Austausch von Security Intelligence mit Nebenwirkungen
Die Internetkriminellen agieren global, entsprechend muss auch die Erkennung und Abwehr länderübergreifend möglich sein. "Nur zusammen und über Ländergrenzen hinweg können wir Cyberkriminalität erfolgreich bekämpfen", so zum Beispiel Jens-Philipp Jung, Geschäftsführer von Link11, anlässlich der Partnerschaft mit dem Advanced Cyber Defence Centre (ACDC).
Dementsprechend machen auch die Initiativen Sinn, Security-Intelligence innerhalb eines Netzwerkes auszutauschen und so die Basis für die Bedrohungserkennung zu optimieren. Beispiele für einen solchen Threat-Intelligence-Austausch sind IBM X-Force Exchange, das CrowdStrike Intelligence Exchange (CSIX) Program sowie McAfee Global Threat Intelligence, wobei Bedrohungsdaten von Drittanbietern sowie sogenannte STIX-Dateien mit lokal erfassten Daten aus Sicherheitslösungen der Nutzer kombiniert werden. STIX steht dabei für Structured Threat Information eXpression und stellt ein Austauschformat für Security Intelligence dar. Innerhalb der Informationen zum sogenannten Threat Actor können Identitätsinformationen zu einem Angreifer enthalten sein.
Foto: IBM
Bevor Unternehmen Security-Intelligence-Daten mit einem entsprechenden Netzwerk austauschen oder an einem Anbieter übertragen, der an einer Austausch-Plattform teilnimmt, sollte geklärt sein, dass das Datenschutzniveau gewahrt bleibt und keine personenbezogenen Daten unerlaubt in Drittstaaten oder anderweitig übermittelt werden. Da mit einer steigenden Zahl an Security-Intelligence-Plattformen und Austauschnetzwerken zu rechnen ist, kann nicht einfach davon ausgegangen werden, dass der Datenschutz grundsätzlich dem EU-Standard entspricht.
Die European Union Agency for Network and Information Security (ENISA) stellte im Rahmen des "ENISA Workshop on EU Threat Landscape" im Februar 2015 anschaulich dar, worin die Unterschiede bei dem Austausch von Security-Intelligence- oder Threat-Intelligence-Daten in den USA und in der EU liegen. Während in der EU eine der treibenden Kräfte der Datenschutz ist und die Grundlage durch die Datenschutzgesetze gebildet wird, stammt die rechtliche Basis für den Austausch von Threat Intelligence in den USA aus dem Bereich "Homeland Security", also nationale Sicherheit.
- Weite Bedrohungslandschaft
Ohne Security Intelligence wird es schwierig, der Vielfalt an IT-Bedrohungen effektiv zu begegnen. Der Bericht ENISA Threat Landscape 2014 zeigt eine breite Front an möglichen Angriffen. - Unternehmen sind unterlegen
IT-Sicherheitsverantwortliche berichten mehrheitlich (59 Prozent), dass ihre IT-Sicherheit den raffinierten Angreifern gegenüber unterlegen ist. - ... wollen sich aber wehren
Die raffinierten Attacken werden als größte Herausforderung für die IT-Sicherheit angesehen. - Security Intelligence hilft
Mit Security Intelligence kann die Abwehr raffinierter Attacken verbessert werden. Dazu werden zahlreiche Datenquellen ausgewertet; die Ergebnisse der Sicherheitsanalysen stehen dann verschiedenen Bereichen der IT-Sicherheit zur Verfügung, nicht nur die Abwehr, sondern auch vorbeugende Maßnahmen profitieren. - Großes Wehklagen
Unternehmen beklagen, dass sie nicht genug über mögliche Schwachstellen wissen. Hier können Security-Intelligence-Lösungen helfen und den Patchmanagement-Prozess optimieren. - Software-Tools
Security-Intelligence-Plattformen liefern Entscheidungsgrundlagen für das IT-Sicherheitsmanagement. - Risiken verwalten
Security Intelligence hilft bei der Bewertung der Risiken, die mit digitalen Identitäten verbunden sind. - Falsche Identitäten erkennen
Mit Security Intelligence lassen sich betrügerische Aktivitäten besser erkennen, bei denen zum Beispiel gefälschte Identitäten eingesetzt werden. - Malware und Phishing verhindern
Security Intelligence hilft bei der Erkennung von Malware, schädlichen Web-Seiten und Phishing-Attacken. - Auch mobil auf dem Laufenden
Die Bewertung des Risikos durch mobile Apps wird durch Security-Intelligence-Lösungen unterstützt.
