Datenschutz: Überblick

Document created by RSA Information Design and Development on May 9, 2018
Version 1Show Document
  • View in full screen mode
 

In diesem Thema werden Überlegungen zum Konzept und zur Implementierung für einen Datenschutzbeauftragten oder Administrator behandelt, der den Umgang mit datenschutzrelevanten Daten in RSA NetWitness® Suite managt. Außerdem enthält es Informationen zu empfohlenen Anwendungsbeispielen.

Hinweis: Ein Datenschutzplan hat Auswirkungen auf fast alle Komponenten von NetWitness Suite. Die Person, die für die Konfiguration des Datenschutzes zuständig ist, muss die NetWitness Suite-Netzwerkkomponenten kennen, die Konfiguration von NetWitness Suite-Hosts und -Services verstehen, die im Leitfaden für die ersten Schritte mit Hosts und Services beschrieben sind, und wissen, welche Arten von Informationen geschützt werden müssen.

Behördliche Vorschriften in einigen Regionen, zum Beispiel in der Europäischen Union (EU), sehen vor, dass Informationssysteme über Einrichtungen zum Schutz von datenschutzrelevanten Daten verfügen müssen. Daten, aus denen sich direkt oder indirekt ableiten lässt, „wer was wann getan hat“, sind als datenschutzrelevante Daten zu betrachten. Dazu zählen beispielsweise auch Benutzernamen, E-Mail-Adressen und Hostnamen. NetWitness Suite bietet eine Reihe an Steuerungsmechanismen, die Kunden zum Schutz von datenschutzrelevanten Daten nutzen können. Diese Steuerungsmechanismen können in einer Vielzahl an Kombinationen zum Schutz der datenschutzrelevante Daten eingesetzt werden, ohne dass die Analysefunktionen signifikant beeinträchtigt werden.

Eine neue Benutzerrolle für den DPO (Data Privacy Officer, Datenschutzbeauftragter) wurde in NetWitness Suite 10.5 hinzugefügt, um das Management von datenschutzrelevanten Daten zu unterstützen. Der DPO kann NetWitness Suite durch eine Kombination verschiedener Techniken so konfigurieren, dass die Risikoexposition von Metadaten und Rohdateninhalten (Pakete und Protokolle) beschränkt wird. In NetWitness Suite werden folgende Methoden für den Schutz von Daten angewendet:

  • Datenverschleierung
  • Steuerung der Datenaufbewahrung
  • Auditprotokollierung

Datenverschleierung

NetWitness Suite verfügt über konfigurierbare Optionen für die Datenverschleierung. Datenschutzbeauftragte und Administratoren können festlegen, welche Metaschlüssel in der Umgebung datenschutzrelevant sind, und einschränken, an welcher Stelle im NetWitness Suite-Netzwerk die Metawerte und Rohdaten für diese Schlüssel angezeigt werden. Statt der Originalwerte kann NetWitness Suite verschleierte Darstellungen zu Ermittlungs- und Analysezwecken bereitstellen. Darüber hinaus können DPOs und Administratoren die Persistenz datenschutzrelevanter Metawerte und Rohdatenprotokolle oder-pakete einschränken.

Zu Implementierung der Datenverschleierung wirken drei Methoden zusammen:

  • Verschleierung von Metawerten zu datenschutzrelevanten Metaschlüsseln mit einem optionalen Salt. Als geschützt konfigurierte Metaschlüssel werden zum Zeitpunkt der Erstellung auf einem Decoder oder Log Decoder durch verschleierte Werte ersetzt. Die verschleierten Werte sind gehasht und werden als unlesbar eingestuft. Zur Implementierung müssen der Hashalgorithmus und Salt für Decoder und Log Decoder konfiguriert werden. Außerdem müssen datenschutzrelevante Sprachschlüssel auf allen Core-Services als geschützt eingerichtet werden.
  • Rollenbasierte Zugriffskontrolle (Role-based Access Control, RBAC) für den Zugriff auf die Rohdatenprotokolle oder -pakete und datenschutzrelevante Metawerte. Der DPO kann Rollen mit fein abgestimmten Rechten zuordnen, die beschränken, welche Daten ein Analyst im Gegensatz zum Data Privacy Officer während der Konfiguration, Analyse und Untersuchung anzeigen kann. Das Handbuch Systemsicherheit und Benutzerverwaltung enthält eine detaillierte Darstellung der RBAC-Implementierung in NetWitness Suite. Zur Implementierung muss die Sichtbarkeit von Metawerten und Inhalten für jede Rolle auf den einzelnen Brokers, Concentrators, Decoder, Log Decoders und Archivers konfiguriert werden.
  • Verhindern der Persistenz von datenschutzrelevanten Metawerten und Rohdatenprotokollen oder -paketen. Zur Implementierung müssen die Metaschlüssel auf Parsern für die einzelnen Decoders und Log Decoders als vorübergehend konfiguriert werden.

