1.
Einleitung ^
In Zusammenhang mit Sicherheitsvorfällen im Bereich der Netz- und Informationssicherheit ist es für eine effektive Bewältigung jedoch von Nöten, Informationen zu sammeln und auszutauschen, woraus sich u.a. datenschutzrechtliche Problemstellungen ergeben können. Eine besondere Rolle bei der Sammlung von relevanten Informationen und deren Austausch kommt den Computer Security Incident Response Teams (CSIRTs) zu, welche gleichsam einer Feuerwehr (Früh-)Warnungen ausgeben und im Falle von Sicherheitsvorfällen bei der Bewältigung mitwirken. Im Folgenden soll daher ein technischer Lösungsweg in Form einer Informationsplattform der CSIRTs vorgeschlagen werden, wo unter Berücksichtigung des Privacy By Design-Prinzips in kodierter Form Sicherheitsvorfälle berichtet werden.
2.
NIS-Richtlinie ^
Zunächst soll auf den einschlägigen unionsrechtlichen Rahmen im Bereich der Sicherheit von Netz- und Informationssystemen (NIS) eingegangen werden. Die Europäische Union (EU) erachtete einen umfassenden Ansatz auf Unionsebene für erforderlich, um wirksam auf die Herausforderungen im Bereich der Sicherheit von NIS reagieren zu können. Vor diesem Hintergrund wurde die Richtlinie über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen1 (NIS-Richtlinie) erlassen. Die NIS-Richtlinie ist von den Mitgliedstaaten bis zum 9. Mai 2018 in nationales Recht umzusetzen.2 Diese Umsetzung wird in Österreich durch ein in Ausarbeitung befindliches «Bundesgesetz über die Cybersicherheit» erfolgen.
Der nationale Rahmen für die Sicherheit von NIS umfasst gemäß Art. 9 weiters sogenannte Computer-Notfallteams (Computer Security Incident Response Teams – CSIRTs), wobei die Richtlinie unter dem Begriff CSIRT auch Computer Emergency Response Teams (CERTs) versteht.8 Jeder Mitgliedstaat hat ein oder mehrere CSIRTs zu benennen. Dabei kann ein CSIRT auch innerhalb einer zuständigen Behörde eingerichtet werden. Die CSIRTs sind für die Bewältigung von Risiken und Vorfällen nach einem genau festgelegten Ablauf zuständig.9
3.
Datenschutzproblematik ^
4.
Der Datenaustausch zwischen Geldwäschemeldestellen als Beispiel für eine datenschutzfreundliche Lösung? ^
Von Udo Kroon, einem der Entwickler von FIU.net, wird die Technologie als umgekehrte «Cloud» («cloud inside out») bezeichnet, da es über eine dezentralisierte Architektur verfügt, in der die Informationen physisch jeweils bei der Stelle (Behörde) verbleiben, die sie zur Verfügung stellt. Diese Architektur hat aus datenschutzrechtlicher Sicht den Vorteil, dass Speicherung, Verarbeitung und Analyse der Daten lokal stattfinden und somit eine höhere Datensicherheit gewährleistet werden kann, u.a. da sie nicht übermittelt werden müssen. Für die Behörden ist dieses Modell attraktiv, weil sie für die Verarbeitung ihrer Daten die jeweils für sie geltenden (d.h. in diesem Zusammenhang: nationalen) Rechts- und Verwaltungsvorschriften anwenden können («flexibility by design»).22
Grundlage für die Zusammenarbeit der Geldwäschemeldestellen der EU ist insbesondere der Beschluss 2000/642/JI des Rates.23 Durch die 4. Geldwäsche-Richtlinie, der die EU-Mitgliedstaaten bis 26. Juni 2017 nachzukommen haben, soll diese Kooperation weiter vertieft werden. Der österreichische Gesetzgeber ist dieser Verpflichtung durch das Finanzmarkt-Geldwäschegesetz24 bereits nachgekommen, wobei einige Bestimmungen erst am 26. Juni 2017 in Kraft treten werden.
Die 4. Geldwäsche-Richtlinie nennt FIU.net sowohl in ihren Erwägungsgründen (56) als auch im operativen Teil (Art 51, 53 und 56) explizit und verpflichtet die Mitgliedstaaten ihren Geldwäschemeldestellen, die Kommunikation über FIU.net nahe zu legen (Art 56). Dies ist grundsätzlich zu begrüßen, denn der Austausch von Daten zwischen den EU-Geldwäschemeldestellen ist auf eine datenschutzfreundliche Basis zu stellen. Alle sogenannten «Verpflichteten»25 und somit die bedeutendsten Berufsgruppen, die im Umgang mit Bargeld oder Wertgegenständen tätig sind, haben ungewöhnliche oder verdächtige Transaktionen an die FIU in ihrem Mitgliedstaat zu melden. Diese Meldungen werden von der FIU analysiert und bei Verdacht einer strafbaren Handlung an die Strafverfolgungsbehörden weitergeleitet. Insbesondere bei Kreditinstituten fallen aufgrund des Einsatzes von Software zur Erfüllung ihrer Sorgfaltspflichten (z.B. Identifikation, Abgleich der Daten von Kunden oder der wirtschaftlichen Eigentümer mit Überwachungslisten und Transaktionsüberwachung) sehr große Mengen von Daten für die Geldwäschebekämpfung an.26
Die Zahl der Verdachtsmeldungen ist in Österreich relativ gering.27 Anders sieht es jedoch in einigen anderen EU-Mitgliedstaaten aus, hauptsächlich weil aufgrund unterschiedlicher Kriterien die Verdachtsmeldungen zu erstatten sind. Besonders viele Verdachtsmeldungen (237‘431 im Jahr 2015)28 fallen z.B. in den Niederlanden an. In Anbetracht dieser Zahlen ist es verständlicher, weshalb ein System wie FIU.net und die Ma3tch-Technologie entwickelt wurde.
Durch die Ma3tch-Technologie werden personenbezogene Daten in anonymisierte Filter verwandelt. Der Filter enthält allerdings nur einen Code aus vier Zeichen, der nicht zurückverfolgt werden kann. Balboni und Macenaite beschreiben dieses Verfahren als «hashing the hash», da es grundsätzlich nicht möglich ist, die Identität der Personen hinter dem Code herauszufinden (anonymous). Welche Informationen in den Filter aufgenommen werden, wie lange der Filter gültig ist und mit wem er geteilt wird, entscheidet die Behörde, die den Filter erstellt (autonomous). Teilt FIU A seine Filter mit FIU B, kann FIU B diese Filter mit seinen lokalen Informationen integrieren, erst zu diesem Zeitpunkt können Informationen gefunden werden.
5.
Definition und Modellierung des Sicherheitsvorfalls ^
In einem Sicherheitsvorfall sind mehrere Dimensionen für die Betreiber eines CSIRT relevant, von denen einige datenschutzrechtlich schwierige Komponenten aufweisen. Zusätzlich ist auch wichtige Information enthalten, die zwar datenschutzrechtlich gesehen harmlos, für die Betreiber der jeweiligen Infrastruktur aber sehr schützenswert sind. Dies betrifft vor allem interne Abläufe sowie natürlich das Faktum einer (möglichen) Verwundbarkeit durch einen Angriff selbst.
- Absenderinformationen: Absender und Sektor einer kritischen Infrastruktur, Kontaktinformationen.
- Angriffsinformationen: Systemlevel, betroffene Komponenten, Spezifität des Angriffs (Targeted Attack oder allgemeiner Ansatz), ähnliche Ziele, Beschreibung des Angriffs (wenn vorhanden), CVE-Link (wenn Angriff schon bekannt) oder Link zu einer Angriffssoftware (falls bekannt).
- Angreiferinformationen: IP(s), Benutzernamen (intern und extern); speziell im Fall von DDOS-Angriffen (u.U. mit Amplification) kann die Liste der betroffenen IPs stark anwachsen; zusätzlich werden den IPs Zeitstempel zugewiesen, die das Intervall angeben, in dem Angriffe von der jeweiligen IP festgestellt werden konnten; E-Mail-Adressen im Fall von Phishing.
- Schadensinformationen: Potentieller bzw. eingetroffener Schaden an den Komponenten; Schätzung der ökonomischen und technischen Auswirkungen auf das Unternehmen; Informationen, welche kritischen Infrastrukturen von dem System abhängen.
6.
Datenschutzfreundliche Kodierung von Identifikatoren ^
Grundsätzlich wird jeder Identifikator für sich alleine kodiert, um eine bessere Abdeckung und Erkennung von Gemeinsamkeit zu erhalten. Dabei muss bei zusammengesetzten Identifikatoren darauf geachtet werden, dass die Teile getrennt kodiert werden, da sonst der Match extrem erschwert wird (bspw. «Name» bestehend aus «Vorname(n)» und «Nachname(n)» → Bei Verwendung einer kryptograpischen Hashfunktion H lässt H(«Vorname»||«Nachname») keine Rückschlüsse auf («Nachname»||«Vorname») zu («||» beschreibt in diesem Zusammenhang die Verknüpfung von Texten).
Der grundsätzliche Ansatz besteht darin, dass nicht die Daten ausgetauscht, bzw. in einem gemeinsamen Datenpool (je nach Sichtweise) gespeichert werden, sondern wie im Fall von Ma3tch lediglich verschlüsselte Versionen. Dabei können sowohl (sichere) kryptographische Hashfunktionen als auch ein gemeinsamer public key eingesetzt werden. Der zugehörige private key wird hingegen zur de-Anonymisierung eingesetzt.
Wichtig ist auch die Festlegung von Gültigkeitsbereichen für manche Aspekte: Während sich Namen nur selten ändern, ist dies im Fall dynamischer IP-Adressen anders. Diese sind nur in einem bestimmten Zeitraum einer bestimmten Person zugeordnet, außerhalb dieses Zeitraums daher anderen Personen, die somit bei reinem Austausch der IP-Adresse zu Unrecht verdächtigt werden würden. Um diesem Aspekt vorzubeugen, muss ein Zeitintervall mitgegeben werden, das die Gültigkeitsdauer eingrenzt. Dieses wird nicht verschlüsselt, da ein Abgleich sonst nicht (oder unter dem Einsatz homomorpher Verfahren nur sehr langsam) möglich ist.
Erzeugen zwei Nutzer den gleichen Hashwert, so haben sie ein gemeinsames Merkmal angetroffen. Allerdings kann dies auch Probleme aufwerfen: So könnte einer der Beteiligten versuchen, alle gültigen Werte der Urbildmenge (bspw. Einwohner) zu hashen und damit herauszufinden, ob ein Einwohner in einem Fall beteiligt war, ohne selbst einen derartigen Vorfall gehabt zu haben. Dazu sind zwei (alternative) Möglichkeiten vorgesehen, um dies zu unterbinden:
- Organisatorisch: Die Partner tracken mit, ob andere Partenr eine unüblich große Zahl an systematischen Abfragen durchführen.
- Technisch: Anstatt dem Hash der ganzen Information, wird nur ein Teil gehasht zur Verfügung gestellt. Der weitere Austausch erfolgt mittels eines Nonce-basierten Challenge & Response-Verfahrens, d.h. der Anfragende muss beweisen, dass er n Stellen der Information kennt. Ein wesentlicher Aspekt ist auch noch das Thema der Nachvollziehbarkeit, das technisch so gestaltet werden muss, dass auch im Fall eines Zugriffs auf die Audit&Control-Informationen aller Partner keine Information errechnet werden kann.
7.
Schlussfolgerungen ^
- 1 Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates vom 6. Juli 2016 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union, ABl L 2016/194, 1.
- 2 Art. 25 Abs. 1 NIS-Richtlinie.
- 3 Art. 1 Abs. 1 NIS-Richtlinie.
- 4 Art. 8 Abs. 1 NIS-Richtlinie.
- 5 Art. 8 Abs. 2 NIS-Richtlinie.
- 6 Art. 8 Abs. 3 NIS-Richtlinie.
- 7 Art. 8 Abs. 4 NIS-Richtlinie.
- 8 Vgl. ErwGr. 34 NIS-Richtlinie.
- 9 Art. 9 Abs. 1 NIS-Richtlinie.
- 10 Art. 9 Abs. 3 NIS-Richtlinie.
- 11 Kuratorium Sicheres Österreich, KSÖ Rechts- und Technologiedialog – Whitepaper, Version 2, Wien 2016, S. 20.
- 12 EuGH 19. Oktober 2016, C-582/14, Breyer/Deutschland.
