Datenschutzinformationen zum Security Operations Center (SOC)

Die Universität Hamburg (UHH) möchte Ihnen hiermit ergänzende Informationen zur Verarbeitung Ihrer personenbezogenen Daten bei der Nutzung des Netzwerks der UHH zur Verfügung stellen.

Verantwortlicher im Sinne der DSGVO für die Verarbeitungen ist die UHH als Körperschaft des öffentlichen Rechts. Die Kontaktdaten lauten:

Universität Hamburg

vertreten durch den Präsidenten

Mittelweg 177
20148 Hamburg
praesident"AT"uni-hamburg.de

Zur Erkennung, Analyse und Abwehr von Cyberbedrohungen für die IT-Infrastruktur und IT-Dienste der UHH betreibt die UHH ein Security Operations Center (SOC).

Ein SOC ist eine zentrale Einheit in einer Organisation, die rund um die Uhr alle IT-Systeme überwacht, um Cyberangriffe und Sicherheitsvorfälle frühzeitig zu erkennen, zu analysieren und darauf zu reagieren. Das Verfahren dient zur Herstellung einer umfassenden Sichtbarkeit im Hinblick auf mögliche Cyberangriffe in den Netzwerken, auf der IT-Infrastruktur und den Endgeräten der UHH. Zudem dient es der Aufbereitung, Aggregierung, Anreicherung von Daten und deren Darstellung in einem Portal als Arbeitsgrundlage für das UHH-SOC. Hierfür ist es notwendig, bestimmte personenbezogene Daten der Nutzer:innen zu verarbeiten. An großen zentralen Netzwerkknoten werden dazu Datenströme auf verdächtige Muster untersucht und bei Erkennung eines Verdachtsfalls wird als Ergebnis einer Verarbeitungskette die UHH hierüber benachrichtigt.

Zudem werden die Log-Daten verschiedener Services des  Rechenzentrums der UHH (RRZ) eingespeist. Das SOC erfasst zur automatisierten Verarbeitung Log-Daten (wie z.B. erfolgreiche oder erfolglose Loginversuche, Berechtigungsänderungen, Attributänderungen, System- und Netzwerk-Events etc.). Die konkreten erfassten Log-Daten können je nach System variieren. So werden beispielsweise bei Windows-Systemen andere Log-Events erfasst, als bei Dateiablagen oder Netzwerksystemen. Die Daten durchlaufen dabei eine Reihe von Systemen. Sie werden teilweise in dem jeweiligen Ursprungssystem (z.B. Endpoint-Protection-Lösungen/Anti-Virus-Software auf dem Endgerät) oder in dem zentralen Security Information and Event Management System (Tenzir), dem SOAR System des SOC Dienstleisters oder dem Langzeitspeichersystem (Graylog) ausgewertet. Im Falle von Auffälligkeiten (durch die automatisierte Erkennung) werden diese an die zuständigen Systemverantwortlichen zur konkreten Analyse weitergegeben.

Die für die IT-Sicherheit verwendeten, teils personenbezogenen Daten, werden unter Einhaltung der gesetzlichen Vorgaben auch für Zwecke der wissenschaftlichen Forschung verwendet. Die IT-Sicherheitsforschung beschäftigt sich u.a. mit der Frage, wie IT-Infrastrukturen besser vor Cyber-Angriffen geschützt werden können. Damit soll eine langfristige, kontinuierliche Verbesserung von präventiven und reaktiven Maßnahmen erreicht und Risiken gemindert werden. Zur Erreichung dieser Ziele ist es geplant, unter Einhaltung der gesetzlichen Vorgaben Datensätze mit anderen Kooperationspartnern zu teilen, um einerseits Angriffe gemeinsam besser und schneller erkennen zu können, andererseits wird an der Weiterentwicklung der eingesetzten Technologien gearbeitet. Hierzu gehören Partner aus der Wissenschaft sowie internationale Kooperationspartner aus dem universitären Bereich, um einen Rund-um-die-Uhr-Betrieb des SOC sicherzustellen. Zur Erkennung von Angriffen und für die Erprobung der Methoden ist es wichtig, diese auch mit Daten aus einer echten Systemumgebung zu testen, um zu ermitteln, inwieweit sich (Abwehr-) Methoden in einer realen Umgebung verhalten.