Steuerung der Datenaufbewahrung

NetWitness Suite ermöglicht es, Daten nur so lange aufzubewahren, wie dies erforderlich oder vorgegeben ist. Ein Administrator kann die Datenaufbewahrung mithilfe von Alters- und Zeitschwellenwerten auf Pro-Service-Basis konfigurieren. Auf jedem Service ausgeführte Planer löschen automatisch Daten, die diese Schwellenwerte erreichen. Einmal gelöscht, sind die Daten nicht länger in Benutzeroberflächen, Abfragen oder API-Aufrufen (Application Programming Interface) verfügbar. Einige Komponenten von NetWitness Suite unterstützen zudem das Löschen von Daten durch Überschreiben.

Der Administrator kann die Datenaufbewahrung auf verschiedene Weisen organisieren:

  • Konfigurieren der Verweildauer von Daten im Speicher auf dem System.
  • Für Core-Services: Konfigurieren einer automatischen Löschung von datenschutzrelevanten Daten eines bestimmten Alters, um eventuell gespeicherte sensible Daten strategisch zu entfernen.
  • Konfigurieren von NetWitness Suite in einer Weise, dass Originaldaten nicht an andere Komponenten gesendet oder darauf gespeichert werden. Falls datenschutzrelevante Daten in andere Datenbanken auf den Reporting Engine-, Malware Analysis- und NetWitness-Servern übertragen werden, kann die Datenaufbewahrung dort ebenfalls gesteuert werden. Diese Konfiguration für Event Stream Analysis wird in der Ansicht „Services-Explorer“ gemanagt.

Hinweis: Wenn der DPO in einer bestimmten Situation, nachdem das System in Funktion ist, entscheidet, dass bereits gesammelte Daten datenschutzrelevant sind, kann der Administrator diese Daten manuell in den Datenbanken oder Dateien überschreiben, in denen diese Daten gespeichert sind.

Auditprotokollierung

Administratoren können die Auditprotokolle nutzen, die NetWitness Suite mithilfe der Funktion „Globale Auditprotokollierung“ erstellt. Die Funktion zur Auditprotokollierung erzeugt Auditprotokolleinträge zu vielen Aktivitäten. Im Folgenden finden Sie Beispiele für Protokolleinträge, die für den Datenschutz relevant sind:

  • Änderungen an Berechtigungen und an den einer Rolle zugewiesenen Benutzern
  • Fehlgeschlagene und erfolgreiche An- und Abmeldeversuche bei NetWitness Suite
  • Datenlöschungen
  • Exporte und Downloads von Daten
  • Navigation von Benutzern zu Benutzeroberflächen und Abfragen, die die Benutzer durchgeführt haben
  • Versuche (erfolgreich oder fehlgeschlagen) datenschutzrelevante Daten anzuzeigen oder zu ändern, einschließlich der Identifikation des Benutzers, der diesen Versuch unternommen hat

Alle Auditprotokolleinträge sind Bestandteil des standardmäßigen Überwachungspfads für NetWitness Suite. Die Administratoren können NetWitness Suite so konfigurieren, dass Auditprotokolle an ein festgelegtes Ziel weitergeleitet werden, z. B. auch an Drittanbietersysteme, die zusätzliche Filter- und Berichterstellungsfunktionen bieten. Weitere Informationen über die globale Auditprotokollierung erhalten Sie unter Konfigurieren der globalen Auditprotokollierung im Leitfaden Systemkonfiguration.

Durch die Datenschutzfunktion abgedeckte Komponenten

In der folgenden Abbildung sind die NetWitness Suite-Komponenten, die durch die Datenschutzfunktion der Version 10.5 oder höher abgedeckt werden, mit einem grünen Häkchen gekennzeichnet. Mit einem X markierte Komponenten werden von den Datenschutzfunktionen nicht unterstützt. Der Leitfaden für die ersten Schritte mit NetWitness Suite enthält eine funktionale Beschreibung der NetWitness Suite-Komponenten.

Hinweis: Die NetWitness Suite-Datenschutzfunktionen werden für Warehouse nicht unterstützt und geschützte Metadaten können über Warehouse Connector in Warehouse gelangen. Dies kann nur durch explizites Konfigurieren der Warehouse Connector-Metadatenfilter für das Herausfiltern dieser Daten verhindert werden. Wenn geschützte Metadaten in Warehouse gelangen, können Benutzer mit direkten Zugriff auf Warehouse diese Daten abfragen. Dies muss von den Datenschutzbeauftragten durch administrative, technische und verfahrensgestützte Kontrollen außerhalb von NetWitness Suite verhindert werden.

Implementierung der Datenschutzfunktionen nach Komponente

In der folgenden Tabelle ist für jede NetWitness Suite-Komponente angegeben, welche Datenschutzfunktionen unterstützt werden. Bei jeder Komponente wird durch ein Häkchen angegeben, ob diese Datenverschleierung, Steuerung der Datenaufbewahrung, Überschreiben von Daten sowie Auditprotokollierung unterstützt.

