Oft kommt bei Mitarbeitern die Frage auf, welche persönlichen Daten das eigene Unternehmen oder Dienstleister für sicherheitsrelevante Zwecke speichert und weiterverarbeitet und ob dieser Vorgang rechtens ist.

Im Sicherheitsumfeld gibt es einen bestimmten Punkt, bei dem ein Frühwarnsystem (z.B. Security Operations Center) mit pseudonymisierten Informationen durch Korrelation aus der reinen Erkennung einen Incident melden kann. Sobald dieser Punkt erreicht ist, muss ein Security Team wissen welcher technischer Benutzeraccount dadurch kompromittiert ist, um den Vorfall genauer untersuchen zu können. Es kann somit im Falle eines kritischen Vorfalls, gezielt nach dem Ursprung oder der Ursache des Problems gesucht und somit weiteren Schaden für das Unternehmen verhindert werden.

Es ist somit unumgänglich bei Netzwerk- und Sicherheitssystemen Daten aufzuzeichnen, die personenbezogene Daten beinhalten.

Der Artikel 6 der DSGVO legt Gründe fest, wann die Verarbeitung dieser Daten rechtmäßig ist. Der ausschlaggebende Punkt für das oben genannte Szenario wird in Art. 6 Abs. 1 S.1 lit. f DSGVO genannt: Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.“

Erwägungsgrund 49 EG (49) S. 2 DSGVO enthält die zusätzliche Anmerkung:

„Die Verarbeitung von personenbezogenen Daten durch Behörden, Computer-Notdienste (Computer Emergency Response Teams – CERT, beziehungsweise Computer Security Incident Response Teams – CSIRT), Betreiber von elektronischen Kommunikationsnetzen und -diensten sowie durch Anbieter von Sicherheitstechnologien und -diensten stellt in dem Maße ein berechtigtes Interesse des jeweiligen Verantwortlichen dar, wie dies für die Gewährleistung der Netz- und Informationssicherheit unbedingt notwendig und verhältnismäßig ist, d.h. soweit dadurch die Fähigkeit eines Netzes oder Informationssystems gewährleistet wird, mit einem vorgegebenen Grad der Zuverlässigkeit Störungen oder widerrechtliche oder mutwillige Eingriffe abzuwehren, …“

Es wird klargestellt, dass die Verarbeitung personenbezogener Daten zur Gewährleistung der Sicherheit und Schutz der Assets eines Unternehmens „unbedingt notwendig und verhaltensmäßig ist.

Bei der abtis wird hierfür Splunk genutzt. Mit Splunk ist es möglich eine große Menge an maschinell erstellen Daten aus den meisten Quellen zu speichern, in Echtzeit zu korrelieren und grafisch aufzubereiten, um sie in Form von Dashboards für den Benutzer zu veranschaulichen. Der Zugriff auf die gespeicherten sicherheitsrelevanten Daten, muss durch ein rollenbasiertes Zugangssteuerung (RBAC) eingeschränkt werden. Lediglich Mitarbeitern des Security-Teams wird der Zugriff auf diese Daten gewährt.

Redakteur: Henrik Knape (Technology Engineer)