Network Detection and Response (NDR) ist eine zunehmend wichtige Komponente der Netzwerksicherheit, um Sicherheitsvorfälle möglichst frühzeitig im Netzwerk erkennen und abwehren zu können. NDR sucht nach ungewöhnlichem Systemverhalten, indem es Verhaltensanalysen auf Netzwerkverkehrsdaten anwendet.

Das Analystenhaus Gartner zum Beispiel empfiehlt Sicherheits- und Risikomanagementverantwortlichen, „NDR als Schlüsselanbieter für KI-Analysen stärker zu priorisieren“.

Wenn es aber um Verhaltensanalysen und den Einsatz von künstlicher Intelligenz geht, sollte man die Vorgaben des Datenschutzes und damit die Datenschutz-Grundverordnung (DSGVO) nicht vergessen. Der Grund: NDR betrifft nicht nur Daten ohne Personenbezug.

Für den Datenschutz sind Verhaltensanalysen, Erstellen von Nutzerprofilen und der Einsatz von KI grundsätzlich Themen, die Datenrisiken in sich tragen können. Deshalb fordert die Datenschutz-Grundverordnung auch in solchen Fällen eine Datenschutz-Folgenabschätzung (DSFA), bevor entsprechende Verfahren zum Einsatz kommen.

NDR bietet umfassende Einblicke in Netzwerkaktivitäten. Diese Transparenz beinhaltet Einblicke in das Benutzerverhalten, Geräteinteraktionen und die Anwendungsnutzung. Dies bietet Kontext, der für eine effektive Bedrohungserkennung und -reaktion von entscheidender Bedeutung ist.

Datenschutzfolgen auch bei NDR bestimmen

Die Datenschutzaufsichtsbehörden haben eine Liste von Verfahren veröffentlicht (PDF), für die eine DSFA verpflichtend ist. Auch wenn dort NDR nicht explizit zu finden ist, geht es darin um Verfahren, die bei NDR zum Tragen kommen: „Zentrale Aufzeichnung der Aktivitäten (z.B. Internetverkehr, Mailverkehr) am Arbeitsplatz mit dem Ziel, von Seiten des Verantwortlichen unerwünschtes Verhalten (z.B. Versand interner Dokumente) zu erkennen“.

Gewertet wird diese Sicherheitsmaßnahme als „umfangreiche Verarbeitung von personenbezogenen Daten über das Verhalten von Beschäftigten, die zur Bewertung ihrer Arbeitstätigkeit derart eingesetzt werden können, dass sich Rechtsfolgen für die Betroffenen ergeben oder diese Betroffenen in anderer Weise erheblich beeinträchtigt werden“.

Dabei will der Datenschutz die Sicherheitsmaßnahme an sich nicht etwa verhindern, wie erwähnt, gehören Sicherheitsmaßnahmen zwingend zum Datenschutz. Doch es gibt Grenzen für Sicherheitsmaßnahmen wie NDR. Es darf nicht möglich sein, alle Aktivitäten der Nutzer zu überwachen und die Analysen zum Beispiel für Leistungskontrollen zu missbrauchen.

Da bei vielen NDR-Lösungen auch KI-basierte Verfahren genutzt werden, müssen auch die Datenschutzfolgen von KI bewertet werden, bevor ein Einsatz von entsprechenden NDR-Lösungen stattfindet.

Auch KI wird in der Liste der Verfahren genannt, die eine DSFA notwendig machen, aus gutem Grund, denn der Datenschutz sieht in entsprechenden Analysen die Gefahr einer „Zusammenführung von personenbezogenen Daten aus verschiedenen Quellen und der Verarbeitung der so zusammengeführten Daten“ in großem Umfang und für Zwecke, für welche nicht alle der zu verarbeitenden Daten direkt bei den betroffenen Personen erhoben wurden, sowie die Anwendung von Algorithmen, die für die betroffenen Personen nicht nachvollziehbar sind.

Bevor also die für die Netzwerksicherheit so wichtige NDR-Lösung eingeführt wird, müssen die Datenschutzfolgen bestimmt und Datenrisiken minimiert werden. Dazu gehört insbesondere die Verwendung von Pseudonymen für die Nutzer und die sichere Trennung der Pseudonyme und der echten Nutzerdaten, so dass nur bei begründetem Anlass (wie konkreter Verdacht einer Insiderattacke) und nach festgelegtem Verfahren (wie Vier-Augen-Prinzip) die Identität des betreffenden Nutzers aufgedeckt wird. Nur dann wird NDR wirklich zu einer Stütze des Datenschutzes und kein mögliches Datenrisiko.