informationsschutz im zeitalter von wikileaks, cloud computing und byod pulcinellasgeheimnis il...
TRANSCRIPT
Informationsschutz im Zeitalter von WikiLeaks, Cloud
Computing und BYOD
Pulcinella‘s Geheimnis
„il secreto di Pulcinella“
Tim ColeInternet-Publizist
Dr. Emilio MordiniCentre for Science, Society and Citizenship (CSSC), Rom
Das „WikiLeaks-Paradoxon“
Das “Segreto di Pulcinella”
• Pulcinella (Kasperl) ist eine Figur aus der italienischen Commedia dell’Arte
Das “Segreto di Pulcinella”
• Pulcinella (Kasperl) ist eine Figur aus der italienischen Commedia dell’Arte
• Eine seiner lazzi erzählt, wie jemand Pulchinella ein Geheimnis verrät. Dieser erzählt ihn sogleich an alle weiter, schärft ihnen aber ein, es nicht zu verraten, weil es ja ein Geheimnis ist.
Das “Segreto di Pulcinella”
• Pulcinella (Kasperl) ist eine Figur aus der italienischen Commedia dell’Arte
• Eine seiner lazzi erzählt, wie jemand Pulchinella ein Geheimnis verrät. Dieser erzählt ihn sogleich an alle weiter, schärft ihnen aber ein, es nicht zu verraten, weil es ja ein Geheimnis ist.
• Am Ende kennen alle – Schauspieler, Zuschauer – das Geheimnis, aber alle tun so, also sie es nicht wüßten.
Das Stück geht weiter…
Was ist ein überhaupt Geheimnis?
„Eine einer begrenzten Personenzahl vorbehaltene Information“ *
*Wikipedia
„secretus“
• “beiseite stellen”, “verstecken”, “einsam ”
• von “secernere“ = “ausschneiden” (“se” = “ohne, getrennt von” + “cernere” = “erblicken”
„secretus“
• “sekret [lat.]: (veraltet) geheim; abgesondert
• Sekretär der (veraltet) „Geheim-schreiber“
Konrad Duden
Was ist ein überhaupt Geheimnis?
• Die entsprechende Information wird häufig absichtlich in einem kleinen Kreis Eingeweihter gehalten, kann durch äußere Umstände aber auch vollkommen verloren gehen.
Was ist ein überhaupt Geheimnis?
• Als Gegenbegriffe gelten – Öffentlichkeit, – Transparenz und – Informationsfreiheit.
Dimensionen des Geheimen (1)
• Etwas über das man nicht spricht
Dimensionen des Geheimen (1)
• Etwas über das man nicht spricht• Ein Geheime ist etwas
Verschwiegenes – Stille.
Dimensionen des Geheimen (1)
• Etwas über das man nicht spricht• Ein Geheime ist etwas
Verschwiegenes –Stille.• Novizen in Geheimgesellschaften
werden in der Kunst des Schweigens eingeweiht
Dimensionen des Geheimen (1)
• Etwas über das man nicht spricht• Ein Geheime ist etwas
Verschwiegenes –Stille.• Novizen in Geheimgesellschaften
werden in der Kunst des Schweigens eingeweiht
• “Schweige still!” (Tamino zu Papageno in der “Zauberflöte”)
Dimensionen des Geheimen (2)
• Etwas beiseite stellen durch Verstecken
Dimensionen des Geheimen (2)
• Etwas beiseite stellen durch Verstecken
• Dinge durch Sichtbarkeit und Unsichtbarkeit zu differenzieren
Dimensionen des Geheimen (2)
• Etwas beiseite stellen durch Verstecken
• Dinge durch Sichtbarkeit und Unsichtbarkeit zu differenzieren
• Impliziert die Fähigkeit, Merkmale festzulegen, durch die etwas entweder als sichtbar oder unsichtbar gekennzeichnet werden können
Dimensionen des Geheimen (2)
• NB: Etwas zu kennzeichnen ist selten eine gute Strategie, wenn man etwas verstecken will.
Dimensionen des Geheimen (2)
• NB: Etwas zu kennzeichnen ist selten eine gute Strategie, wenn man etwas verstecken will.
• Wenn man etwas versteckt, erzeugt man Aufmerksam-keit und Neugier.
Dimensionen des Geheimen (2)
• NB: Etwas zu kennzeichnen ist selten eine gute Strategie, wenn man etwas verstecken will.
• Wenn man etwas versteckt, erzeugt man Aufmerksam-keit und Neugier.
• Der beste Weg, etwas zu verstecken, ist es unauffällig zu machen Das beste Versteck für einen Apfel
ist ein Apfelkorb
Dimensionen des Geheimen (3)
• Etwas sehr Privates
Dimensionen des Geheimen (3)
• Etwas sehr Privates• Das deutsche Wort
“heimlich” beschreibt ja etwas, das vertraut und “heimelig” ist.
Fassen wir zusammen
• Ein Geheimnis ist etwas, das versteckt worden ist
• Man kann es nicht wissen und auch nicht darüber reden.
• Es ist etwas Intimes, Privates
Wir leben in einem globalen Dorf
…ein Dorf kennt keine Geheimnisse
• Location: jeder weiß, wo jeder gerade ist
• Identification: jeder weiß, wer wir sind
• Tracking: jeder weiß, was wir gerade machen
• Diskretion: unter normalen Umständen tun alle so, als ob sie nicht wüßten, wo wir sind, wer wir sind und was wir gerade machen.
Pulcinella-Geheimnisse in der Informationsgesellschaft
3 Thesen
1: Alle Geheimnisse in der Informationgesellschaft sind Pulcinella-Geheimnisse. Es gibt nichts, was wirklich auf Dauer unbekannt bleiben kann.
Kim Cameron‘s Law*
*Kim Cameron, ehem. Chief Identity Officer, Microsoft
„Sensitive information will be leaked“
3 Thesen
2: Pulcinella-Geheimnisse sind nicht trivial. Sie können sogar von großer Tragweite sein, besonders in der IT.
3 Thesen
3: Der Wert einer Information leitet sich aus ihrem Nutzwert ab. Wer eine Information zuerst verwenden kann, hat den größten Nutzen.
Der Widerspruch zwischen dem Wunsch nach Geheimen und der offenen
Informationsgesellschaft
• Geheimhaltung ist wichtig für viele Bereiche der Gesellschaft, der Wirtschaft und der Verwaltung
Der Widerspruch zwischen dem Wunsch nach Geheimen und der offenen
Informationsgesellschaft
• Geheimhaltung ist wichtig für viele Bereiche der Gesellschaft, der Wirtschaft und der Verwaltung
• Geheimnisse neigen dazu, sich zu verselbständigen (“lecken”), egal wie sehr man sie schützt.
Der Widerspruch zwischen dem Wunsch nach Geheimen und der offenen
Informationsgesellschaft
• Geheimhaltung ist wichtig für viele Bereiche der Gesellschaft, der Wirtschaft und der Verwaltung
• Geheimnisse neigen dazu, sich zu verselbständigen (“lecken”), egal wie sehr man sie schützt.
• Wir sind gezwungen, diesen Schutz betreiben, um uns nicht strafbar (oder verrückt) zu machen
“Was nicht geheim gehalten werden muss, sollte öffentlich gemacht werden”
• Publizität ist das erste Gebot einer Informationsgesellschaft.– “Information wants to be free”
“Was nicht geheim gehalten werden muss, sollte öffentlich gemacht werden”
• Publizität ist das erste Gebot einer Informationsgesellschaft.• “Information wants to be free”
• Information ist eine Ware und will als solche in Umlauf gebracht werden.
“Was nicht geheim gehalten werden muss, sollte öffentlich gemacht werden”
• Publizität ist das erste Gebot einer Informationsgesellschaft.• “Information wants to be free”
• Information ist eine Ware und will als solche in Umlauf gebracht werden.
• Dinge, die einst geheim gehalten wurden, werden in der Informationsgesellschaft zunehmend öffentlich, weil das in der Natur von Informationen und der Informationsgesellschaft liegt.
“Was nicht öffentlich ist, sollte geheim gehalten werden.”
• Wenn Information eine Ware ist, dann kann sie auch Privateigentum sein und muss deshalb geschützt werden, um ihren Wert zu erhalten.
“Was nicht öffentlich ist, sollte geheim gehalten werden.”
• Wenn Information eine Ware ist, dann kann sie auch Privateigentum sein und muss deshalb geschützt werden, um ihren Wert zu erhalten.
• Dafür gibt es Dinge wie Datenschutz, Privatheit und Gesetze zum Schutz geistigen Eigentums. Sie sind wichtig. Man darf sich nur nicht zu viel davon versprechen.
Pulchinella vs. Cloud Security und BYOD
Quelle: www.ende-der-vernunft.org
Willkommen in der „App Economy“
„App-Entwickler verstehen (in der Regel) nichts von IT Security“
„IT Security Profis verstehen (in der Regel) nichts von App-Entwicklung“
Mobile Security als „blinder Fleck“
„Beide verstehen nichts von Identity Management“
Quelle: The New Yorker
Ziele von IT-Security
• Schutz vor technischem Systemausfall• Schutz vor Sabotage oder Spionage• Schutz vor Betrug und Diebstahl• Schutz vor Systemmissbrauch, durch illegitime
Ressourcennutzung, Veränderung von publizierten Inhalten, etc.
Quelle: Wikipedia, Stichwort „Informationssicherheit“
SCHUTZ
Ziele von Identity Management
• Konsistenz und Aktualität der Nutzerdaten • Erleichterung bei der Einführung von neuen
Diensten und Methoden (z.B. Single Sign-on) • Vereinfachung der Datenhaltung • dauerhafte Kosteneinsparungen in der
Administration • bessere Kontrolle über die Ressourcen • optimale Unterstützung von internationalen
Projekten im Bereich Cloud Computing • höhere Sicherheit
KONTROLLE
Klassischer Security-Ansatz: Perimeter Defense
Internet
corporation
datacenter
Eine Wolke hat keinen „Perimeter“
Internet/Extranet/Intranet
datacenter? ???
?
??
Identity-Ansatz: Lückenlose Kontrolle
supplier company customers
products / services
applications
users
So who is allowed to do what within your business processes?
(things)
(machines)
(people)
„extended enterprise“
IT systemsAUDIT
„Identitäts-basierte Security und effektives Rollenmanagement in der
Cloud ist Voraussetzung für nachhaltige Sicherheit.“
IAM ist die Grundlage für sicheres Cloud Computing
• IAM adressiert ALLE Aspekte von Cloud Security– DLP (Data Leakage Prevention)– Attestierung von Zugriffsberechtigungen– Schutz vor Insider-Angriffen– Missbrauch privilegierter Benutzerkonten („Evil
Admins“)• Fazit: Investitionen in Cloud Computing dürfen
nicht zu Lasten von IAM gehen
Cloud Governance
Cloud Governance steckt noch in den Kinderschuhen
• Segregation of Duties in der Cloud• Standard-basierte Bewertung von Risiken in der Cloud• Auditing über Systemgrenzen hinweg• Identifizierung von Benutzung, Steuerung von
Berechtigungen über verschiedene Cloud Services hinweg• Mit Cloud Computing sind Compliance-Konflikte
vorprogrammiert– USA/Homeland Security vs.EU-Datenschutzrichtlinie)
• Notfallplanung: Wer macht was?
Nichts ist so schwer wiederherzustellen wie verlorenes Vertrauen
Was würde uns Pulchinella raten?
• Statt sich um den Schutz von Systemen sollte sich die IT stärker um den Schutz von Informationen kümmern.
• Das heißt: Starke Zugangskontrolle und wirkungsvolles Identity Management.
• Unternehmen und Organisationen müssen auf den “worst Case” vorbereitet sein.
Mit Pulchinella leben
“Wovon man nicht sprechen kann,
darüber muss man schweigen”
Wittgenstein, Tractaus
