KPMG und RSA geben Hinweise zum richtigen Security-Monitoring

Rechtliche Implikationen beim Einsatz von IT-Monitoring-Systemen

| Redakteur: Ulrike Ostler

Die Architektur von RSA Security Analytics, aus dem KPMG/RSA-Whitepaper: "The Legal Implications of Using Deep Security Monitoring in Germany & France "(siehe: Kasten)
Die Architektur von RSA Security Analytics, aus dem KPMG/RSA-Whitepaper: "The Legal Implications of Using Deep Security Monitoring in Germany & France "(siehe: Kasten) (Bild: RSA Security)

Unternehmen in Deutschland, die ein Security-Monitoring-Verfahren einsetzen, unterliegen strengen Datenschutz- und Privatsphäre-Richtlinien. Das Beratungsunternehmen KPMG hat in Zusammenarbeit mit RSA diese anlysiert und bietet anhand von drei mögliche Einsatzszenarien Hinweise für die konforme Verwendung von „RSA Security Analytics“.

Jörg Asma, Partner, Head of Technology & Business Services bei KPMG, sagt: „Die rechtliche Situation in Deutschland ist oft für Sicherheits- und Datenschutzbeauftragte eines Unternehmens komplex und deren Analyse entsprechend zeitaufwändig. RSA Security Analytics verfügt aber über weitreichende Konfigurationsmöglichkeiten, um die Privatsphäre der Mitarbeiter gemäß deutschem Recht zu schützen.“

Die Anforderungen an die Informationssicherheit verschärfen sich durch rasant ansteigende Vernetzung, neue Technologien und zunehmende Bedrohungen. Reguläre perimeterbasierte Schutzmaßnahmen wie Firewalls sowie Anti-Viren-Programme reichen für eine effektive Identifikation und Abwehr von sogenannten „Advanced Threats“ nicht mehr aus. Somit bietet RSA Security Analytics hierfür ein Monitoring-System für diverse Kommunikationskanäle.

In der Praxis ist die gesetzeskonforme Anwendung des Systems für Sicherheitsbeauftragte eines Unternehmens jedoch oft kompliziert. Das liegt daran, dass sich in Deutschland Arbeitgeber, die auf Sicherheitslösungen setzen, unter anderem an strenge Datenschutzgesetze wie das Bundesdatenschutzgesetz (BDSG) und das Telekommunikationsgesetz (TKG) halten müssen und bei Verstößen gegebenenfalls dem Strafgesetzbuch (StGB) unterliegen.

Die drei typischen Fälle

Um Unternehmen deutlich zu machen, wie sie ihre Datensicherheit auf dem neuesten Technologiestand bringen und dabei gleichzeitig die entsprechenden rechtlichen Vorgaben und Richtlinien in vollem Umfang einhalten können, werden im Report drei Szenarien zur Verwendung von RSA Security Analytics geschildert:

  • 1. Der private Gebrauch der Kommunikationssysteme des Unternehmens im betreffenden Unternehmen ist erlaubt.

In dem Fall, dass Arbeitnehmer die Kommunikationssysteme für private Zwecke nutzen dürfen oder die Nutzung toleriert wird, unterliegt der Arbeitgeber dem Telekommunikationsgesetz. RSA Security Analytics speist gescannte Daten aus den Internet-Gateways direkt in den Arbeitsspeicher ein, um Anomalien nahezu in Echtzeit ausfindig zu machen.

Erst im nächsten Schritt, bei der Speicherung auf Festplatte, wäre es aber technisch möglich, die Daten aufzuschlüsseln und personenbezogene Daten zu erheben. Hier kann RSA Security Analytics gewährleisten, dass eine Erhebung personenbezogener Daten ausgeschlossen wird und nicht stattfindet. Ohne personenbezogene Daten wird die weitere Verarbeitung zu Reports und Analysen nach den Maßgaben des TKG möglich, solange die Daten nur zur Ermittlung eines Missbrauchs der Systeme genutzt werden.

Ergänzendes zum Thema
 
Das Whitepaper zu RSA Security Analytics
  • 2. Der private Gebrauch von Kommunikationssystemen des Unternehmens ist generell verboten.

Ist den Mitarbeitern die private Nutzung der IT untersagt, so unterliegt das Unternehmen mit Blick auf die Mitarbeiterkommunikation nicht dem Telekommunikationsgesetz. Dennoch gilt das Bundesdatenschutzgesetz, sobald personenbezogene Daten verarbeitet werden.

Es ist dann Aufgabe von Sicherheitsbeauftragtem, Datenschutzbeauftragtem und Unternehmensleitung, gegen die Belange des Einzelnen abzuwägen, ob die personenbezogene Datenerfassung zur Sicherheit des Unternehmens zwingend erforderlich ist. In diesem Fall ist RSA Security Analytics grundsätzlich nutzbar.

  • 3. Der private Gebrauch der Kommunikationssysteme des Unternehmens ist verboten und überwachte Daten enthalten keine personenbezogenen Informationen.

Sofern keine personenbezogenen Daten in die Analyse involviert sind, unterliegen sämtliche Funktionen und Features von RSA Security Analytics weder den Maßgaben für den Schutz personenbezogener Daten nach dem Telekommunikations- noch dem Bundesdatenschutzgesetz.

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Kommentar abschicken

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 42357224 / Software)