Fast klingt es nach dem alten Vorurteil, Datenschutz sei Täterschutz, wenn Vortragsthemen des ACDC-Projektteams "Is privacy stopping us from defeating cyber crime?" oder "Privacy concerns and legal boundaries in the fight against botnets" lauten. Immerhin ist ACDC, das Advanced Cyber Defence Centre, ein EU-Projekt, das ein europäisches Zentrum für Cyber Defence aufbauen und den Schutz vor Botnetzen stärken soll. Wenn der Datenschutz der Abwehr von Cybercrime und Bot-Attacken Grenzen auferlegt, scheint dies zu weit zu gehen.
Grundsätzlich geht es dem Datenschutz aber um den Schutz der Daten, wenn die Verarbeitung, Speicherung und Nutzung der Daten nicht durch Datenschutzgesetze, andere Rechtsvorschriften oder die Einwilligung der Betroffenen erlaubt ist. Ist eine Rechtsgrundlage vorhanden, dürfen personenbezogene Daten natürlich genutzt und ausgewertet werden.
Die Frage ist, ob ein EU-Projekt zur Botnetz-Erkennung und -Abwehr und allgemeiner eine Plattform zur Erkennung von IT-Bedrohungen eine Rechtsgrundlage zur Verarbeitung personenbezogener Daten hat. Diese Frage musste sich nicht nur das Projekt ACDC stellen, sondern jeder Nutzer einer Security-Intelligence-Lösung muss dies vorab klären.
Risiken bei Gefahrenabwehr beachten
Die deutschen Aufsichtsbehörden für den Datenschutz warnen vor Datenrisiken bei der Gefahrenabwehr, nicht nur, wenn diese durch Unternehmen erfolgt, sondern auch bei der staatlichen Strafverfolgung. In ihrer Entschließung "Big Data zur Gefahrenabwehr und Strafverfolgung: Risiken und Nebenwirkungen beachten" stellen die Datenschützer heraus, dass die Gefahr fehlerhafter Prognosen stets vorhanden ist, mit erheblichen Auswirkungen auf die dabei in Verdacht geratenen Personen. Es bestehe das Risiko, dass die Analysesysteme die Daten aus einem ganz anderen Zusammenhang verwenden, denen kein gefährdendes oder strafbares Verhalten zu Grunde liegt.
Bei einem Projekt wie ACDC kommt ein weiterer datenschutzrelevanter Punkt hinzu: Die Abwehr von Internetgefahren, wie sie Botnetze darstellen, kann ebenso wenig auf nationale Grenzen beschränkt werden wie die Erkennung möglicher Angriffe. Personenbezogene Daten, zu denen unter anderem IP-Adressen nach gängiger Rechtsmeinung gezählt werden, werden in verschiedenen Ländern erhoben, über Grenzen hinweg übertragen und dann in einem oder mehreren der beteiligten Länder ausgewertet.
Das ACDC-Projekt ist auf den EU-Raum beschränkt, Security-Intelligence-Plattformen vieler Anbieter jedoch nicht. Spätestens seit dem Safe-Harbor-Urteil sollte endgültig klar sein, dass die Datenübermittlung in Drittstaaten eine neue Rechtsgrundlage benötigt. Die deutschen Aufsichtsbehörden für den Datenschutz hatten dies bereits zuvor mehrfach gefordert.
Vor ungeprüften Datenübermittlungen sei gewarnt
Bei Lösungen wie Security Intelligence aus der Cloud oder SIEM as s Service (Security Information and Event Management) stellen Unternehmen Daten für die Security-Analyse durch einen Anbieter bereit. Wenn sich personenbezogene Daten wie ungekürzte IP-Adressen oder andere Nutzerinformationen darunter befinden, muss sichergestellt sein, dass die Daten auch tatsächlich nach den Datenschutz-Prinzipien verarbeitet werden.
- IP-Filter
Die SIEM-Lösung zeigt unter anderem an, von welcher IP-Adresse aus zu bestimmten Zeiten auf bestimmte Daten (in diesem Fall aus einer IRC-Verbindung) zugreifen. - Gefahrenquellen
Es werden Daten über laufende Programme und Web-Services erhoben. - Art des Traffics
Über welche Protokolle und Web-Services welcher Datenverkehr fließt, lässt sich ebenfalls nachvollziehen.
Dazu gehört insbesondere die Zweckbindung oder im Fall der Security-Analyse der Besonderen Zweckbindung. Demnach dürfen personenbezogene Daten, die ausschließlich zu Zwecken der Datenschutzkontrolle, der Datensicherung oder zur Sicherstellung eines ordnungsgemäßen Betriebes einer Datenverarbeitungsanlage gespeichert werden, nur für diese Zwecke verwendet werden.
Damit personenbezogene Daten bei Security-Analysen geschützt werden können, sollten verschiedene Funktionen bei der Security-Intelligence-Plattform verfügbar sein: Personenbezogene Daten sollen - wenn technisch möglich - bereits vor den Analyse anonymisiert oder pseudonymisiert werden (Datenmaskierung). Werden personenbezogene Daten übertragen, sollten diese zum Beispiel durch Verschlüsselung und andere Formen des Zugangs- und Zugriffsschutzes vor unbefugter Nutzung bewahrt werden.
Die Security-Intelligence-Plattform sollte zudem ein Berechtigungs- und Rollensystem aufweisen und das Vier-Augen-Prinzip unterstützen, um den Zugriff auf personenbezogene Daten zu kontrollieren und zu begrenzen. Bekannt sein muss zudem, wer für den Datenschutz bei der Plattform verantwortlich ist, wer Datenschutzbeauftragter ist, zu welchem genauen Zweck die Daten verarbeitet werden sollen, welche Art von Daten betroffen ist, an wen die Daten übermittelt werden sollen, wann die Daten gelöscht werden und wie sie geschützt werden sollen.
Besondere Beachtung muss dem Fall geschenkt werden, dass personenbezogene Daten zum Zwecke der Security-Analyse Grenzen überschreiten sollen. Im Fall des ACDC-Projektes fanden umfangreiche Datenschutz-Überlegungen und -Analysen statt, um den Rechtsrahmen für die Botnetz-Erkennung und -Abwehr ermitteln zu können. Das ist auch für andere Security-Intelligence-Anwendungen erforderlich, ganz besonders dann, wenn eine Datenübermittlung an einen Drittstaat, wie zum Beispiel in eine US-Cloud, geplant ist.