Sandstorm und Datenschutz

Wahnsinn... Ich dachte schon, ich bin der Einzige, der sich diese Fragen stellt :-) Ich hab bereits vor einem Monat versucht exakt diese Fragen beantwortet zu kriegen und bin leider teilweise gescheitert. Aber lass uns doch kurz dort beginnen, wo wir die Fragen beantworten können:

Wo werden die Daten hingesendet:
Es gibt zwei Standorte, an welchen die Daten verarbeitet werden. Deutschland und Amerika. Wenn sich die UTM in Europa befindet, werden die Daten in Deutschland verarbeitet. Wenn sich die UTM in Amerika befindet, werden die Daten in Amerika verarbeitet. Bei allen anderen Kontinenten existiert (Gemäss Sophos) eine Logik, welche herausfindet, welches DC näher liegt, und die Daten werden dann dorthin gesendet.

Welche Datenschutzrichtlinien gelten da:
Die Datenschutzrichtlinien des jeweiligen Landes. Wikipedia und Google hilft bei Bedarf.

Wer kann die Daten einsehen:
Wer technisch die Möglichkeit hat, kann ich nicht sagen. Ich weiss jedoch dass Sophos versprochen hat, dass sich die Daten auf den Servern NUR im Memory befinden, und Niemals auf einer Festplatte abgespeichert werden.

Ich persönlich habe bzgl. dieser Sandstorm Geschichte noch eine viel interessantere Frage, die mir bislang Niemand benatworten konnte, und zwar:

WAS geschieht in dieser Sandbox genau? Gegen welche Betriebssysteme werden die die Files getestet? Auf welchen Patchständen befinden sich diese Betriebssysteme? Welche Software ist dort installiert (PDF Reader, Office etc. etc.) Momentan ist die Sandbox für mich einfach eine Blackbox, welche als Rückmeldung entweder "Unbekannte" oder "Böse" Datei als Rückmeldung gibt. Einer Blackbox kann und will ich jedoch nicht vertrauen.

Danke für die Rückmeldung, das mit dem deutschen Serverstandort klingt ja schon mal nicht so schlecht. Mal schauen, ob man das von SOPHOS auch schriftlich bekommt.

Die technischen Hintergründe würden mich natürlich auch interessieren, hier hält sich SOPHOS allerdings bislang ziemlich bedeckt. Man kann jedoch annehmen, dass die verdächtigen Dateien gegen die üblichen Systeme getestet werden. SOPHOS spricht im "Sandstorm-Datenblatt" davon, dass ausführbarer Code getestet wird. Das setzt ja zumindest voraus, dass die dafür notwendigen Betriebssysteme in der Sandbox-Umgebung auch zur Verfügung stehen. Weiterhin testet die Sandbox alle Office-Dokumente. Da es hier i.d.R. um böswillige Makros geht, muss SOPHOS also wohl MS Office vorhalten, um das sinnvoll zu testen.

Die jeweiligen Patchlevel sind allerdings schon interessant. Eine Datei, die bei einem ungepatchten Windows ein Problem verursacht, kann bei einem gepatchten ja durchaus keine Gefahr mehr sein. Allerdings bleibt es trotzdem Schadcode, den man nicht haben will. Insofern ist es sicherlich sinnvoll für SOPHOS, die maximal möglichen Schadwirkungen zu simulieren, also komplett ungepatchte Systeme zu verwenden.

Ein wenig Transparenz seitens SOPHOS wäre hier wünschenswert.

Jan

Danke für die Rückmeldung, das mit dem deutschen Serverstandort klingt ja schon mal nicht so schlecht. Mal schauen, ob man das von SOPHOS auch schriftlich bekommt.

Die technischen Hintergründe würden mich natürlich auch interessieren, hier hält sich SOPHOS allerdings bislang ziemlich bedeckt. Man kann jedoch annehmen, dass die verdächtigen Dateien gegen die üblichen Systeme getestet werden. SOPHOS spricht im "Sandstorm-Datenblatt" davon, dass ausführbarer Code getestet wird. Das setzt ja zumindest voraus, dass die dafür notwendigen Betriebssysteme in der Sandbox-Umgebung auch zur Verfügung stehen. Weiterhin testet die Sandbox alle Office-Dokumente. Da es hier i.d.R. um böswillige Makros geht, muss SOPHOS also wohl MS Office vorhalten, um das sinnvoll zu testen.

Die jeweiligen Patchlevel sind allerdings schon interessant. Eine Datei, die bei einem ungepatchten Windows ein Problem verursacht, kann bei einem gepatchten ja durchaus keine Gefahr mehr sein. Allerdings bleibt es trotzdem Schadcode, den man nicht haben will. Insofern ist es sicherlich sinnvoll für SOPHOS, die maximal möglichen Schadwirkungen zu simulieren, also komplett ungepatchte Systeme zu verwenden.

Ein wenig Transparenz seitens SOPHOS wäre hier wünschenswert.

