bei einem Projekt wie ACDC kommt ein weiterer datenschutzrelevanter Punkt hinzu: Die Abwehr von Internetgefahren, wie sie Botnetze darstellen, kann ebenso wenig auf nationale Grenzen beschränkt werden wie die Erkennung möglicher Angriffe. Personenbezogene Daten, zu denen unter anderem IP-Adressen nach gängiger Rechtsmeinung gezählt werden, werden in verschiedenen Ländern erhoben, über Grenzen hinweg übertragen und dann in einem oder mehreren der beteiligten Länder ausgewertet.

Für die zentrale Auswertung und die Information betroffener Organisationen müssen die Daten über Botnetz-Aktivitäten über Grenzen hinweg übertragen werden. Dabei muss der Datenschutz Beachtung finden. Das Projekt ACDC hat dies entsprechend überprüft. (c) eco - Verband der Internetwirtschaft e.V.

Das ACDC-Projekt ist auf den EU-Raum beschränkt, Security-Intelligence-Plattformen vieler Anbieter jedoch nicht. Spätestens seit dem Safe-Harbor-Urteil sollte endgültig klar sein, dass die Datenübermittlung in Drittstaaten eine neue Rechtsgrundlage benötigt. Die deutschen Aufsichtsbehörden für den Datenschutz hatten dies bereits zuvor mehrfach gefordert.


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*