This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Sandstorm und Datenschutz

Hallo,


ich würde gern eine Diskussion eröffnen bzgl. der neuen Sandstorm-Funktionen und den damit entstehenden Datenschutz-Problemen.


Sandstorm überträgt ja bekanntlich alle Dateien, für die kein bekannter Hash vorhanden ist, zur Analyse an die Sandstorm-Cloud. Da können ja durchaus auch personenbezogene Daten enthalten sein. Aus meiner Sicht werden dadurch folgende Fragen aufgeworfen:

  • Wo werden die genau hingesendet?
  • Welche Datenschutzrichtlinien oder -recht gelten da?
  • Wo stehen die Server?
  • Werden die eingesandten Dateien aufbewahrt und wie lange?
  • Wer kann die Dateien einsehen?

Vielleicht hat ja jemand dazu einschlägige Erfahrungen?

Jan



This thread was automatically locked due to age.
  • Wahnsinn... Ich dachte schon, ich bin der Einzige, der sich diese Fragen stellt :-) Ich hab bereits vor einem Monat versucht exakt diese Fragen beantwortet zu kriegen und bin leider teilweise gescheitert. Aber lass uns doch kurz dort beginnen, wo wir die Fragen beantworten können:

    Wo werden die Daten hingesendet:
    Es gibt zwei Standorte, an welchen die Daten verarbeitet werden. Deutschland und Amerika. Wenn sich die UTM in Europa befindet, werden die Daten in Deutschland verarbeitet. Wenn sich die UTM in Amerika befindet, werden die Daten in Amerika verarbeitet. Bei allen anderen Kontinenten existiert (Gemäss Sophos) eine Logik, welche herausfindet, welches DC näher liegt, und die Daten werden dann dorthin gesendet.

    Welche Datenschutzrichtlinien gelten da:
    Die Datenschutzrichtlinien des jeweiligen Landes. Wikipedia und Google hilft bei Bedarf.

    Wer kann die Daten einsehen:
    Wer technisch die Möglichkeit hat, kann ich nicht sagen. Ich weiss jedoch dass Sophos versprochen hat, dass sich die Daten auf den Servern NUR im Memory befinden, und Niemals auf einer Festplatte abgespeichert werden.

    Ich persönlich habe bzgl. dieser Sandstorm Geschichte noch eine viel interessantere Frage, die mir bislang Niemand benatworten konnte, und zwar:

    WAS geschieht in dieser Sandbox genau? Gegen welche Betriebssysteme werden die die Files getestet? Auf welchen Patchständen befinden sich diese Betriebssysteme? Welche Software ist dort installiert (PDF Reader, Office etc. etc.) Momentan ist die Sandbox für mich einfach eine Blackbox, welche als Rückmeldung entweder "Unbekannte" oder "Böse" Datei als Rückmeldung gibt. Einer Blackbox kann und will ich jedoch nicht vertrauen.

    Please send me Spam gueselkuebel@sg-utm.also-solutions.ch

  • Danke für die Rückmeldung, das mit dem deutschen Serverstandort klingt ja schon mal nicht so schlecht. Mal schauen, ob man das von SOPHOS auch schriftlich bekommt.


    Die technischen Hintergründe würden mich natürlich auch interessieren, hier hält sich SOPHOS allerdings bislang ziemlich bedeckt. Man kann jedoch annehmen, dass die verdächtigen Dateien gegen die üblichen Systeme getestet werden. SOPHOS spricht im "Sandstorm-Datenblatt" davon, dass ausführbarer Code getestet wird. Das setzt ja zumindest voraus, dass die dafür notwendigen Betriebssysteme in der Sandbox-Umgebung auch zur Verfügung stehen. Weiterhin testet die Sandbox alle Office-Dokumente. Da es hier i.d.R. um böswillige Makros geht, muss SOPHOS also wohl MS Office vorhalten, um das sinnvoll zu testen.


    Die jeweiligen Patchlevel sind allerdings schon interessant. Eine Datei, die bei einem ungepatchten Windows ein Problem verursacht, kann bei einem gepatchten ja durchaus keine Gefahr mehr sein. Allerdings bleibt es trotzdem Schadcode, den man nicht haben will. Insofern ist es sicherlich sinnvoll für SOPHOS, die maximal möglichen Schadwirkungen zu simulieren, also komplett ungepatchte Systeme zu verwenden.

    Ein wenig Transparenz seitens SOPHOS wäre hier wünschenswert.

