Banner Aktuelle IT-Sicherheit Online-Schulungen Rabatt
Mit <kes>+ lesen

Pflichten und Grenzen der Angriffserkennung

Rechtliche Aspekte von Security-Information-and-Event-Management-Systemen (SIEM) und anderer Software zur Angriffserkennung und Gefahrenabwehr

Lesezeit 11 Min.

Gefahren abzuwehren und Angriffe auf die eigene Organisation zu erkennen, sollte eigentlich im ureigensten Interesse jedes Unternehmens liegen – die Spielräume bei der Umsetzung dieser Ziele sind jedoch erheblich. Etliche Unternehmen müssen sich jedoch mittlerweile auch mit einer gesetzlichen Pflicht zur automatisierten Implementierung rund um die Uhr auseinandersetzen. Außerdem gilt es, rechtliche Grenzen zu beachten – egal, ob man ein SIEM oder andere Systeme zur Gefahrenabwehr nun einsetzen muss oder dies freiwillig macht.

Die jüngsten „Updates“ verschiedener Gesetze verpflichten mittlerweile eine ganze Reihe von Unternehmen dazu, Software zur Angriffserkennung und Gefahrenabwehr einzurichten. Für den – nunmehr erweiterten – Kreis der KRITIS-Betreiber (s. u.) bleiben noch einige Monate Zeit, bis die neuen Pflichten greifen. Bestimmte Telekommunikationsdienstleister müssen bereits seit einer Weile Systeme zur Angriffserkennung vorhalten – den Übrigen wird dies empfohlen.

Der vorliegende Beitrag behandelt die neuen Pflichten vorrangig am Beispiel von Security-Information-and-Event-Management-Systemen (SIEM), die unterschiedlichste Datenquellen über die IT-Nutzung durch Einsammeln von Logdateien und ihre Überführung in ein gemeinsames Format zusammenführen. Dadurch wird es möglich, ein einheitliches Bild über missbräuchliche Nutzung sowie Angriffe von außen auf die Systeme zu erhalten. SIEM-Systeme können damit eines der zentralen Tools zur Umsetzung der gesetzlichen Pflichten darstellen.

Zur besseren Übersichtlichkeit stellen SIEM-Systeme meist Dashboards bereit, die auf einen Blick durch aggregierte Nutzungsdaten sowie deren Visualisierung in Spalten- oder Torten-Diagrammen und ähnlichen Darstellungsformen Anomalien sichtbar machen. Darüber hinaus filtern SIEM-Systeme potenziell gefährliche Logeinträge teils selbst heraus, teils ist dies erst durch Datenanalysten mithilfe einer Abfragesprache möglich. Oft gibt es zudem Live-Analysen von Netzwerkaktivitäten, die jedoch aus Sicht des Datenschutzes besonders anfällig für Rechtsverletzungen sind.

Neben SIEM-Systemen gibt es viele weitere Software, die sich zur Angriffserkennung eignet: Viren-/Malware und Schwachstellen-Scanner, Client- und Server-Firewalls, Intrusion-Detection- und -Prevention-Systems (IDS/IPS), Endpoint- oder Extended Detection-and-Response-Systems (EDR/XDR) sowie User-and-Entity-Behavior-Analytics (UEBA). Für all diese Systeme, deren Funktionsumfang sich häufig auch überschneidet, gilt es jedoch grundsätzlich die gleichen Regeln zu beachten wie für das hier herausgegriffene Thema SIEM.

Telekommunikations-Sektor

Das 2021 geänderte Telekommunikationsgesetz (TKG, www.gesetze-im-internet.de/tkg_2021/) fordert bei Betreibern öffentlicher Telekommunikations-(TK)-Netze und Anbietern öffentlicher TK-Dienste mit erhöhtem Gefährdungspotenzial bereits ab dem 1. Dezember 2021 den Einsatz automatisierter Systeme zur Angriffserkennung (§ 165 Abs. 3 TKG).