Jan

Die Info bzgl. Deutschland als Standort gibt es schriftlich. Dies war Bestandteil der Präsentation "Sophos Sandstorm and Sophos Web Protection" an der Partnerkonferenz in Cannes. Diese Präsi ist jedoch nicht öffentlich zugänglich. Wenn du weitere Abklärungen bei Sophos tätigst, wäre es cool wenn du die Ergebnisse hier posten würdest [:)]

Hab gerade soeben ein Paper erhalten, welches demnächst veröffentlicht werden wird. 1. ist der Datenstandort in Europa offenbar nicht Deutschland sondern die Niederlande, und zweitens:

* Sophos uses Latency Based Routing (LBR) to direct suspicious customer files to the appropriate data center. This relies on the latency between the customer DNS resolver and Amazon name servers. In order to ensure suspicious files are sent to the correct data center it is important to configure your Sophos appliance to use an appropriate DNS server. Sophos appliances configured to use a Europe DNS server sends files to the Europe Sandstorm data center. Sophos appliances configured to use a US DNS server direct files to the to the US Sandstorm data center. Appliances configured with DNS servers in other locations direct files to the LBR-derived closest location of the two data centers.

Heisst, Sophos kann's also nicht garantieren, dass die Daten immer in der europäischen Sandbox landen... [:D]

Viel neues scheint es hier nicht zu geben, oder?

Im BFDI-Forum wurde das Thema auch mal angesprochen, allerdings ohne weitere Erkenntnisse:

https://www.bfdi.bund.de/bfdi_forum/showthread.php?t=6321

Demnächst (am 08.07.2016) läuft ein Webinar zum Thema UTM und Sandstorm, vielleicht kann man da ja was erfahren. Wobei das dann sicherlich auch nur wieder rechtlich nicht bindend ist.

Alles in allem derzeit noch recht unbefriedigend. Ich hoffe, SOPHOS schafft hier baldmöglichst Klarheit.

Jan

Hallo,

gibt es mittlerweile neue Informationen zum Thema Datenschutz / Sandstorm?

Sophos selbst konnte mir bis dato keine Antworten liefern. 

Hier kurz nochmal die aus meiner Sicht vorhandenen Datenschutz-Probleme:

- Bei positivem Befund werden Daten dauerhaft (zeitlich unbegrenzt) bei Sophos gespeichert.

- Sophos greift bei der Analyse auf einen "ausgewählten Technologiepartner" zurück (da ein ADV-Vertragsverhältnis zwischen Kunde und Sophos besteht, muss dieser Technologiepartner genannt werden)

- An einigen Stellen des Vertrages und der Vereinbarungen weist Sophos darauf hin, dass der Kunde als Auftraggeber

für das Einholen der Einwilligung zur Datenweitergabe verantwortlich ist. (was er ja gar nicht kann, wenn ihm externe Dritte E-Mails zusenden)

Des weiteren stehen in der EULA Formulierungen wie:

„Falls der Lizenznehmer Sophos Malwareproben oder sonstiges Material zur Überprüfung übermittelt,

muss der Lizenznehmer vor der Übermittlung alle regulierten Gesundheits- und Zahlkartendaten entfernen...“

Im Ernstfall würde uns die Datenschutzaufsichtsbehörde fragen, wie wir das sicherstellen können. (können wir nicht)

Die Probleme betreffen ja nicht nur Sophos, sondern viele weitere Hersteller ebenfalls. Nur konnte mir bisher keiner eine entsprechende Antwort liefern.

Wie geht ihr im Moment mit dieser Problematik um?

Grüße Toto

Mich treibt das Thema DSGVO und ADV zur Sandbox auch gerade um. Auf folgender Seite fand ich einen Link zur ADV

Ist diese Version eigentlich aktuell? Direkt bei Sophos habe ich bisher nichts gefunden.

Beste Grüße

Alex

Irgendwie schade, dass dieses Thema so wenig Aufmerksamkeit erfährt.

Laut dieser Seite gibt es wohl bald ein neues RZ in Frankfurt, somit ist man auch auf den Brexit vorbereitet.

https://utm-shop.de/information/news-co/neues-sophos-sandstorm-rechenzentrum-in-frankfurt

Voraussetzung wird wohl Version 9.7 sein.

Alex

Ein Kunde kann mit Sophos einen AV abschließen. Das wäre dann ein Vertrag von Kunde zu Sophos. (AV = ADV = AVV) .

Dort einfach auf einen Sophos Ansprechpartner zukommen. 

Wichtige Links: https://community.sophos.com/kb/en-us/124228

https://www.sophos.com/en-us/legal/product-privacy-info.aspx#Sandstorm

https://www.sophos.com/en-us/legal/data-processing-addendum.aspx

https://community.sophos.com/kb/en-us/124231

https://www.sophos.com/en-us/legal/sophoslabs-information-security-policy.aspx