7. November 2016 - Datenschutz bei Sicherheitsanalysen

Warum der Standort bei Malware-Analysen eine Rolle spielt

Ein Security-Anbieter meldete kürzlich, dass er eine europäische Cloud für Malware-Analyse anbietet. Tatsächlich ist das sinnvoll. Denn die Untersuchung von Schadsoftware kann den Datenschutz betreffen.

Auch für Malware-Analysen kann der Cloud-Standort wichtig sein Es muss nicht die Cloud in der EU sein, um datenschutzkonform zu sein (Bild: Olivier Le Moal / iStock / Thinkstock)

Selbst auf IT-Sicherheitskonferenzen wird darüber diskutiert, warum IT-Sicherheitsanbieter nun darauf hinweisen, dass sie die Analysen von Schadprogrammen (Malware) innerhalb der EU durchführen.

Umso wahrscheinlich ist es, dass so manches Anwenderunternehmen die Hintergründe der folgenden Meldung nicht richtig einordnet: Dank einer in einem Rechenzentrum in den Niederlanden betriebenen EU-Cloud können europäische Unternehmen die Analysedienste für Malware nutzen und dabei den jeweiligen Datenschutzanforderungen gerecht werden, so der sinngemäße Inhalt der Meldung eines IT-Sicherheitsanbieters.

IT-Sicherheit ist mehrfach Thema für den Datenschutz

Es liegt auf der Hand, dass die zuverlässige Erkennung von Schadsoftware für den Schutz personenbezogener Daten von großer Bedeutung ist. Man denke nur daran, was unerkannte Malware mit personenbezogenen Daten anstellen kann. Die Vertraulichkeit, Verfügbarkeit und Integrität der personenbezogenen Daten ist in Gefahr, wenn Unternehmen Schadsoftware nicht erkennen und abwehren können.

Weniger auf der Hand liegt, dass die Analyse der Schadsoftware selbst ein Thema für den Datenschutz ist. Das wird jedoch klar, wenn man sich die Abläufe einer Sicherheitsanalyse vorstellt, die in einer Cloud stattfindet. Dabei bleibt festzuhalten, dass gerade die neuartigen Sicherheitsanalysen in den meisten Fällen cloudbasiert sind. Es geht also nicht um Einzelfälle oder Ausnahmen.

Verseuchte Dateien können Personenbezug haben

Unternehmen sollten sich klarmachen, dass verdächtige Dateien oder tatsächlich verseuchte Dateien nicht immer Programmdateien sind, ganz im Gegenteil. Es kann sich um Fotos von Personen genauso handeln wie um Excel-Listen mit Kundendaten oder Word-Dateien mit den Daten einer Bewerberin.

Werden nun im Rahmen eines IT-Sicherheitsdienstes die verdächtigen oder verseuchten Dateien in eine Cloud des Security-Anbieters übertragen, können personenbezogene Daten davon betroffen sein.

Somit spielt es durchaus eine Rolle, wo die cloudbasierte Sicherheitsanalyse stattfindet, ob es sich also um eine Cloud innerhalb des EU/EWR-Raums handelt oder nicht.

Bedenkt man, dass viele Anbieter von Anti-Malware-Lösungen aus Drittländern wie den USA stammen, müssen Sie somit prüfen, auf welcher Basis die Dateien in die jeweilige Analyse-Cloud übertragen werden.

Sicherheitsanalysen der IT-Aktivitäten können Nutzerdaten betreffen

Neben verseuchten oder verdächtigen Dateien können auch Protokoll- und Aktivitätsdaten zur Sicherheitsanalyse an den jeweiligen IT-Sicherheitsanbieter übertragen werden, je nachdem, welche Security-Dienste beauftragt sind.

Gerade in Verbindung mit einem cloudbasierten Echtzeit-Schutz, wie er zunehmend angeboten wird, ist es wichtig zu hinterfragen, ob Nutzerdaten an den Provider übertragen oder ob nur anonymisierte Daten bei der Sicherheitsanalyse genutzt werden.

Der eingangs erwähnte IT-Sicherheitsanbieter erläutert den Vorteil seiner EU-Cloud damit, dass europäische Unternehmen verdächtige Dateien und andere Auffälligkeiten in einer Cloud-Umgebung analysieren lassen können, die den europäischen Raum nicht verlassen.

Hinweis an den Einkauf: IT-Sicherheit muss Datenschutzvorgaben einhalten

Auch ohne EU-Cloud für Malware-Analysen können IT-Sicherheitsanbieter den Datenschutz einhalten, wenn sie zum Beispiel nur mit wirklich anonymisierten Daten arbeiten.

Der Einkauf im Unternehmen und die IT-Leitung sollten aber darauf achten, wie die Security-Anbieter der Wahl dafür Sorge tragen, dass der Datenschutz gewahrt wird, also wie er zum Beispiel sicherstellt, dass es zu keiner Datenübermittlung kommt, für die keine Rechtsgrundlage vorhanden ist.

Datenschutzbeauftragte sollten die Beschaffungsstelle im Unternehmen entsprechend informieren. Das ist umso dringlicher, als selbst IT-Sicherheitsexperten in Diskussionen gezeigt haben, dass ihnen die Problematik einer cloudbasierten Malware-Analyse aus Datenschutz-Sicht nicht offensichtlich war.

Oliver Schonschek
Oliver Schonschek ist Diplom-Physiker, Analyst und IT-Fachjournalist im Bereich IT-Sicherheit und Datenschutz.

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln