Cloud
Hohe Sicherheit und Datenverarbeitung nach DSGVO
Wollen Unternehmen einen Cloud-Service für die Cybersicherheit einsetzen, so müssen sie diesen auch aus datenschutzrechtlichen Gesichtspunkten bewerten. Wir zeigen, wie etwa der Cloud-Service Trend Vision One mit den Anforderungen der DSGVO umgeht.
Trend Vision One und die integrierte Sicherheitsfunktion „eXtended Detection and Response (XDR) folgen dem Software as a Service (SaaS)-Modell und sind somit Cloud-Services. Sie unterstützen Anwender dabei, ihre individuelle Bedrohungslage zu analysieren, identifizierte Risiken und Bedrohungen für die Cybersicherheit des Unternehmens abzuwehren und automatisierte Gegenmaßnahmen zu definieren.
Dafür bedarf es einer Vielzahl von Telemetriedaten, die Trend Micro-Sensoren und bei Bedarf auch Drittanbieter-Lösungen auf unterschiedlichen Ebenen der Umgebung erhalten. XDR sammelt und korreliert Informationen aus den übermittelten Sensordaten der angeschlossenen Schutzprodukte wie bspw. E-Mail, Endpunkte, Server, Cloud-Workloads und Netzwerke des Unternehmens hinweg.
Im Rahmen der Bedrohungserkennung und Angriffsabwehr müssen wiederum personenbezogene Daten, etwa zu Art und Herkunft der Bedrohung, URL, IP-Adresse oder E-Mail-Adresse des Angreifers, angegriffene Endpunkte sowie verdächtige Web-Aktivitäten von Nutzern oder verdächtige Dateien erhoben und für eine begrenzte Zeit gespeichert werden.
DSGVO-Compliance beim Einsatz von Cybersicherheitslösungen
Eine solche Datenverarbeitung muss dem datenschutzrechtlichen Grundsatz der Rechtmäßigkeit der Datenverarbeitung, wie ihn die DSGVO vorschreibt, gerecht werden. Ob eine solche Erhebung und Verarbeitung personenbezogener Daten aus Gründen der Cybersicherheit zur Verhinderung von Betrug oder zum Schutz vor Angriffen auf die IT-Infrastruktur von Unternehmen datenschutzrechtlich zulässig ist, wird im Rahmen einer Interessenabwägung ermittelt.
Die DSGVO führt explizit aus, dass die Verarbeitung von personenbezogenen Daten durch Anbieter von Sicherheitstechnologien und -diensten ein berechtigtes Interesse des jeweiligen verantwortlichen Unternehmens darstellt, wie dies für die Gewährleistung der Netz- und Informationssicherheit unbedingt notwendig und verhältnismäßig ist. Ein solches „berechtigtes Interesse“ besteht beispielsweise darin, den Zugang Unbefugter zu elektronischen Kommunikationsnetzen und die Verbreitung schädlicher Programmcodes zu verhindern sowie Denial-of-Service-Angriffe und Schädigungen von Computer- und elektronischen Kommunikationssystemen abzuwehren. Damit ist die Erhebung, Verarbeitung und Speicherung personenbezogener Daten durch Trend Vision One und XDR datenschutzrechtlich zulässig.
Technische und organisatorische Maßnahmen
Diesen Anforderungen wird der Cloud-Service und XDR vor allem dadurch gerecht, dass er einen mehrschichtiger Ansatz der Bedrohungserkennung verfolgt, bei dem der Netzwerkdatenverkehr, E-Mails oder Dateien (z.B. ausführbare potenziell schädliche Dateitypen) des Unternehmens weitestgehend automatisiert und ohne menschliche Einfluss- und Kenntnisnahme auf Schadsoftware und Angriffe überprüft und analysiert werden. Eine nähere individuelle Überprüfung geschieht lediglich bei unbekannten Bedrohungen und wird durch autorisierte Sicherheitsverantwortliche des Kunden oder von Sicherheitsexperten von Trend Micro im Auftrag des Kunden vorgenommen. Zudem werden soweit möglich lediglich Metadaten verarbeitet. Letztlich liegt es aber in der Verantwortung des Kunden als datenschutzrechtlich „Verantwortlicher“, die Abwägung der Interessen des Unternehmens einerseits und der betroffenen Personen andererseits beim Einsatz von Cybersicherheitslösungen vorzunehmen.
