IT security and other aweful matters

Of computer mice and men – for availability, integrity and privacy

Wikileaks – cables – Schutzziele überdenken

Ein Artikel in der Süddeutschen vom 16. Dezember 2010 diskutiert die  Veröffentlichungsstrategie von Wikileaks unter dem Aspekt Wissen und Macht.  Der Autor Andreas Zielcke verweist auf die Geschichte der Staatsbildung und der Theorien der Gewaltenteilung und Checks and Balances, auf denen die Demokratie aufbaut, und stellt fest, dass der Staat erst einmal überhaupt keine Geheimnisse zu haben hat. Die Res Publica, die öffentliche Sache, hat öffentlich zu sein. In jüngster Zeit hat diese Forderung auch Eingang in Gesetzgebung gefunden.

In Konsequenz dieser Betrachtung wie auch der realen Enthüllungen lohnt es sich für Behörden (und wahrscheinlich auch für große Unternehmen), ihre Schutzziele für Informationen zu prüfen, und ggf. die Domäne des Schutzbedarfs kleiner zu definieren.

Einerseits, um auf die tatsächlichen Ereignisse zu reagieren. Denn wenn manche Systeme, wie jüngst der etwas saloppe Austausch im Intranet des diplomatischen Dienstes der Vereinigten Staaten, angezapft werden konnten, liegt das sowohl am investigativen Eifer Dritter (Wikileaks), als auch daran, dass die Beteiligten diese innerbetriebliche Korrespondenz nicht besonders ernst und nicht besonders schutzwürdig befanden. Es dürfte mehr Schutz produziert werden, wenn Mitarbeiter (selbst-)bewusster lernen einzuschätzen, in welchen Domänen welche Äußerungen zulässig sind, und in welchen, klar erkennbaren Fällen sie ausschließlich gesicherte Domänen nutzen. Dann müssen diese Domänen auch hochgradig geschützt werden, was nicht nur technische Maßnahmen verlangt.

Andererseits wird das Leben in Behörden einfacher, wenn erst mal grundsätzlich angenommen wird, dass Behördenakten öffentliche Akten sind, und definierbare Kriterien vorliegen müssen, damit Vorgänge und kommunizierte Dokumente besonders – und dann richtig – geschützt werden. Solche Kriterien liegen etwa im Datenschutz, im Schutz der Interessen Dritter, oder wenn der Arbeitsauftrag der Behörde diesen Schutz benötigt, so bei Ermittlungsbehörden. Taktisch ausgedrückt: Indem viele Informationsbereiche nicht mehr als schutzbedürftig eingestuft werden, wird ein Terrain aufgegeben, das gegen die Investigationen namenloser Dritter nur schwer gehalten werden kann, und die Schutzsysteme werden konzentriert auf die Zitadelle, die tatsächlich gehalten werden muss.

Unternehmen und Betriebe agieren aus ökonomischen Gründen schon lange so, aber selten infolge bewusster Definition. Die formulierten Schutzziele definieren einen sehr großen Bereich, die Realisierung des Schutzes ist meist löcherig und hat oft im direkten Umfeld von Geschäftsleitung und Vertrieb die größten Lücken. Nur sagt das niemand.

Die bewusste, angemessene Definition der Schutzziele ist unseres Ermessens mit strategischer Awareness Bildung am besten zu erreichen und betrieblich umzusetzen. Dies ist ein wichtiges Thema der nahen Zukunft. Die wilden Publikationen von Wikileaks, die ja faktisch folgenlos waren, zeigen, dass nicht der ganz große Informationsperimeter verteidigt werden sollte, sondern die Zitadelle unternehmenskritischer und tatsächlich vertraulich zu behandelnder Wissensdomänen.

(Aber schaffen Sie jetzt nicht gleich die Firewall ab; die wird auf jeden Fall noch gebraucht.)

Advertisements

Author: TTeichmann

IT is my business since 1985, focused on IT security since 1999. I built up several IT networks as security based architectures. In 2007 business continuity management came into my portfolio. I feel open minded, keeping an eye on things evolving, trying to find solutions that meet business needs while security requirements are kept high. ITsec, ITSCM and BCM are necessarily part of cost efficient IT delivery today.

Comments are closed.