Es sollte zwar klar sein, dass eine reine Beobachtung – ohne weiteres Handeln – nicht viel hilft, aber auch seitens des Gesetzes genügt es explizit nicht, eine Rund-um-die-Uhr-Erfassung wichtiger Daten zur Angriffserkennung einzurichten – vielmehr muss ebenfalls eine 24/7-Auswertung dieser Daten und Abwehr von Gefahren erfolgen. In § 165 Abs. 3 TKG heißt es dazu: „Die eingesetzten Systeme zur Angriffserkennung müssen in der Lage sein, durch kontinuierliche und automatische Erfassung und Auswertung Gefahren oder Bedrohungen zu erkennen. Sie sollen zudem in der Lage sein, erkannte Gefahren oder Bedrohungen abzuwenden und eingetretene Störungen geeignete Beseitigungsmaßnahmen vorzusehen. Weitere Einzelheiten kann die Bundesnetzagentur im Katalog von Sicherheitsanforderungen nach § 167 festlegen.“

Sicherheitsvorfälle sind für alle TK-Anbieter nach § 168 TKG unverzüglich zu melden – das heißt ohne „schuldhaftes Zögern“. Eine Höchstfrist ist im Unterschied zu Art. 33 Datenschutzgrundverordnung (DSGVO) hier nicht vorgesehen. Ein schuldhaftes Zögern kann aber bereits darin bestehen, dass interne Prozesse zur Bearbeitung von meldepflichtigen Vorfällen mangelhaft organisiert sind. Meldeketten müssen im Rahmen des Informationssicherheits- und Datenschutz-Managements daher von vornherein definiert, allen Mitarbeitern bekannt gemacht und regelmäßig überprüft werden.

Die Bundesnetzagentur (BNetzA) kann Maßnahmen zur Behebung eines Sicherheitsvorfalls oder zur Abwendung von Gefahren anordnen. Bei der Verletzung des Schutzes personenbezogener Daten gibt es – parallel zu den Meldepflichten nach den Art. 33 und 34 DSG- VO – eine weitere Meldepflicht nach § 169 TKG. Solche Meldungen dürfen bei Ermittlungen wegen straf- oder bußgeldrechtlicher Verstöße nur mit Einverständnis des Meldepflichtigen herangezogen werden – man muss also keine Rücksicht darauf nehmen, ob die Meldung das eigene Unternehmen selbst belasten könnte.

Kritische Infrastruktur

Betreiber kritischer Infrastrukturen (KRITIS) müssen nach § 8a BSI-Gesetz ab dem 1. Mai 2023 ebenfalls Systeme zur Angriffserkennung einführen – die Vorgaben sind gleichlautend zum Telekommunikationsgesetz. Eine „kritische Infrastruktur“ ist nach der Definition der EU „eine Anlage, ein System oder ein Teil davon, die von wesentlicher Bedeutung für die Aufrechterhaltung wichtiger gesellschaftlicher Funktionen, der Gesundheit, der Sicherheit und des wirtschaftlichen oder sozialen Wohlergehens der Bevölkerung sind und deren Störung oder Zerstörung erhebliche Auswirkungen hätte, da ihre Funktionen nicht aufrechterhalten werden könnten“ (Art. 2 Satz 1 lit. a der Richtlinie 2008/114/EG des Rates vom 8. Dezember 2008 über die Ermittlung und Ausweisung europäischer kritischer Infrastrukturen und die Bewertung der Notwendigkeit, ihren Schutz zu verbessern [1]).

Die genauen Spezifikationen sind in den KRITIS-Verordnungen des Bundes enthalten (siehe www.gesetze-im-internet.de/bsi-kritisv/), als Faustformel gilt die Versorgung von 500 000 Einwohnern. Diese Schwelle kann aber unter Umständen auch schon sehr kleine Unternehmen treffen – beispielsweise beim Angebot von technischer Infrastruktur wie DNS-Resolvern.

Erweiterter Adressatenkreis

Dabei ist zu beachten, dass der Kreis der Unternehmen und Behörden, die als kritische Infrastruktur gelten, seit 2021 erheblich größer geworden ist: Die vom IT-Sicherheitsgesetz aus 2015 betroffenen Sektoren wurden 2021 durch die Revision des Gesetzes (allgemein als „IT-Sicherheitsgesetz 2.0“ bezeichnet) um die Bereiche Staat und Verwaltung, Medien und Entsorgung erweitert, wie Abbildung 1 veranschaulicht.

Grenzen und Fallstricke

Bei der konkreten Umsetzung der Sicherungspflichten ist eine Reihe von Regularien zu beachten, welche den Umfang und die Art der zur Angriffserkennung herangezogenen Daten begrenzen – und die Umsetzung somit erschweren. Man darf eben nicht „einfach alles“ protokollieren und auswerten, was prinzipiell geeignet wäre, den gesetzlichen Auftrag zu erfüllen.