Wenn also im Rahmen der IT-Compliance und Cybersecurity personenbezogene Daten im für die zur Bedrohungserkennung und Angriffsabwehr erforderlichen Umfang erhoben und verarbeitet werden, werden also die Interessen der betroffenen Personen meist nicht überwiegen, so dass eine solche Datenverarbeitung durch das Unternehmen rechtmäßig ist.
Im Rahmen ihrer Rechenschaftspflicht müssen Unternehmen sowohl geeignete technische und organisatorische Maßnahmen zur Sicherstellung der Vertraulichkeit und Integrität der Systeme, Dienste und personenbezogenen Daten als auch die Rechtmäßigkeit der im Rahmen der Cybersecurity-Maßnahmen vorgenommenen Datenverarbeitung sicherstellen und dokumentieren.
Trend Micro hat umfassende geeignete Maßnahmen gem. Art. 32 DSGVO getroffen:
- zur Pseudonymisierung und Verschlüsselung personenbezogener Daten
- zur Gewährleistung fortlaufender Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit von Verarbeitungssystemen und -diensten
- zur Gewährleistung der Fähigkeit, die Verfügbarkeit personenbezogener Daten und den Zugriff darauf im Falle eines physischen oder technischen Ereignisses rechtzeitig wiederherzustellen
- zum regelmäßigen Testen, zur Einschätzung und Bewertung der Wirksamkeit technischer und organisatorischer Maßnahmen, um die Sicherheit bei der Verarbeitung zu gewährleisten
- zur Nutzeridentifizierung und -autorisierung
- zum Schutz personenbezogener Daten während der Übertragung
- zum Schutz personenbezogener Daten während der Speicherung
- zur Gewährleistung der physischen Sicherheit von Orten, an denen personenbezogene Daten verarbeitet werden
- zur internen IT und IT Security Governance und Verwaltung sowie
- zur Gewährleistung von Datenminimierung, Datenqualität, begrenzter Speicherdauer, Rechenschaftspflicht, Datenübertragbarkeit und Löschung.
Der Anbieter hat eine ineinandergreifende Vertragsstruktur von Datenverarbeitungsverträgen mit seinen Kunden, innerhalb der Trend Micro-Unternehmensgruppe und mit seinen Unterauftragnehmern bzw. Unterauftragsverarbeitern – insbesondere AWS und Microsoft Azure – geschaffen, durch die sichergestellt wird, dass der Kunde seine Rechte als datenschutzrechtlich „Verantwortlicher“ ausüben kann.
Sicherheitsanforderungen C5 des BSI
Das BSI sieht es als seine Aufgabe an, sowohl Anbietern wie auch Anwendern Hilfen an die Hand zu geben, sodass Cloud Computing sicher angeboten und genutzt werden kann. Eine dieser Anwendungshilfen ist der Kriterienkatalog C5 (Cloud Computing Compliance Criteria Catalogue). Der Kriterienkatalog C5 spezifiziert Mindestanforderungen an sicheres Cloud Computing und richtet sich in erster Linie an professionelle Cloud-Anbieter, deren Prüfer und Kunden. Er stellt für Cloud-Kunden eine wichtige Orientierung für die Auswahl eines Cloud-Anbieters dar und bildet die Grundlage, um ein kundeneigenes Risikomanagement durchführen zu können.
Trend Micro hat im Januar 2023 das Testat nach den Kriterien des C5:2020-Standards erhalten. Das C5-Testat von Trend Micro zeigt, dass „Trend Vision One“ die im Kriterienkatalog C5 spezifizierten Mindestanforderungen an sicheres Cloud Computing erfüllt.
Eine ausführliche Darstellung der rechtlichen Seite der Compliance-Aspekte sowie des C5-Testats finden Interessierte in unserem Whitepaper zum Thema.