22. Dezember 2015 Oliver Schonschek*

Security-Analysen als Datenrisiko 2015

Sollen personenbezogene Daten ausgewertet werden, muss der Datenschutz stimmen. Das gilt auch für Lösungen zur Erkennung von IT-Bedrohungen. [...]

VOR UNGEPRÜFTEN DATENÜBERMITTLUNGEN SEI GEWARNT
Bei Lösungen wie Security Intelligence aus der Cloud oder SIEM as s Service (Security Information and Event Management) stellen Unternehmen Daten für die Security-Analyse durch einen Anbieter bereit. Wenn sich personenbezogene Daten wie ungekürzte IP-Adressen oder andere Nutzerinformationen darunter befinden, muss sichergestellt sein, dass die Daten auch tatsächlich nach den Datenschutz-Prinzipien verarbeitet werden.

Dazu gehört insbesondere die Zweckbindung oder im Fall der Security-Analyse der Besonderen Zweckbindung. Demnach dürfen personenbezogene Daten, die ausschließlich zu Zwecken der Datenschutzkontrolle, der Datensicherung oder zur Sicherstellung eines ordnungsgemäßen Betriebes einer Datenverarbeitungsanlage gespeichert werden, nur für diese Zwecke verwendet werden.

Damit personenbezogene Daten bei Security-Analysen geschützt werden können, sollten verschiedene Funktionen bei der Security-Intelligence-Plattform verfügbar sein: Personenbezogene Daten sollen – wenn technisch möglich – bereits vor den Analyse anonymisiert oder pseudonymisiert werden (Datenmaskierung). Werden personenbezogene Daten übertragen, sollten diese zum Beispiel durch Verschlüsselung und andere Formen des Zugangs- und Zugriffsschutzes vor unbefugter Nutzung bewahrt werden.

Beispiel für die internationale Verteilung eines Botnetzes. Die Erkennung und Abwehr muss deshalb ebenso grenzüberschreitend sein wie der Datenaustausch als Basis der Security-Analyse. (c) Link11 GmbH

Die Security-Intelligence-Plattform sollte zudem ein Berechtigungs- und Rollensystem aufweisen und das Vier-Augen-Prinzip unterstützen, um den Zugriff auf personenbezogene Daten zu kontrollieren und zu begrenzen. Bekannt sein muss zudem, wer für den Datenschutz bei der Plattform verantwortlich ist, wer Datenschutzbeauftragter ist, zu welchem genauen Zweck die Daten verarbeitet werden sollen, welche Art von Daten betroffen ist, an wen die Daten übermittelt werden sollen, wann die Daten gelöscht werden und wie sie geschützt werden sollen.

Besondere Beachtung muss dem Fall geschenkt werden, dass personenbezogene Daten zum Zwecke der Security-Analyse Grenzen überschreiten sollen. Im Fall des ACDC-Projektes fanden umfangreiche Datenschutz-Überlegungen und -Analysen statt, um den Rechtsrahmen für die Botnetz-Erkennung und -Abwehr ermitteln zu können. Das ist auch für andere Security-Intelligence-Anwendungen erforderlich, ganz besonders dann, wenn eine Datenübermittlung an einen Drittstaat, wie zum Beispiel in eine US-Cloud, geplant ist.


Mehr Artikel

News

Bad Bots werden immer menschenähnlicher

22. November 2024

Bei Bad Bots handelt es sich um automatisierte Softwareprogramme, die für die Durchführung von Online-Aktivitäten im großen Maßstab entwickelt werden. Bad Bots sind für entsprechend schädliche Online-Aktivitäten konzipiert und können gegen viele verschiedene Ziele eingesetzt werden, darunter Websites, Server, APIs und andere Endpunkte. […]

Frauen berichten vielfach, dass ihre Schmerzen manchmal jahrelang nicht ernst genommen oder belächelt wurden. Künftig sollen Schmerzen gendersensibel in 3D visualisiert werden (c) mit KI generiert/DALL-E
News

Schmerzforschung und Gendermedizin

21. November 2024 pi/kdl

Im Projekt „Embodied Perceptions“ unter Leitung des AIT Center for Technology Experience wird das Thema Schmerzen ganzheitlich und gendersensibel betrachtet: Das Projektteam forscht zu Möglichkeiten, subjektives Schmerzempfinden über 3D-Avatare zu visualisieren. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*