Seit der Neufassung des Telekommunikationsgesetzes zum 1. Dezember 2021 ist das Fernmelde- be- ziehungsweise Telekommunikationsgeheimnis nicht mehr in § 88 TKG zu finden, sondern in § 3 des neu geschaffenen „Gesetz über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei Telemedien“ (kurz Telekommunikation-Telemedien- Datenschutz-Gesetz, TTDSG, www.gesetze-im-internet.de/ttdsg/) verschoben worden. IT-Sicherheitsprüfungen fallen allerdings nicht hierunter, da es nur für Daten gilt, die über „den Betrieb ihrer Telekommunikationsnetze oder ihrer Telekommunikationsanlagen einschließlich des Schutzes ihrer technischen Systeme erforderliche Maß hinaus“ verarbeitet werden.

Dabei sind durch allgemeine Persönlichkeitsrechte in der deutschen Verfassung und der EU-Grundrechtecharta, Datenschutz, Arbeitsrecht und Mitbestimmung jedoch Grenzen gesetzt, die man vor dem Start des Betriebs eines SIEM-Systems klären sollte. Noch einmal: Es ist nicht alles zulässig, was technisch heutzutage machbar ist, um Datenpakete von außen oder auch Aktivitäten der eigenen Mitarbeiter zu überwachen!

Sowohl das Fernmeldegeheimnis nach § 3 Abs. 3 Satz 3 TTDSG als auch das Datenschutzrecht nach Art. 6 Abs. 4 DSGVO sehen eine strenge Zweckbindung vor, von der nur im Ausnahmefall abgewichen werden darf – vom Fernmeldegeheimnis sogar nur aufgrund eines anderen Gesetzes, das sich ausdrücklich auf Telekommunikations- vorgänge bezieht. Entsprehcende Daten dürfen in aller Regel gemäß § 12 Abs. 4 TTDSG oder Art. 32 Abs. 1 lit. A DSGVO nur pseudonymisiert verarbeitet werden und nur im Verdachtsfall deanonymisiert werden (vergleiche auch Erwägungsgrund 78 zur DSGVO, siehe etwa https://dsgvo-gesetz.de/erwaegungsgruende/nr-78/).

Wer öffentlich zugängliche Telekommunikationsdienste erbringt, hat durch das neue TKG auf eigene Kosten noch weitere Pflichten auferlegt bekommen, die verfassungsrechtlich ob ihrer Zulässigkeit möglicherweise schwer zu begründen sind: Nach § 169 Abs. 4 ff. TKG hat der TK-Anbieter auch Nutzer über Störungen zu informieren, die von deren TK-Anschlüssen ausgehen und sie, soweit technisch möglich und zumutbar, auf angemessene, wirksame und zugängliche technische Mittel zur Gefahrenvorbeugung und -bekämpfung hinzuweisen. Der TK-Anbieter darf gegebenenfalls sogar den Datenverkehr zu Nutzern unterbrechen, sofern dies zur Vermeidung von Störungen in den TK- und Datenverarbeitungssystemen der Nutzer (§ 169 Abs. 7 TKG) oder des TK-Unternehmens selbst (§ 169 Abs. 6 TKG) erforderlich ist.

Der Europäische Gerichtshof (EuGH) hat mit Urteil vom 20. September 2022 eine Vorratsdatenspeicherpflicht zu TK-Verkehrsdaten für unvereinbar mit EU-Recht erklärt [2,3]. Gegenstand des Verfahrens waren die §§ 113 ff. des alten deutschen Telekommunikationsgesetzes, die bis 30. November 2021 galten. Im seit 1. Dezember 2021 geltenden neuen TKG gibt es eine Verpflichtung zur Vorratsdatenspeicherung, die sich an bisherigen EuGH-Entscheidungen zu französischen und belgischen Gesetzen orientiert, die aber derzeit ausgesetzt ist. Das neue Urteil wird sicher dazu führen, anhand der Entscheidungsgründe des EuGH eine Neuregelung mit eingeschränkter Vorratsdatenspeicherung oder einem „Quick Freeze“ (Speicherung erst nach Anzeige/Aufforderung) zu finden.

