· Neue Analyse von KPMG in Zusammenarbeit mit RSA gibt Hinweise zur Anwendung von Security-Monitoring-Systemen in Unternehmensnetzwerken
· Unternehmen in Deutschland, die ein Monitoring-Verfahren einsetzen, unterliegen strengen Datenschutz- und Privatsphäre-Richtlinien
· Das White Paper stellt einen rechtlichen Rahmen für drei mögliche Einsatzszenarien von RSA Security Analytics vor
Reguläre perimeterbasierte Schutzmaßnahmen wie Firewalls sowie Anti-Viren-Programme reichen für eine effektive Identifikation und Abwehr von sogenannten „Advanced Threats“ nicht mehr aus. Somit bietet RSA Security Analytics hierfür ein Monitoring-System für diverse Kommunikationskanäle.
In der Praxis ist die gesetzeskonforme Anwendung des Systems für Sicherheitsbeauftragte eines Unternehmens jedoch oft kompliziert. Das liegt daran, dass sich in Deutschland Arbeitgeber, die auf Sicherheitslösungen setzen, u.a. an strenge Datenschutzgesetze wie das Bundesdatenschutzgesetz (BDSG) und das Telekommunikationsgesetz (TKG) halten müssen und bei Verstößen gegebenenfalls dem Strafgesetzbuch (StGB) unterliegen.
Um Unternehmen deutlich zu machen, wie sie ihre Datensicherheit auf dem neuesten Technologiestand bringen und dabei gleichzeitig die entsprechenden rechtlichen Vorgaben und Richtlinien in vollem Umfang einhalten können, werden im Report drei Szenarien zur Verwendung von RSA Security Analytics geschildert:
1. Der private Gebrauch der Kommunikationssysteme des Unternehmens im betreffenden Unternehmen ist erlaubt.
In dem Fall, dass Arbeitnehmer die Kommunikationssysteme für private Zwecke nutzen dürfen oder die Nutzung toleriert wird, unterliegt der Arbeitgeber dem Telekommunikationsgesetz. RSA Security Analytics speist gescannte Daten aus den Internet-Gateways direkt in den Arbeitsspeicher ein, um Anomalien nahezu in Echtzeit ausfindig zu machen. Erst im nächsten Schritt, bei der Speicherung auf Festplatte, wäre es aber technisch möglich, die Daten aufzuschlüsseln und personenbezogene Daten zu erheben. Hier kann RSA Security Analytics gewährleisten, dass eine Erhebung personenbezogener Daten ausgeschlossen wird und nicht stattfindet. Ohne personenbezogene Daten wird die weitere Verarbeitung zu Reports und Analysen nach den Maßgaben des TKG möglich, solange die Daten nur zur Ermittlung eines Missbrauchs der Systeme genutzt werden.
2. Der private Gebrauch von Kommunikationssystemen des Unternehmens ist generell verboten.
Ist den Mitarbeitern die private Nutzung der IT untersagt, so unterliegt das Unternehmen mit Blick auf die Mitarbeiterkommunikation nicht dem Telekommunikationsgesetz. Dennoch gilt das Bundesdatenschutzgesetz, sobald personenbezogene Daten verarbeitet werden. Es ist dann Aufgabe von Sicherheitsbeauftragtem, Datenschutzbeauftragtem und Unternehmensleitung, gegen die Belange des Einzelnen abzuwägen, ob die personenbezogene Datenerfassung zur Sicherheit des Unternehmens zwingend erforderlich ist. In diesem Fall ist RSA Security Analytics grundsätzlich nutzbar.
3. Der private Gebrauch der Kommunikationssysteme des Unternehmens ist verboten und überwachte Daten enthalten keine personenbezogenen Informationen.
Sofern keine personenbezogenen Daten in die Analyse involviert sind, unterliegen sämtliche Funktionen und Features von RSA Security Analytics weder den Maßgaben für den Schutz personenbezogener Daten nach dem Telekommunikations- noch dem Bundesdatenschutzgesetz.
Jörg Asma, Partner, Head of Technology & Business Services bei KPMG:
„Die rechtliche Situation in Deutschland ist oft für Sicherheits- und Datenschutzbeauftragte eines Unternehmens komplex und deren Analyse entsprechend zeitaufwändig. RSA Security Analytics verfügt aber über weitreichende Konfigurationsmöglichkeiten, um die Privatsphäre der Mitarbeiter gemäß deutschem Recht zu schützen.“
Roger Scheer, Regional Director RSA Germany:
„Im heutigen IT-Zeitalter dienen Monitoring-Systeme dazu, Cyber-Angriffe abzuwehren und somit Unternehmenswerte und Mitarbeiterinformationen vor Verlust zu schützen. Gleichzeitig hat aber der Schutz der Privatsphäre von Mitarbeitern oberste Priorität. Die Studie mit KPMG zeigt einen rechtlichen Rahmen auf, wie Organisationen gleichzeitig Netzwerksicherheit und Privatsphäre mit Tools wie RSA Security Analytics gewährleisten können.“