                                                                                                         
KomponenteDatenverschleierungSteuerung der Datenaufbewahrung Überschreiben von DatenAuditprotokollierung
Datenaufnahme
Decoder Häkchen
Log Decoder
Metaaggregation
Concentrator
Broker- (nur im DPO-Cache gespeichert)1 
Echtzeitanalyse  
Investigation (nur im DPO-Cache gespeichert)2 
Event Stream Analysis   
Malware Analysis  
Reagieren  
Reporting
Reporting Engine  
Langfristige Analysen
Archiver (unkomprimiert)3
Warehouse    

Hinweis:
1. Broker können Dateien zwischenspeichern. Hier muss eine Löschung durch Konfiguration eines individuellen Rollover und anderer Entfernungsmaßnahmen aus dem Cache erfolgen. Der Administrator kann den Cache-Rollover für einen Broker mithilfe des Planers auf der Registerkarte „Dateien“ in der Ansicht „Services-Konfiguration“ konfigurieren.
2. Investigation und der NetWitness-Server speichern Daten im Cache. Diese werden automatisch alle 24 Stunden gelöscht.
3. Der in Konfigurieren der Datenaufbewahrung beschriebene Vorgang des Überschreibens gilt für nicht komprimierte Daten.

Komponentenspezifische Konfigurations-Guidelines

DieNetWitness Suite-Komponenten und -Module, die Zugriff auf datenschutzrelevante Metadaten und deren verschleierte Gegenstücke haben, sind Investigation, Event Stream Analysis (ESA), Malware Analysis, Respond und Berichte. Sie erhalten Zugriff auf Daten basierend auf den der Rolle des Benutzers zugewiesenen Berechtigungen. Der Administrator oder Datenschutzbeauftragte konfiguriert jeden Decoder oder Log Decoder zur Identifizierung der Metaschlüssel, die zur Verschleierung markiert sind.

Für diese Komponenten existieren zusätzliche Guidelines, um zu erreichen, dass sie in Kombination mit einem Datenschutzschema wie erwartet funktionieren:

  • Event Stream Analysis. Wenn ESA datenschutzrelevante Daten von NetWitness Suite Core empfängt, gibt ESA nur die verschleierte Version der Daten weiter. ESA speichert keine geschützten Daten noch zeigt es sie an. Es gibt einige zusätzliche Leitlinien für die Konfiguration erweiterter EPL-Regeln und Erweiterungsquellen (beschrieben im Thema Sensible Daten im Handbuch Versenden von Warnmeldungen mit ESA). Navigieren Sie zu Master Table of Contents für Version 11.0, um Dokumente zu NetWitness Suite 11.0 zu suchen.
  • Malware Analysis. Malware Analysis referenziert während der Bewertung bestimmte Metaschlüssel, einschließlich alias.host, client und andere. Damit keine analytischen Funktionen verloren gehen, sollte Malware Analysis als vertrauenswürdiger Client so konfiguriert werden, dass die Verbindung zur Core-Infrastruktur der NetWitness Suite mit einem Konto hergestellt wird, das einem Benutzer mit DPO-Rolle entspricht. Andernfalls können manche Indikatoren für eine Infizierung (Indicators of Compromise, IOCs) unwirksam werden, wenn von Malware Analysis referenzierte Metaschlüssel zur Verschleierung markiert werden und Malware Analysis nicht darauf zugreifen kann.
  • Antwortserver-Dienst. Antwortserver-Dienst verwendet eine Datenschutz-Zuordnungsdatei zur Anzeige verschleierter Daten in Warnmeldungen (siehe das Thema Verschleiern von privaten Daten im Benutzerhandbuch zu Respond) und bietet einen konfigurierbaren Datenaufbewahrungszeitraum für Warnmeldungen (siehe das Thema Festlegen einer Aufbewahrungsfrist für Warnmeldungen und Incidents im Benutzerhandbuch zu Respond). Navigieren Sie zu Master Table of Contents für Version 11.0, um Dokumente zu NetWitness Suite 11.0 zu suchen.
  • Reports. In Reporting Engine wird jeder Core-Service mithilfe der beiden separaten Servicekonten als zwei separate Datenquellen hinzugefügt. Eine Datenquelle hat ein Servicekonto mit DPO-Rolle, die andere Datenquelle ein Servicekonto mit einer Nicht-DPO-Rolle. Das Thema Konfigurieren des Datenschutzes für die Reporting Engine im Konfigurationsleitfaden Reporting Engine enthält Verfahren zum Konfigurieren des Datenschutzes für die Reporting Engine. Navigieren Sie zu Master Table of Contents für Version 11.0, um Dokumente zu NetWitness Suite 11.0 zu suchen.
You are here
Table of Contents > Übersicht zum Datenschutz

Attachments

    Outcomes