Fixe Löschungsfristen für Verkehrsdaten gibt es jedenfalls erst, wenn aus diesen Informationen auffällige Daten aussortiert wurden: Die nicht-auffälligen Daten müssen dann unverzüglich gelöscht werden. Im Unterschied zu früheren Gesetzesfassungen gibt es aber keine Höchstfrist zur Speicherung von Verkehrsdaten mehr – die Speicherdauer muss nur im Rahmen des technisch absolut Notwendigen bleiben (vgl. Urteil des Bundesarbeitsgerichts zur Videoüberwachung vom 23. August 2018, Az. 2 AZR 133/18). Für Bundesbehörden hat der Gesetzgeber in § 5 BSI-Gesetz allerdings eine Höchstfrist von 18 Monaten zur Loganalyse gesetzt – soweit nach 18 Monaten noch keine Anhaltspunkte für eine Sicherheitsverletzung erkennbar sind, müssen die übrigen Logdaten dann gelöscht werden.

Personenbezug von Logdaten

Logdaten sind nicht nur technische Daten, sondern verraten auch viel über den betreffenden Nutzer, wenn man sie einem Menschen zuordnen kann. Da in der Regel im Firmennetz entweder Network-Address-Translation (NAT) mit internen statischen oder zumindest durch DHCP zugeteilten IP-Adressen verwendet wird, ist bis zur Löschung der entsprechenden Verzeichnisse (Zuordnung IP zu Nutzer bzw. DHCP-Leasetable) daher ein Personenbezug vorhanden.

Mithilfe von Logdateien lassen sich Bekanntschaften, Beziehungen, Arbeitsweisen, religiöse oder parteipolitische Ansichten, Verhaltensweisen, Einkaufsgewohnheiten, finanzielle Verhältnisse und vieles mehr rekonstruieren. Daher greifen sie ohne Beschränkung tief in das Persönlichkeitsrecht der Nutzer ein – und gleichzeitig in das vom Bundesverfassungsgericht proklamierte Grundrecht der informationellen Selbstbestimmung.

Um den Sicherheitsinteressen von Unternehmen sowie den Persönlichkeitsrechten von Mitarbeitern, Partnern und Kunden gleichermaßen Rechnung tragen zu können, ist es in der Regel erforderlich, Logeinträge zu pseudonymisieren. Zudem kann der Betriebs- oder Personalrat darauf hinwirken, dass pseudonymisiert wird, weil ansonsten neben der Beeinträchtigung von Persönlichkeitsrechten der Mitarbeiter auch die Möglichkeit einer Leistungs- und Verhaltenskontrolle gegeben sein könnte. Dabei sind jedoch Kompromisse zu schließen – etwa für den Fall der akuten Bekämpfung eines laufenden Angriffs mit Schadenspotenzial.

Eine Totalüberwachung aller Aktivitäten der Mitarbeiter am Client ist rechtlich immer problematisch und bedarf der Vereinbarung weitgehender Garantien zum Schutz der Mitarbeiter – zum Beispiel durch Beweisverwertungsverbote, Funktionstrennungen und Geheimhaltungspflichten der betreuenden Kollegen. Häufig wird daher die Protokollierung von SIEM-Systemen flächendeckend nur mit Server-Agents ausgerollt und auf bestimmte Bereiche bei Client-Systemen beschränkt (z. B. das Malware-Scanning).

Abbildung 1: Erweiterter Kreis (grüne Segmente) der KRITIS-Betreiber nach „IT-Sicherheitsgesetz 2.0“

Dashboards sollten nach Möglichkeit Übersichten nur anhand von Nutzungsdaten mehrerer Nutzer anzeigen und sich nicht auf einzelne individualisieren lassen – es sei denn, diese wurden pseudonymisiert. Bei eigenen Mitarbeitern sollte man darüber hinaus auch keine Vorurteile gegenüber einzelnen Gruppen in Regelwerke gießen, um nicht gegen Diskriminierungsvorschriften zu verstoßen.

Der Zugriff auf technische Überwachungssoftware sollte auf wenige Mitarbeiter beschränkt bleiben – was wohl leider längst nicht immer der Fall ist: Einer internen Quelle aus der bayerischen Finanzverwaltung zufolge sollen fast 9000 Mitarbeiter Zugriff auf die Steuerakten des Fußballmanagers Uli Hoeneß gehabt haben, was zweifellos gegen Datenschutzbestimmungen und das Steuergeheimnis verstößt, wenn dieser Bericht richtig ist.