    Jan

  • Die Info bzgl. Deutschland als Standort gibt es schriftlich. Dies war Bestandteil der Präsentation "Sophos Sandstorm and Sophos Web Protection" an der Partnerkonferenz in Cannes. Diese Präsi ist jedoch nicht öffentlich zugänglich. Wenn du weitere Abklärungen bei Sophos tätigst, wäre es cool wenn du die Ergebnisse hier posten würdest [:)]

     

    Please send me Spam gueselkuebel@sg-utm.also-solutions.ch

  • Hab gerade soeben ein Paper erhalten, welches demnächst veröffentlicht werden wird. 1. ist der Datenstandort in Europa offenbar nicht Deutschland sondern die Niederlande, und zweitens:

    * Sophos uses Latency Based Routing (LBR) to direct suspicious customer files to the appropriate data center. This relies on the latency between the customer DNS resolver and Amazon name servers. In order to ensure suspicious files are sent to the correct data center it is important to configure your Sophos appliance to use an appropriate DNS server. Sophos appliances configured to use a Europe DNS server sends files to the Europe Sandstorm data center. Sophos appliances configured to use a US DNS server direct files to the to the US Sandstorm data center. Appliances configured with DNS servers in other locations direct files to the LBR-derived closest location of the two data centers.

    Heisst, Sophos kann's also nicht garantieren, dass die Daten immer in der europäischen Sandbox landen... [:D]

    Please send me Spam gueselkuebel@sg-utm.also-solutions.ch

  • Viel neues scheint es hier nicht zu geben, oder?


    Im BFDI-Forum wurde das Thema auch mal angesprochen, allerdings ohne weitere Erkenntnisse:

    https://www.bfdi.bund.de/bfdi_forum/showthread.php?t=6321

    Demnächst (am 08.07.2016) läuft ein Webinar zum Thema UTM und Sandstorm, vielleicht kann man da ja was erfahren. Wobei das dann sicherlich auch nur wieder rechtlich nicht bindend ist.

    Alles in allem derzeit noch recht unbefriedigend. Ich hoffe, SOPHOS schafft hier baldmöglichst Klarheit.

    Jan

  • Hallo,

    gibt es mittlerweile neue Informationen zum Thema Datenschutz / Sandstorm?

    Sophos selbst konnte mir bis dato keine Antworten liefern. 

    Hier kurz nochmal die aus meiner Sicht vorhandenen Datenschutz-Probleme:

    - Bei positivem Befund werden Daten dauerhaft (zeitlich unbegrenzt) bei Sophos gespeichert.

    - Sophos greift bei der Analyse auf einen "ausgewählten Technologiepartner" zurück (da ein ADV-Vertragsverhältnis zwischen Kunde und Sophos besteht, muss dieser Technologiepartner genannt werden)

    - An einigen Stellen des Vertrages und der Vereinbarungen weist Sophos darauf hin, dass der Kunde als Auftraggeber

    für das Einholen der Einwilligung zur Datenweitergabe verantwortlich ist. (was er ja gar nicht kann, wenn ihm externe Dritte E-Mails zusenden)

    Des weiteren stehen in der EULA Formulierungen wie:

    „Falls der Lizenznehmer Sophos Malwareproben oder sonstiges Material zur Überprüfung übermittelt,

    muss der Lizenznehmer vor der Übermittlung alle regulierten Gesundheits- und Zahlkartendaten entfernen...“

    Im Ernstfall würde uns die Datenschutzaufsichtsbehörde fragen, wie wir das sicherstellen können. (können wir nicht)

     

    Die Probleme betreffen ja nicht nur Sophos, sondern viele weitere Hersteller ebenfalls. Nur konnte mir bisher keiner eine entsprechende Antwort liefern.

    Wie geht ihr im Moment mit dieser Problematik um?

     

    Grüße Toto

     

  • Mich treibt das Thema DSGVO und ADV zur Sandbox auch gerade um. Auf folgender Seite fand ich einen Link zur ADV

    Ist diese Version eigentlich aktuell? Direkt bei Sophos habe ich bisher nichts gefunden.

    Beste Grüße

    Alex

    -

  • Irgendwie schade, dass dieses Thema so wenig Aufmerksamkeit erfährt.

    Laut dieser Seite gibt es wohl bald ein neues RZ in Frankfurt, somit ist man auch auf den Brexit vorbereitet.

    https://utm-shop.de/information/news-co/neues-sophos-sandstorm-rechenzentrum-in-frankfurt

    Voraussetzung wird wohl Version 9.7 sein.

    Alex

    -

  • __________________________________________________________________________________________________________________