Eine Leistungs- und Verhaltenskontrolle von Mitarbeitenden ist hierdurch nicht erlaubt. Die bei den hier beschriebenen Verarbeitungen anfallenden Daten dürfen grundsätzlich nicht zur Begründung von dienst- und/oder arbeitsrechtlichen Maßnahmen verwendet werden. Ausnahmsweise ist dies bei einem (auch zufällig entstandenem) konkreten Verdacht zur Aufklärung von Missbrauchstatbeständen (Dienstvergehen, Verletzung arbeitsvertraglicher Pflichten oder strafbarer Handlungen) zulässig. Der auslösende Sachverhalt und insbesondere die Grundlagen für den konkreten Verdacht sind zu dokumentieren.

Fragen zur nachfolgend beschriebenen Datenverarbeitung können Sie richten an:

Universität Hamburg
Schlüterstr. 70
20146 Hamburg

Markus Böttger
rrz-serviceline"AT"uni-hamburg.de

Darüber hinaus erreichen Sie zu allen Fragen zu Datenverarbeitungen der UHH die/den Datenschutzbeauftragte/n unter:

Datenschutzbeauftragte/r der Universität Hamburg
Mittelweg 177
20148 Hamburg
dsb"AT"uni-hamburg.de

Die personenbezogenen Daten werden für folgende Zwecke verarbeitet:

Zwecke der Verarbeitung sind die Überwachung, das Erkennen, die Analyse und die Abwehr von Cyberbedrohungen für die IT-Infrastruktur und IT-Dienste der UHH.

Damit auch eine kontinuierliche Verbesserung von präventiven und reaktiven Maßnahmen erreicht und Risiken gemindert werden können, kann auch eine Weiterverarbeitung der personenbezogenen Daten für wissenschaftliche Zwecke erfolgen, um die langfristige Weiterentwicklung der notwendigen Dienste sicherzustellen.

Die UHH ergreift diese Maßnahmen zur Erkennung und Prävention von Cyberbedrohungen, um die Funktion der IT-Infrastruktur und IT-Dienste aufrechtzuerhalten und zu verbessern. Dies dient dazu, die Erfüllung der gesetzlichen Aufgaben der UHH dauerhaft sicherzustellen (Art. 6 Abs. 1 Buchst. e) DSGVO). Teilweise bestehen konkrete gesetzliche Verpflichtungen zur Durchführung bestimmter Maßnahmen, die Rechtsgrundlage der dafür notwendigen Datenverarbeitungen sind (Art. 6 Abs. 1 Buchst. c) DSGVO, § 6 Abs. 1 Hamburgisches Datenschutzgesetz (HmbDSG), Art. 32 DSGVO).

Im Verhältnis zu den Mitarbeitenden sind die Verarbeitungen zur Sicherstellung der Funktionsfähigkeit der IT-Infrastruktur und der IT-Dienste daneben zur Durchführung des Arbeitsverhältnisses erforderlich (Art. 6 Abs. 1 Buchst. b) DSGVO, § 10 Abs. 1-3 HmbDSG, §§ 85 bis 92 Hamburgisches Beamtengesetz (HmbBG)), da die Netzwerknutzung integraler Bestandteil der Aufgabenerfüllung für alle Arbeitsbereiche ist.

Personenbezogene Daten, die die UHH auf Basis der vorgenannten Rechtsgrundlagen erhoben hat, kann die UHH zudem grundsätzlich auch zu weiteren Zwecken verarbeiten, soweit ein solcher Wechsel des Zweckes gesetzlich erlaubt ist. Hierfür werden ggf. notwendige Garantien für Ihre Rechte geschaffen, bspw. die Anonymisierung oder Pseudonymisierung der Datensätze.

Die Weiterverarbeitung kann insbesondere erfolgen zum Zwecke wissenschaftlicher oder historischer Forschung, zu Zwecken der Statistik (vgl. § 11 Abs. 1 und 2 HmbDSG sowie § 6 Abs. 2 Nr. 9 HmbDSG und Art. 89 DSGVO). Zudem ist eine Veränderung des ursprünglichen Zwecks unter den Bedingungen des § 6 Abs. 2 Nrn. 1-9 HmbDSG möglich. Auch kann eine Weiterverarbeitung nach Art. 6 Abs. 4 DSGVO i.V.m. Art. 89 DSGVO zu im öffentlichen Interesse liegenden Archiv- oder wissenschaftlichen Forschungszwecken, insbesondere auch zur technologischen Entwicklung, Demonstration, für die Grundlagen-, angewandte-  und/oder privat finanzierte Forschung, für Studien zur öffentlichen Gesundheit und zur Schaffung eines europäischen Raums der Forschung erfolgen (vgl. ErwGr. 159 zur DSGVO).