- 13 Vgl. Art. 2 NIS-Richtlinie sowie ErwGr. 72, welcher Folgendes besagt: «Der Austausch von Informationen über Risiken und Vorfälle in der Kooperationsgruppe und im CSIRTs-Netzwerk und die Einhaltung der Verpflichtung zur Meldung von Sicherheitsvorfällen bei den zuständigen nationalen Behörden oder den CSIRTs könnte die Verarbeitung personenbezogener Daten erfordern. Diese Verarbeitung sollte mit der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates und der Verordnung (EG) Nr. 45/2001 des Europäischen Parlaments und des Rates vereinbar sein. Bei der Anwendung dieser Richtlinie sollte je nach Einzelfall die Verordnung (EG) Nr. 1049/2001 des Europäischen Parlaments und des Rates gelten.»
- 14 Vgl. ErwGr. 75.
- 15 Bundesgesetz über den Schutz personenbezogener Daten (Datenschutzgesetz 2000; DSG 2000), BGBl I 1999/165 i.d.F. BGBl I 2015/132.
- 16 Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, ABl L 1995/281, 31.
- 17 Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl L 2016/119, 1.
- 18 Diese Art des freiwilligen Informationsaustausches darf nicht verwechselt werden mit der freiwilligen Meldung i.S.d. Art. 20 NIS-Richtlinie, welche sehr wohl auf Sicherheitsvorfälle abstellt, aber auch Einrichtungen erfassen will, die nicht als Betreiber wesentlicher Dienste ermittelt wurden.
- 19 Kuratorium Sicheres Österreich (Fn. 12), S. 25 f.
- 20 Vgl. Wikipedia: https://nl.wikipedia.org/wiki/Gebruiker:FIU.NET (alle Internetquellen aufgerufen am 6. Februar 2017).
- 21 Vgl. EUROPOL, EUROPOL joins forces with EU FIUs to fight terrorist financing and money laundering, https://www.europol.europa.eu/newsroom/news/europol-joins-forces-eu-fius-to-fight-terrorist-financing-and-money-laundering.
- 22 Udo Kroon, Ma3tch: Privacy AND Knowledge, 2013 IEEE International Conference on Big Data.
- 23 Beschluss des Rates vom 17. Oktober 2000 über Vereinbarungen für eine Zusammenarbeit zwischen den zentralen Meldestellen der Mitgliedstaaten beim Austausch von Informationen, ABl L 2000/271, 4.
- 24 Bundesgesetz zur Verhinderung der Geldwäscherei und Terrorismusfinanzierung im Finanzmarkt, BGBl I 2016/118.
- 25 Z.B. Kredit- und Finanzinstitute, Wirtschaftsprüfer, Steuerberater, Notare, Rechtsanwälte, Immobilienmakler, Gewerbetreibende und Anbieter von Glücksspieldiensten.
- 26 Schweighofer, Böszörmenyi, BILETA.
- 27 Gemeldet wurden 1'255 Verdachtsfälle im Jahr 2013, 1‘507 Verdachtsfälle im Jahr 2014 und 1‘755 Verdachtsfälle im Jahr 2015 (vgl. Bundesministerium für Inneres, Geldwäschejahresbericht 2015, S. 16, http://www.bmi.gv.at/cms/BK/publikationen/files/Web_Geldwsche_2015.pdf).
- 28 FIU-Netherlands, Annual Report 2015, S. 35, http://www.fiu-nederland.nl/sites/www.fiu-nederland.nl/files/documenten/fiu_jaaroverzicht_2015_eng.pdf.
- 29 Deutscher Bundestag, Drucksache 18/6239, 2. Oktober 2015. Kleine Anfrage der Abgeordneten Andrej Hunko, Jan Korte, Wolfgang Gehrcke, weiterer Abgeordneter und der Fraktion DIE LINKE.
- 30 Kroon (Fn. 23).
- 31 Art. 14 Abs. 3 NIS-Richtlinie.
- 32 Art. 16 Abs. 3 NIS-Richtlinie.
- 33 Art. 4 Z 7 NIS-Richtlinie.
- 34 Art. 14 Abs. 4 NIS-Richtlinie.
- 35 Art. 16 Abs. 4 NIS-Richtlinie.
- 36 Art. 16 Abs. 8 NIS-Richtlinie.
- 37 Der Standard ist verfügbar unter https://stixproject.github.io/.