Frage stellen

Was ist Security Orchestration, Automation and Response (SOAR)?

Inhaltsverzeichnis

Security Orchestration, Automation and Response (SOAR) - Definition

Security Orchestration, Automation and Response, kurz SOAR, ist eine Klasse von Sicherheitslösungen zur Koordination operativer Abläufe, zur Automatisierung wiederkehrender Aufgaben und zur Standardisierung der Reaktion auf Sicherheitsvorfälle. Der Begriff wurde 2017 von Gartner als Verbindung von drei Bereichen etabliert: Orchestrierung, Automatisierung und Incident Response Management. In der Praxis integriert SOAR zahlreiche Systeme, führt definierte Verfahren aus und dokumentiert den Verlauf der Bearbeitung von Sicherheitsereignissen.

Im Kontext der Anonymisierung von Fotos und Videoaufnahmen ist SOAR keine Engine zur Erkennung von Gesichtern oder Kfz-Kennzeichen. Es ersetzt kein KI-Modell, das Objekte im Bild erkennt. Seine Aufgabe besteht darin, nach dem Eintreten eines bestimmten Ereignisses den richtigen Prozess zu starten, zum Beispiel nach dem Eingang eines Videos zur Analyse, nach der Feststellung eines Verstoßes gegen Datenschutzrichtlinien oder nach der Meldung einer Anforderung zur Sicherung von Beweismaterial. SOAR kann daher Prozesse rund um die Anonymisierung orchestrieren, die eigentliche Anonymisierung erfordert jedoch separate Komponenten der Bildanalyse, die in der Regel auf Deep Learning basieren.

Für Datenschutzbeauftragte ist die Unterscheidung wesentlich: SOAR steuert den Ablauf der Maßnahmen und die Prozesskontrolle, während die Erkennung von Gesichtern und Kfz-Kennzeichen durch Computer-Vision-Modelle erfolgt. In Systemen wie Gallio PRO betrifft die automatische Verpixelung Gesichter und Kfz-Kennzeichen, nicht jedoch Logos, Tätowierungen, Namensschilder, Dokumente oder Bildschirminhalte auf Monitoren. Diese Elemente können in einem separaten Prozessschritt eine manuelle Bearbeitung erfordern.

Die Rolle von SOAR bei der Anonymisierung von Fotos und Videoaufnahmen

In Umgebungen, in denen große Mengen visueller Materialien verarbeitet werden, liegt das größte Problem nicht allein in der Objekterkennung im Bild. Ebenso wichtig sind Wiederholbarkeit, Auditierbarkeit und die Kontrolle der einzelnen Prozessschritte. Genau hier kommt SOAR ins Spiel.

Im Bereich Datenschutz kann SOAR die gesamte Prozesskette koordinieren - von der Annahme einer Datei bis zu ihrer sicheren Ausgabe. Ein System dieses Typs erfüllt in der Regel folgende Funktionen:

  • Entgegennahme eines Ereignisses - zum Beispiel die Übermittlung von Fotos oder einer Aufnahme an ein Repository,
  • Klassifizierung des Vorgangs - Festlegung, ob das Material vor der weiteren Nutzung anonymisiert werden muss,
  • Start des passenden Workflows - automatische Weiterleitung der Dateien zur Analyse,
  • Überprüfung der Ergebnisse - Weitergabe des Materials zur Kontrolle durch einen Operator, wenn der Konfidenzwert des Modells zu niedrig ist,
  • Protokollierung der Prozessschritte - ohne unnötige personenbezogene Daten zu speichern,
  • Eskalation - wenn das Material ein hohes Risiko einer Datenschutzverletzung enthält,
  • Abschluss des Vorgangs - einschließlich Bestätigung der durchgeführten Anonymisierung.

In diesem Modell „versteht“ SOAR Gesichter oder Kfz-Kennzeichen nicht auf Pixelebene. Es startet jedoch die Werkzeuge, die diese Erkennung durchführen. Das ist aus Sicht der DSGVO-Compliance wichtig, weil sich damit die Entscheidungsebene, die Bildverarbeitungsebene und die Audit-Ebene sauber voneinander trennen lassen.

Technologien im Zusammenhang mit SOAR und Videoanonymisierung

Ein wirksamer Prozess zur Anonymisierung visueller Materialien erfordert die Kombination mehrerer Technologiekategorien. SOAR ist nur eine davon, und sein Nutzen steigt erst durch die Integration mit Analysesystemen und Daten-Repositories.

Die am häufigsten anzutreffende Architektur umfasst die folgenden Komponenten:

  • SIEM - Quelle für Alerts und die Korrelation von Sicherheitsereignissen,
  • Incident-Management-System - zur Zuweisung von Fällen und zur Dokumentation von Maßnahmen,
  • CV-/KI-Modul - Erkennung von Gesichtern und Kfz-Kennzeichen in Bildern und Videos,
  • Datei-Repository - kontrollierter Speicher für Quell- und Ergebnisdateien,
  • Zugriffskontrollmechanismen - entsprechend dem Least-Privilege-Prinzip,
  • DLP-Tools oder Datenklassifizierung - zur Erkennung von Risiken bei Richtlinienverstößen,
  • manueller Editor - zum händischen Unkenntlichmachen von Elementen, die das Modell nicht automatisch erkennt.

Auf der KI-Ebene werden üblicherweise Convolutional Neural Networks sowie neuere Detektionsarchitekturen eingesetzt. Deep Learning wird benötigt, um ein Modell zu erstellen, das Gesichter und Kfz-Kennzeichen erkennen kann, und um anschließend die Koordinaten der Objekte an das Verpixelungsmodul zu übergeben. SOAR ersetzt diesen Schritt nicht. Es kann jedoch entscheiden, welches Modell gestartet wird, welcher Konfidenzschwellenwert anzuwenden ist und wann ein Ergebnis zur menschlichen Validierung weitergeleitet werden soll.

Zentrale Parameter und Metriken von SOAR in Anonymisierungsprozessen

Die Bewertung der Eignung von SOAR erfordert die Messung sowohl operativer als auch qualitativer Parameter. Reine Herstellerangaben reichen nicht aus. In Datenschutzumgebungen muss nachgewiesen werden, dass der Prozess kontrolliert, reproduzierbar und auditierbar ist.

Parameter

Bedeutung

Beispiel für die Anwendung

 

MTTD

Mean Time To Detect - durchschnittliche Zeit vom Ereignis bis zur Erkennung

Zeit vom Eingang einer Datei bis zum Start des Anonymisierungs-Workflows

MTTR

Mean Time To Respond/Remediate - durchschnittliche Reaktionszeit bzw. Zeit bis zur Behebung

Zeit bis zur Bereitstellung einer Version mit verpixelten Gesichtern und Kennzeichen

Workflow-Latenz

Verzögerung bei der Ausführung des Prozesses

Relevant bei großen Dateiwarteschlangen, auch wenn es sich nicht immer um Echtzeitverarbeitung handelt

Recall der Erkennung

Anteil korrekt erkannter Objekte an allen tatsächlich vorhandenen Objekten

Entscheidend für Gesichter und Kennzeichen, weil Auslassungen das Risiko einer Verletzung erhöhen

Precision der Erkennung

Anteil zutreffender Erkennungen an allen Markierungen des Modells

Eine niedrige Precision erhöht die Zahl fehlerhafter Verpixelungen und belastet die manuelle Kontrolle

Vollständigkeit des Audit Trails

Vollständigkeit des Audit-Pfads

Nachweis, wer den Prozess gestartet hat, wer das Ergebnis freigegeben hat und wann dies erfolgte

Zur Bewertung der Erkennungsqualität werden Standardmetriken des maschinellen Lernens verwendet. Der Übersichtlichkeit halber lassen sie sich wie folgt darstellen:

Precision = TP / (TP + FP)

Recall = TP / (TP + FN)

Dabei steht TP für korrekte Erkennungen, FP für Fehlmarkierungen und FN für übersehene Objekte. Bei der Anonymisierung von Fotos und Videos ist ein hoher Recall in der Regel wichtiger als die Maximierung der Precision, weil ein nicht erkanntes Gesicht oder Kennzeichen zur Offenlegung personenbezogener Daten führen kann.

Praktischer Ablauf eines Prozesses mit SOAR

Am sinnvollsten lässt sich SOAR als steuernde Prozessebene darstellen. In einer Organisation, die visuelle Materialien verarbeitet, kann ein Workflow wie folgt aussehen:

  1. Das System empfängt eine Meldung oder eine Datei mit einer Aufnahme.
  2. SOAR prüft den Vorgangstyp, die Quelle des Materials und die Verarbeitungsrichtlinie.
  3. Die Datei wird an ein Tool zur Bild- und Videoanonymisierung übergeben.
  4. Das KI-Modul erkennt Gesichter und Kfz-Kennzeichen und erstellt das Verpixelungsergebnis.
  5. Fällt die Erkennungssicherheit unter den definierten Schwellenwert, leitet SOAR das Material zur Prüfung an einen Operator weiter.
  6. Der Operator kann Elemente manuell unkenntlich machen, die vom Modell nicht automatisch unterstützt werden.
  7. SOAR speichert das Ergebnis des Vorgangs, den Status, die Bearbeitungszeit und die Kennung des Operators.
  8. Das Ergebnis-Material wird an einen berechtigten Empfänger übermittelt oder in ein Archiv überführt, das der Aufbewahrungsrichtlinie entspricht.

Ein solches Modell entspricht dem Grundsatz Privacy by Design nach Art. 25 DSGVO, weil es die Zahl manueller Eingriffe minimieren, unnötigen Zugriff auf das Quellmaterial beschränken und nachweisbar machen kann, dass der Prozess nach einem festgelegten Verfahren durchgeführt wurde.

Herausforderungen und Grenzen von SOAR beim Datenschutz

SOAR verbessert die Arbeitsorganisation, löst jedoch nicht alle Probleme im Zusammenhang mit der Anonymisierung. In der Praxis gibt es technische und rechtliche Einschränkungen, die bereits bei der Gestaltung des Prozesses berücksichtigt werden müssen.

Zu den wichtigsten gehören:

  • Abhängigkeit von der Qualität der Integration - eine fehlerhafte Anbindung an das Repository oder die KI-Engine kann den gesamten Prozess stoppen,
  • Qualität des Erkennungsmodells - SOAR korrigiert kein schwaches Modell zur Erkennung von Gesichtern oder Kfz-Kennzeichen,
  • Risiko übermäßiger Protokollierung - der Audit Trail sollte nicht selbst neue personenbezogene Daten erzeugen,
  • Notwendigkeit manueller Validierung - insbesondere bei schwierigen, nächtlichen, unscharfen oder teilweise verdeckten Aufnahmen,
  • unterschiedliche rechtliche Bewertungen von Kfz-Kennzeichen - in Deutschland wie auch in anderen EU-Ländern hängt die Beurteilung, ob und wann sie personenbezogene Daten darstellen, vom Kontext ab und ist in der Praxis nicht immer einheitlich.

Genau deshalb sollte SOAR als Mechanismus zur Prozesskontrolle verstanden werden und nicht als Garantie für eine vollständig wirksame Anonymisierung. In Compliance-Umgebungen ist die Kombination aus Automatisierung, menschlicher Aufsicht und klar definierten Richtlinien entscheidend.

Normative Bezüge und Quellen

Die Definition und praktische Anwendung von SOAR sollten in technischen und regulatorischen Quellen verankert werden. Im Bereich des Schutzes personenbezogener Daten bei der Verarbeitung von Bildern und Aufnahmen sind sowohl Dokumente zur Incident Response als auch Rechtsakte relevant, die die Zulässigkeit der weiteren Verwendung von Materialien regeln.

  • Gartner, Definition des SOAR-Marktes - 2017, analytische Dokumente zur Einführung des Begriffs Security Orchestration, Automation and Response.
  • NIST SP 800-61 Rev. 2, Computer Security Incident Handling Guide, 2012 - Referenz für Incident-Response-Prozesse.
  • NIST SP 800-92, Guide to Computer Security Log Management, 2006 - Grundsätze für Logging und die Begrenzung von Risiken im Zusammenhang mit Protokolldaten.
  • Verordnung (EU) 2016/679, DSGVO - insbesondere Art. 5, Art. 25 und Art. 32.
  • ENISA, Materialien und Leitlinien zu Sicherheitsautomatisierung, SOC und Incident Response - branchenspezifische Dokumente, die bei der Gestaltung von Playbooks hilfreich sind.
  • Leitlinien des EDSA und Stellungnahmen von Aufsichtsbehörden zu personenbezogenen Daten in visuellen Materialien, einschließlich Bildnissen und Kfz-Kennzeichen.

Es ist wichtig zu betonen, dass SOAR kein formaler Standard im Sinne einer ISO-Norm mit eigener Spezifikationsnummer ist. Es handelt sich um einen Markt- und Architekturbegriff, der die Funktion eines Systems beschreibt. Daher sollte seine Bewertung auf messbaren Prozessparametern sowie auf der Einhaltung geltender rechtlicher und sicherheitsbezogener Anforderungen beruhen.

Siehe auch

Zurück zum Glossar