Rechtliche Grenzen für die Netzwerküberwachung mit NDR

Network Detection and Response hilft dem Datenschutz

Nun ist NDR nicht nur eine wichtige Komponente der Netzwerksicherheit, auch der Datenschutz kann davon profitieren. Aus gutem Grund hat zum Beispiel der Europäische Datenschutzbeauftragte (EDPS) erklärt: „Man kann Cybersicherheit nicht getrennt vom Datenschutz betrachten. Gemeinsam bieten sie ein wirkungsvolles Paket ergänzender Maßnahmen und Instrumente zum Schutz der persönlichen Daten und der Privatsphäre des Einzelnen sowie des digitalen Ökosystems der EU als Ganzes“.

Diese Aussage zur Bedeutung der Cybersicherheit für den Datenschutz gilt ebenso für die Netzwerksicherheit und für Network Detection and Response. Dennoch ist auch NDR ein zweischneidiges Schwert für den Datenschutz. Bei NDR werden auch Nutzerdaten gesammelt und ausgewertet, um ungewöhnliche Aktivitäten im Netzwerk erkennen und abwehren zu können.

NDR kann aber selbst zum Datenrisiko werden

Die Relevanz für den Datenschutz bei NDR wird schnell sichtbar, wenn man sich die Funktionen von Lösungen für Network Detection and Response ansieht:

NDR-Lösungen bringen sicherheitsrelevante Zusammenhänge ans Licht und korrelieren Ereignisse über einen bestimmten Zeitraum, Benutzer und Anwendungen hinweg, um den Zeit- und Arbeitsaufwand für Untersuchungen drastisch zu reduzieren.

NDR-Lösungen verwenden eine Kombination aus Signaturen oder Regeln und fortschrittlichen Algorithmen, um bekannte Bedrohungen, abnormale Muster oder Anzeichen einer Malware-Infektion zu identifizieren. Zu den anomalen Aktivitäten, die NDR-Systeme identifizieren können, gehören ungewöhnliche Datenübertragungen, verdächtiges Benutzerverhalten oder auch Datenexfiltration.

NDR bietet umfassende Einblicke in Netzwerkaktivitäten. Diese Transparenz beinhaltet Einblicke in das Benutzerverhalten, Geräteinteraktionen und die Anwendungsnutzung. Dies bietet Kontext, der für eine effektive Bedrohungserkennung und -reaktion von entscheidender Bedeutung ist.

NDR ist effektiv bei der Identifizierung ungewöhnlichen Benutzerverhaltens, das auf Insider-Bedrohungen oder kompromittierte Konten hinweisen kann. Durch die Überwachung von Benutzeraktivitäten und das Festlegen von Basiswerten für normales Verhalten können NDR-Tools Abweichungen erkennen, die auf böswillige Absichten oder unbefugten Zugriff hinweisen können.

Um verdächtiges Benutzerverhalten aufdecken zu können, müssen auch NDR-Lösungen einen Normalzustand ermitteln, also unter anderem netzwerkbezogene Nutzeraktivitäten über einen längeren Zeitraum protokollieren und auswerten. Dabei helfen Verfahren aus dem Bereich maschinelles Lernen, die dank Mustererkennung schnell Abweichungen vom Normalverhalten erkennen können.

Für den Datenschutz sind Verhaltensanalysen, Erstellen von Nutzerprofilen und der Einsatz von KI grundsätzlich Themen, die Datenrisiken in sich tragen können. Deshalb fordert die Datenschutz-Grundverordnung auch in solchen Fällen eine Datenschutz-Folgenabschätzung (DSFA), bevor entsprechende Verfahren zum Einsatz kommen.

Datenschutzfolgen auch bei NDR bestimmen

Die Datenschutzaufsichtsbehörden haben eine Liste von Verfahren veröffentlicht (PDF), für die eine DSFA verpflichtend ist. Auch wenn dort NDR nicht explizit zu finden ist, geht es darin um Verfahren, die bei NDR zum Tragen kommen: „Zentrale Aufzeichnung der Aktivitäten (z.B. Internetverkehr, Mailverkehr) am Arbeitsplatz mit dem Ziel, von Seiten des Verantwortlichen unerwünschtes Verhalten (z.B. Versand interner Dokumente) zu erkennen“.

Gewertet wird diese Sicherheitsmaßnahme als „umfangreiche Verarbeitung von personenbezogenen Daten über das Verhalten von Beschäftigten, die zur Bewertung ihrer Arbeitstätigkeit derart eingesetzt werden können, dass sich Rechtsfolgen für die Betroffenen ergeben oder diese Betroffenen in anderer Weise erheblich beeinträchtigt werden“.

Dabei will der Datenschutz die Sicherheitsmaßnahme an sich nicht etwa verhindern, wie erwähnt, gehören Sicherheitsmaßnahmen zwingend zum Datenschutz. Doch es gibt Grenzen für Sicherheitsmaßnahmen wie NDR. Es darf nicht möglich sein, alle Aktivitäten der Nutzer zu überwachen und die Analysen zum Beispiel für Leistungskontrollen zu missbrauchen.

Da bei vielen NDR-Lösungen auch KI-basierte Verfahren genutzt werden, müssen auch die Datenschutzfolgen von KI bewertet werden, bevor ein Einsatz von entsprechenden NDR-Lösungen stattfindet.

Auch KI wird in der Liste der Verfahren genannt, die eine DSFA notwendig machen, aus gutem Grund, denn der Datenschutz sieht in entsprechenden Analysen die Gefahr einer „Zusammenführung von personenbezogenen Daten aus verschiedenen Quellen und der Verarbeitung der so zusammengeführten Daten“ in großem Umfang und für Zwecke, für welche nicht alle der zu verarbeitenden Daten direkt bei den betroffenen Personen erhoben wurden, sowie die Anwendung von Algorithmen, die für die betroffenen Personen nicht nachvollziehbar sind.

Bevor also die für die Netzwerksicherheit so wichtige NDR-Lösung eingeführt wird, müssen die Datenschutzfolgen bestimmt und Datenrisiken minimiert werden. Dazu gehört insbesondere die Verwendung von Pseudonymen für die Nutzer und die sichere Trennung der Pseudonyme und der echten Nutzerdaten, so dass nur bei begründetem Anlass (wie konkreter Verdacht einer Insiderattacke) und nach festgelegtem Verfahren (wie Vier-Augen-Prinzip) die Identität des betreffenden Nutzers aufgedeckt wird. Nur dann wird NDR wirklich zu einer Stütze des Datenschutzes und kein mögliches Datenrisiko.