Technische Anforderungen

Um als Beweismittel verwendbar und geeignet zu sein, sind ebenfalls zahlreiche Anforderungen an ein SIEM-System zu stellen: Logdaten sollten so schnell wie möglich vom Quellsystem auf das SIEM-System übertragen werden, damit der Administrator des Quellsystems oder andere Personen mit (möglicherweise missbräuchlich erlangten) Zugriffsrechten keine Möglichkeit haben, diese Daten vor der Übermittlung zu manipulieren. Administratoren sind zwar meistens vertrauenswürdige Mitarbeiter, aber auch nur Menschen und als solche gegebenenfalls der Versuchung unterworfen, eigene Fehler zu vertuschen, indem sie als Beweis verfügbare Logs verändern. Auf dem SIEM-System selbst sollten alle Daten dann revisionssicher gespeichert werden – aufgrund von Art. 32 DSGVO (soweit technisch möglich) zudem in verschlüsselter Form.

Herkunft der Software

Softwaresysteme im Bereich der IT-Überwachung stammen sehr häufig aus den USA, also einem Land, in dem – zumindest aus der Sicht der Europäer – der Überwachung von Menschen und Unternehmen durch Geheimdienste sowie von Mitarbeitern durch Arbeitgeber seit vielen Jahren ein höherer Stellenwert eingeräumt wird als dem Datenschutz. Das ist nicht zuletzt US-Rechtsregeln geschuldet, zum Beispiel den Überwachungsanforderungen durch Art. 8092 ff. des Sarbanes-Oxley Act (SOA). In der Folge sind Überwachungsfähigkeiten von US-amerikanischer Sicherheitssoftware oft fast unbeschränkt und nicht immer mit EU-Datenschutzrecht sowie – vor allem in Deutschland und Österreich – oft auch nicht mit nationalen Mitbestimmungsrechten im Arbeitsverhältnis vereinbar.

Das Gleiche gilt für Softwaremodule von Drittherstellern und für Fähigkeiten (z. B. via Representational-State-Transfer-Application-Programming-Interface, REST-API) eingebundener Webservices. Manche Drittmodule sowie Funktionen von Webservices dürfen daher in der EU gar nicht oder nur eingeschränkt eingesetzt werden.

 

Autor Ulrich Emmert ist Rechtsanwalt und Partner der esb Rechtsanwälte, Vorstandsmitglied im VOI e. V. und bei der Reviscan AG, Geschäftsführer der esb data GmbH und Lehrbeauftragter für Wettbewerbs-, Urheber- und IT-Recht an der Hochschule für Wirtschaft und Umwelt in Nürtingen. Er ist Autor mehrerer Fachbücher und berät Unternehmen und Behörden sowie Betriebs- und Personalräte unter anderem zu rechtlichen sowie technischen Fragen von Security- und Überwachungssoftware. Recht Netzwerksicherheit Pflichten zu SIEM & Co.

 

Literatur

[1] Europäische Union, Richtlinie 2008/114/EG des Rates vom 8. Dezember 2008 über die Ermittlung und Ausweisung europäischer kritischer Infrastrukturen und die Bewertung der Notwendigkeit, ihren Schutz zu verbessern, in: Amtsblatt der Europäischen Union L 345, S. 75, https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32008L0114

[2] Gerichtshof der Europäischen Union (EuGH), Urteil des Gerichtshofs (Große Kammer), „Vorlage zur Vorabentscheidung – Verarbeitung personenbezogener Daten im Bereich der elektronischen Kommunikation – Vertraulichkeit der Kommunikation – Betreiber elektronischer Kommunikationsdienste – Allgemeine und unterschiedslose Vorratsspeicherung von Verkehrs- und Standortdaten – Richtlinie 2002/58/EG – Art. 15 Abs. 1 – Charta der Grundrechte der Europäischen Union – Art. 6, 7, 8 und 11 sowie Art. 52 Abs. 1 – Art. 4 Abs. 2 EUV“, Rechts- sachen C 793/19 und C 794/19, September 2022, https://curia.europa.eu/juris/documents.jsf?num=C-793/19, siehe auch https://dejure.org/dienste/vernetzung/rechtsprechung?Text=C-793/19

[3] Gerichtshof der Europäischen Union (EuGH), Der Gerichtshof bestätigt, dass das Unionsrecht einer allgemeinen und unterschiedslosen Vorratsspeicherung von Verkehrs- und Standortdaten entgegensteht, es sei denn, es liegt eine ernste Bedrohung für die nationale Sicherheit vor, Pressemitteilung, September 2022, https://curia.europa.eu/jcms/upload/docs/application/pdf/2022-09/cp220156de.pdf

Diesen Beitrag teilen: