Informationsschutz im Zeitalter von WikiLeaks, Cloud Computing und BYOD PulcinellasGeheimnis il...

Informationsschutz im Zeitalter von WikiLeaks, Cloud

Computing und BYOD

Pulcinella‘s Geheimnis

„il secreto di Pulcinella“

Tim ColeInternet-Publizist

Dr. Emilio MordiniCentre for Science, Society and Citizenship (CSSC), Rom

Das „WikiLeaks-Paradoxon“

Das “Segreto di Pulcinella”

• Pulcinella (Kasperl) ist eine Figur aus der italienischen Commedia dell’Arte

Das “Segreto di Pulcinella”

• Pulcinella (Kasperl) ist eine Figur aus der italienischen Commedia dell’Arte

• Eine seiner lazzi erzählt, wie jemand Pulchinella ein Geheimnis verrät. Dieser erzählt ihn sogleich an alle weiter, schärft ihnen aber ein, es nicht zu verraten, weil es ja ein Geheimnis ist.

Das “Segreto di Pulcinella”

• Pulcinella (Kasperl) ist eine Figur aus der italienischen Commedia dell’Arte

• Eine seiner lazzi erzählt, wie jemand Pulchinella ein Geheimnis verrät. Dieser erzählt ihn sogleich an alle weiter, schärft ihnen aber ein, es nicht zu verraten, weil es ja ein Geheimnis ist.

• Am Ende kennen alle – Schauspieler, Zuschauer – das Geheimnis, aber alle tun so, also sie es nicht wüßten.

Das Stück geht weiter…

Was ist ein überhaupt Geheimnis?

„Eine einer begrenzten Personenzahl vorbehaltene Information“ *

*Wikipedia

„secretus“

• “beiseite stellen”, “verstecken”, “einsam ”

• von “secernere“ = “ausschneiden” (“se” = “ohne, getrennt von” + “cernere” = “erblicken”

„secretus“

• “sekret [lat.]: (veraltet) geheim; abgesondert

• Sekretär der (veraltet) „Geheim-schreiber“

Konrad Duden

Was ist ein überhaupt Geheimnis?

• Die entsprechende Information wird häufig absichtlich in einem kleinen Kreis Eingeweihter gehalten, kann durch äußere Umstände aber auch vollkommen verloren gehen.

Was ist ein überhaupt Geheimnis?

• Als Gegenbegriffe gelten – Öffentlichkeit, – Transparenz und – Informationsfreiheit.

Dimensionen des Geheimen (1)

• Etwas über das man nicht spricht

Dimensionen des Geheimen (1)

• Etwas über das man nicht spricht• Ein Geheime ist etwas

Verschwiegenes – Stille.

Dimensionen des Geheimen (1)

• Etwas über das man nicht spricht• Ein Geheime ist etwas

Verschwiegenes –Stille.• Novizen in Geheimgesellschaften

werden in der Kunst des Schweigens eingeweiht

Dimensionen des Geheimen (1)

• Etwas über das man nicht spricht• Ein Geheime ist etwas

Verschwiegenes –Stille.• Novizen in Geheimgesellschaften

werden in der Kunst des Schweigens eingeweiht

• “Schweige still!” (Tamino zu Papageno in der “Zauberflöte”)

Dimensionen des Geheimen (2)

• Etwas beiseite stellen durch Verstecken

Dimensionen des Geheimen (2)

• Etwas beiseite stellen durch Verstecken

• Dinge durch Sichtbarkeit und Unsichtbarkeit zu differenzieren

Dimensionen des Geheimen (2)

• Etwas beiseite stellen durch Verstecken

• Dinge durch Sichtbarkeit und Unsichtbarkeit zu differenzieren

• Impliziert die Fähigkeit, Merkmale festzulegen, durch die etwas entweder als sichtbar oder unsichtbar gekennzeichnet werden können

Dimensionen des Geheimen (2)

• NB: Etwas zu kennzeichnen ist selten eine gute Strategie, wenn man etwas verstecken will.

Dimensionen des Geheimen (2)

• NB: Etwas zu kennzeichnen ist selten eine gute Strategie, wenn man etwas verstecken will.

• Wenn man etwas versteckt, erzeugt man Aufmerksam-keit und Neugier.

Dimensionen des Geheimen (2)

• NB: Etwas zu kennzeichnen ist selten eine gute Strategie, wenn man etwas verstecken will.

• Wenn man etwas versteckt, erzeugt man Aufmerksam-keit und Neugier.

• Der beste Weg, etwas zu verstecken, ist es unauffällig zu machen Das beste Versteck für einen Apfel

ist ein Apfelkorb

Dimensionen des Geheimen (3)

• Etwas sehr Privates

Dimensionen des Geheimen (3)

• Etwas sehr Privates• Das deutsche Wort

“heimlich” beschreibt ja etwas, das vertraut und “heimelig” ist.

Fassen wir zusammen

• Ein Geheimnis ist etwas, das versteckt worden ist

• Man kann es nicht wissen und auch nicht darüber reden.

• Es ist etwas Intimes, Privates

Wir leben in einem globalen Dorf

…ein Dorf kennt keine Geheimnisse

• Location: jeder weiß, wo jeder gerade ist

• Identification: jeder weiß, wer wir sind

• Tracking: jeder weiß, was wir gerade machen

• Diskretion: unter normalen Umständen tun alle so, als ob sie nicht wüßten, wo wir sind, wer wir sind und was wir gerade machen.

Pulcinella-Geheimnisse in der Informationsgesellschaft

3 Thesen

1: Alle Geheimnisse in der Informationgesellschaft sind Pulcinella-Geheimnisse. Es gibt nichts, was wirklich auf Dauer unbekannt bleiben kann.

Kim Cameron‘s Law*

*Kim Cameron, ehem. Chief Identity Officer, Microsoft

„Sensitive information will be leaked“

3 Thesen

2: Pulcinella-Geheimnisse sind nicht trivial. Sie können sogar von großer Tragweite sein, besonders in der IT.

3 Thesen

3: Der Wert einer Information leitet sich aus ihrem Nutzwert ab. Wer eine Information zuerst verwenden kann, hat den größten Nutzen.

Der Widerspruch zwischen dem Wunsch nach Geheimen und der offenen

Informationsgesellschaft

• Geheimhaltung ist wichtig für viele Bereiche der Gesellschaft, der Wirtschaft und der Verwaltung

Der Widerspruch zwischen dem Wunsch nach Geheimen und der offenen

Informationsgesellschaft

• Geheimhaltung ist wichtig für viele Bereiche der Gesellschaft, der Wirtschaft und der Verwaltung

• Geheimnisse neigen dazu, sich zu verselbständigen (“lecken”), egal wie sehr man sie schützt.

Der Widerspruch zwischen dem Wunsch nach Geheimen und der offenen

Informationsgesellschaft

• Geheimhaltung ist wichtig für viele Bereiche der Gesellschaft, der Wirtschaft und der Verwaltung

• Geheimnisse neigen dazu, sich zu verselbständigen (“lecken”), egal wie sehr man sie schützt.

• Wir sind gezwungen, diesen Schutz betreiben, um uns nicht strafbar (oder verrückt) zu machen

“Was nicht geheim gehalten werden muss, sollte öffentlich gemacht werden”

• Publizität ist das erste Gebot einer Informationsgesellschaft.– “Information wants to be free”

“Was nicht geheim gehalten werden muss, sollte öffentlich gemacht werden”

• Publizität ist das erste Gebot einer Informationsgesellschaft.• “Information wants to be free”

• Information ist eine Ware und will als solche in Umlauf gebracht werden.

“Was nicht geheim gehalten werden muss, sollte öffentlich gemacht werden”

• Publizität ist das erste Gebot einer Informationsgesellschaft.• “Information wants to be free”

• Information ist eine Ware und will als solche in Umlauf gebracht werden.

• Dinge, die einst geheim gehalten wurden, werden in der Informationsgesellschaft zunehmend öffentlich, weil das in der Natur von Informationen und der Informationsgesellschaft liegt.

“Was nicht öffentlich ist, sollte geheim gehalten werden.”

• Wenn Information eine Ware ist, dann kann sie auch Privateigentum sein und muss deshalb geschützt werden, um ihren Wert zu erhalten.

“Was nicht öffentlich ist, sollte geheim gehalten werden.”

• Wenn Information eine Ware ist, dann kann sie auch Privateigentum sein und muss deshalb geschützt werden, um ihren Wert zu erhalten.

• Dafür gibt es Dinge wie Datenschutz, Privatheit und Gesetze zum Schutz geistigen Eigentums. Sie sind wichtig. Man darf sich nur nicht zu viel davon versprechen.

Pulchinella vs. Cloud Security und BYOD

Quelle: www.ende-der-vernunft.org

Willkommen in der „App Economy“

„App-Entwickler verstehen (in der Regel) nichts von IT Security“

„IT Security Profis verstehen (in der Regel) nichts von App-Entwicklung“

Mobile Security als „blinder Fleck“

„Beide verstehen nichts von Identity Management“

Quelle: The New Yorker

Ziele von IT-Security

• Schutz vor technischem Systemausfall• Schutz vor Sabotage oder Spionage• Schutz vor Betrug und Diebstahl• Schutz vor Systemmissbrauch, durch illegitime

Ressourcennutzung, Veränderung von publizierten Inhalten, etc.

Quelle: Wikipedia, Stichwort „Informationssicherheit“

SCHUTZ

Ziele von Identity Management

• Konsistenz und Aktualität der Nutzerdaten • Erleichterung bei der Einführung von neuen

Diensten und Methoden (z.B. Single Sign-on) • Vereinfachung der Datenhaltung • dauerhafte Kosteneinsparungen in der

Administration • bessere Kontrolle über die Ressourcen • optimale Unterstützung von internationalen

Projekten im Bereich Cloud Computing • höhere Sicherheit

KONTROLLE

Klassischer Security-Ansatz: Perimeter Defense

Internet

corporation

datacenter

Eine Wolke hat keinen „Perimeter“

Internet/Extranet/Intranet

datacenter? ???

?

??

Identity-Ansatz: Lückenlose Kontrolle

supplier company customers

products / services

applications

users

So who is allowed to do what within your business processes?

(things)

(machines)

(people)

„extended enterprise“

IT systemsAUDIT

„Identitäts-basierte Security und effektives Rollenmanagement in der

Cloud ist Voraussetzung für nachhaltige Sicherheit.“

IAM ist die Grundlage für sicheres Cloud Computing

• IAM adressiert ALLE Aspekte von Cloud Security– DLP (Data Leakage Prevention)– Attestierung von Zugriffsberechtigungen– Schutz vor Insider-Angriffen– Missbrauch privilegierter Benutzerkonten („Evil

Admins“)• Fazit: Investitionen in Cloud Computing dürfen

nicht zu Lasten von IAM gehen

Cloud Governance

Cloud Governance steckt noch in den Kinderschuhen

• Segregation of Duties in der Cloud• Standard-basierte Bewertung von Risiken in der Cloud• Auditing über Systemgrenzen hinweg• Identifizierung von Benutzung, Steuerung von

Berechtigungen über verschiedene Cloud Services hinweg• Mit Cloud Computing sind Compliance-Konflikte

vorprogrammiert– USA/Homeland Security vs.EU-Datenschutzrichtlinie)

• Notfallplanung: Wer macht was?

Nichts ist so schwer wiederherzustellen wie verlorenes Vertrauen

Was würde uns Pulchinella raten?

• Statt sich um den Schutz von Systemen sollte sich die IT stärker um den Schutz von Informationen kümmern.

• Das heißt: Starke Zugangskontrolle und wirkungsvolles Identity Management.

• Unternehmen und Organisationen müssen auf den “worst Case” vorbereitet sein.

Mit Pulchinella leben

“Wovon man nicht sprechen kann,

darüber muss man schweigen”

Wittgenstein, Tractaus

Vielen Dank!

Mail:tim@cole.de

Folien:www.cole.de