Derzeit findet eine Verarbeitung auf diesen Grundlagen für eine Weiterverarbeitung bereits vorhandener personenbezogener Daten durch Forschende an der UHH statt. Informationen über Cyberangriffe sollen in Form der eingangs beschriebenen Verdachtsfälle in Zukunft auch pseudonymisiert mit den eingangs genannten Kooperationspartnern geteilt werden. Soweit aus den Auswertungen der Kooperationspartner Erkenntnisse entstehen, die für die IT-Sicherheit der UHH von Bedeutung seien können, können die verwendeten Daten auch an die UHH in angereicherter Form zurückfließen.

Es werden folgende Kategorien personenbezogener Daten verarbeitet:

• Kommunikations- und Authentifizierungsdaten (Anmelde-, Protokoll- und Netzwerkdaten der aller Netzwerknutzer sowie weitere bei der Verwendung des SOC anfallende Daten speziell zu den dort aktiven Administratoren)
  • Anmeldedaten: Benutzername
  • Authentifizierungsdaten: Passwort oder 2FA
• Netzwerkdaten: Zeitpunkt und Dauer von Netzwerkverbindungen, Genutzte IP-Adressen und Ports übertragene Datenmengen, URls ausgeführte Netzwerkprotokolle und Befehle)

Die personenbezogenen Daten werden an folgende Empfänger / Kategorien von Empfängern übermittelt:

Tenzir GmbH, Nagelsweg 41, 20097 Hamburg

Die UHH setzt für das Erkennen von Angriffen auf ihre Netzwerkstruktur eine Datenintegrations- und Automatisierungsplattform und mehrere Sensoren des Auftragsverarbeiters Tenzir ein. Die Auftragsverarbeiter unterliegen den Weisungen der UHH.

Es ist derzeit nicht geplant, Ihre personenbezogenen Daten an ein Drittland/eine internationale Organisation zu übermitteln. Soweit im Rahmen von zukünftigen Forschungskooperationen auch Forschungspartner aus dem nicht-europäischen Ausland in die Weiterentwicklung des SOC einbezogen werden, wird die Übermittlung von Daten ausschließlich in anonymisierter Form erfolgen. Das bedeutet, dass die Empfänger der Daten keinen Personenbezug mehr herstellen können.

Die personenbezogenen Daten werden für folgende Dauer gespeichert:

Die Speicherung der personenbezogenen Daten im SOC der UHH erfolgt regelmäßig für bis zu 13 Monate, um die rückwirkende Verfügbarkeit der Ereignisberichte bspw. bei jährlich auftretenden, normalen Belastungsspitzen im Netzwerk (Immatrikulationszeitraum, Semesterstart) oder jährlichen Häufungen von Angriffen (derzeit häufig im zeitlichen Zusammenhang mit bundesweiten Feiertagen) sicherzustellen. Die Speicherfrist richtet sich dabei nach der Bedeutung der Daten für die IT-Sicherheit. Teilbestände werden bereits nach 30 Tage gelöscht. Im konkreten Einzelfall kann eine Weiterspeicherung bis zu 18 Monaten erfolgen.

Im Rahmen der derzeit stattfindenden Übermittlungen an ein Forschungsprojekt innerhalb der UHH werden die übermittelten Daten für zwölf Monate gespeichert und laufend gelöscht. Nach Projektende ist beabsichtigt, alle zu diesem Zeitpunkt noch verfügbaren Daten drei Monate nach Projektende zu löschen.

Sie haben folgende Rechte:

a.        Recht auf Auskunft

Sie haben nach Art. 15 DSGVO ein Auskunftsrecht gegenüber dem Verantwortlichen.

b.       Recht auf Berichtigung

Sie können nach Art. 16 DSGVO die Berichtigung fehlerhafter Daten vom Verantwortlichen verlangen.

c.        Recht auf Löschung

Sie haben ein Recht auf Löschung Ihrer personenbezogenen Daten bzw. ein „Recht auf Vergessenwerden“ nach Art. 17 DSGVO gegenüber dem Verantwortlichen.

d.       Recht auf Einschränkung der Verarbeitung

Sie haben das Recht, vom Verantwortlichen die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten nach Art. 18 DSGVO zu verlangen.

e.     Recht auf Widerspruch

f.     Recht auf Beschwerde

Sie haben das Recht, Beschwerde gegen die Verarbeitung Ihrer personenbezogenen Daten bei einer zuständigen Datenschutz-Aufsichtsbehörde zu erheben.

Version 1, Stand 15.12.2025