Für Unternehmen in Deutschland und in der EU sind die Datenschutzgesetze die Leitlinien, auch wenn es um die Erkennung und Abwehr von IT-Bedrohungen geht. Datenschutzfreundliche Lösungen auf dem Markt zeigen, dass Security Intelligence und Datenschutz nicht nur vereinbar sind, sondern nach EU-Verständnis zwingend zusammengehören.
Checkliste: Datenschutz bei Security Intelligence
Grundlage jeder Nutzung und Lösung im Bereich Security- oder Threat-Intelligence müssen die Datenschutzgesetze sein (Bundesdatenschutzgesetz (BDSG), geplante EU-Datenschutzgrundverordnung (EU-DSGVO).
Die Besondere Zweckbindung von sicherheitsrelevanten Informationen muss gewahrt bleiben.
Personenbezogene Daten Unbeteiligter (also unschuldiger Nutzer) dürfen nicht gefährdet werden.
Die Speicherung von Daten muss die Prinzipien der Erforderlichkeit und Datensparsamkeit beachten.
Die Betroffenenrechte sind zu wahren (wie das Recht auf Auskunft über gespeicherte Daten).
Die Daten sind nach dem Stand der Technik zu schützen.
Datenübermittlungen müssen vorab geprüft werden und benötigen eine definierte Rechtsgrundlage (Drittstaaten). (sh)
- Was Unternehmen zur EU-Datenschutzreform beachten müssen
Es ist wohl nur noch eine Frage von Wochen und Monaten, bis die neue EU-Datenschutzverordnung in Kraft tritt. Was bedeutet das für die Unternehmen? Was müssen sie wissen? Marco Schmid, Country Manager DACH beim Webhoster Rackspace, gibt Tipps. - Einwilligung
Unternehmen müssen sicherstellen, dass sie über eine unmissverständliche Einwilligung zur Verarbeitung personenbezogener Daten verfügen, sowohl von Kunden als auch von Mitarbeitern. Von dieser Neuerung sind vor allem Firmen im Consumer-Bereich betroffen, die alle Daten aus ihren Kunden-Datenbanken löschen müssen, für die kein Einverständnis vorliegt. So ist es beispielsweise nicht zulässig, die Daten von Frau Mustermann, die vor zehn Jahren Socken für ihren Mann gekauft hat, weiterhin zu speichern. Marketingabteilungen müssen zukünftig in der Lage sein, Anfragen von Kunden zu berücksichtigen, die um die Löschung ihrer persönlichen Daten bitten oder wollen, dass ihre Daten nicht weiter genutzt werden. - "Recht auf Vergessen"
Die meisten Unternehmen konzentrieren sich erfolgreich darauf, Daten zu sammeln – aber die wenigsten darauf, sie auch wieder aus ihren Systemen zu löschen. Dies wird eine Herausforderung für viele Firmen, sobald Googles „Recht auf Vergessen“ zum Tragen kommt. Eventuell ist die Anonymisierung von Daten eine Alternative für Unternehmen, die es sich leisten können. - Technische und organisatorische Maßnahmen
Ein weiterer wichtiger Aspekt ist die Sicherheit der IT-Systeme vor ungewollten Zugriffen. Setzen Unternehmen geeignete Kontrollen ein, um Kunden- und Personaldaten zu schützen – und das solange es erforderlich ist und ohne dass die Gefahr eines unbeabsichtigten Verlusts entsteht? Ist überhaupt bekannt, warum solche Daten gespeichert werden – geschieht es einfach nur wegen der legitimen Absicht, sie weiter zu verarbeiten? Indem Unternehmen diese Fragen beantworten, bereiten sie sich technisch und organisatorisch auf die Einführung der neuen Datenschutz-Verordnung vor. - Anzeige bei Verstößen
Unternehmen, die Daten verarbeiten, sind dazu verpflichtet, Verstöße gegen die Datensicherheit den zuständigen Datenschutz-Behörden und den Betroffenen innerhalb von 72 Stunden zu melden, wenn der Verstoß zu hohen Risiken führt. Daher müssen Unternehmen zuverlässige Reaktionsprozesse zum Incident Management etablieren, mit denen sie dieser Verpflichtung nachkommen können. - Umsetzung und Strafen
Wenn ein Unternehmen aus irgendeinem Grund gegen die Datenschutz-Verordnung verstößt, kann die zuständige Behörde eine Strafe von bis zu einer Million Euro oder zwei Prozent des jährlichen Umsatzes fordern.