„il secreto di Pulcinella“ Pulcinella‘s Geheimnis „il secreto di Pulcinella“ Informationsschutz im Zeitalter von WikiLeaks, Cloud Computing und BYOD Tim Cole Internet-Publizist
Das „WikiLeaks- Paradoxon“ Dr. Emilio Mordini Centre for Science, Society and Citizenship (CSSC), Rom
Das “Segreto di Pulcinella” Pulcinella (Kasperl) ist eine Figur aus der italienischen Commedia dell’Arte
Das “Segreto di Pulcinella” Pulcinella (Kasperl) ist eine Figur aus der italienischen Commedia dell’Arte Eine seiner lazzi erzählt, wie jemand Pulchinella ein Geheimnis verrät. Dieser erzählt ihn sogleich an alle weiter, schärft ihnen aber ein, es nicht zu verraten, weil es ja ein Geheimnis ist.
Das “Segreto di Pulcinella” Pulcinella (Kasperl) ist eine Figur aus der italienischen Commedia dell’Arte Eine seiner lazzi erzählt, wie jemand Pulchinella ein Geheimnis verrät. Dieser erzählt ihn sogleich an alle weiter, schärft ihnen aber ein, es nicht zu verraten, weil es ja ein Geheimnis ist. Am Ende kennen alle – Schauspieler, Zuschauer – das Geheimnis, aber alle tun so, also sie es nicht wüßten. Das Stück geht weiter…
Was ist ein überhaupt Geheimnis? „Eine einer begrenzten Personenzahl vorbehaltene Information“ * *Wikipedia
„secretus“ “beiseite stellen”, “verstecken”, “einsam ” von “secernere“ = “ausschneiden” (“se” = “ohne, getrennt von” + “cernere” = “erblicken”
„secretus“ “sekret [lat.]: (veraltet) geheim; abgesondert Sekretär der (veraltet) „Geheim-schreiber“ Konrad Duden
Was ist ein überhaupt Geheimnis? Die entsprechende Information wird häufig absichtlich in einem kleinen Kreis Eingeweihter gehalten, kann durch äußere Umstände aber auch vollkommen verloren gehen.
Was ist ein überhaupt Geheimnis? Als Gegenbegriffe gelten Öffentlichkeit, Transparenz und Informationsfreiheit.
Dimensionen des Geheimen (1) Etwas über das man nicht spricht
Dimensionen des Geheimen (1) Etwas über das man nicht spricht Ein Geheime ist etwas Verschwiegenes – Stille.
Dimensionen des Geheimen (1) Etwas über das man nicht spricht Ein Geheime ist etwas Verschwiegenes –Stille. Novizen in Geheimgesellschaften werden in der Kunst des Schweigens eingeweiht
Dimensionen des Geheimen (1) Etwas über das man nicht spricht Ein Geheime ist etwas Verschwiegenes –Stille. Novizen in Geheimgesellschaften werden in der Kunst des Schweigens eingeweiht “Schweige still!” (Tamino zu Papageno in der “Zauberflöte”)
Dimensionen des Geheimen (2) Etwas beiseite stellen durch Verstecken
Dimensionen des Geheimen (2) Etwas beiseite stellen durch Verstecken Dinge durch Sichtbarkeit und Unsichtbarkeit zu differenzieren
Dimensionen des Geheimen (2) Etwas beiseite stellen durch Verstecken Dinge durch Sichtbarkeit und Unsichtbarkeit zu differenzieren Impliziert die Fähigkeit, Merkmale festzulegen, durch die etwas entweder als sichtbar oder unsichtbar gekennzeichnet werden können
Dimensionen des Geheimen (2) NB: Etwas zu kennzeichnen ist selten eine gute Strategie, wenn man etwas verstecken will.
Dimensionen des Geheimen (2) NB: Etwas zu kennzeichnen ist selten eine gute Strategie, wenn man etwas verstecken will. Wenn man etwas versteckt, erzeugt man Aufmerksam-keit und Neugier.
Dimensionen des Geheimen (2) NB: Etwas zu kennzeichnen ist selten eine gute Strategie, wenn man etwas verstecken will. Wenn man etwas versteckt, erzeugt man Aufmerksam-keit und Neugier. Der beste Weg, etwas zu verstecken, ist es unauffällig zu machen Das beste Versteck für einen Apfel ist ein Apfelkorb
Dimensionen des Geheimen (3) Etwas sehr Privates
Dimensionen des Geheimen (3) Etwas sehr Privates Das deutsche Wort “heimlich” beschreibt ja etwas, das vertraut und “heimelig” ist.
Fassen wir zusammen Ein Geheimnis ist etwas, das versteckt worden ist Man kann es nicht wissen und auch nicht darüber reden. Es ist etwas Intimes, Privates
Wir leben in einem globalen Dorf
…ein Dorf kennt keine Geheimnisse
Location: jeder weiß, wo jeder gerade ist Identification: jeder weiß, wer wir sind Tracking: jeder weiß, was wir gerade machen Diskretion: unter normalen Umständen tun alle so, als ob sie nicht wüßten, wo wir sind, wer wir sind und was wir gerade machen.
Pulcinella-Geheimnisse in der Informationsgesellschaft
3 Thesen 1: Alle Geheimnisse in der Informationgesellschaft sind Pulcinella-Geheimnisse. Es gibt nichts, was wirklich auf Dauer unbekannt bleiben kann.
Kim Cameron‘s Law* „Sensitive information will be leaked“ *Kim Cameron, ehem. Chief Identity Officer, Microsoft
3 Thesen 2: Pulcinella-Geheimnisse sind nicht trivial. Sie können sogar von großer Tragweite sein, besonders in der IT.
3 Thesen 3: Der Wert einer Information leitet sich aus ihrem Nutzwert ab. Wer eine Information zuerst verwenden kann, hat den größten Nutzen.
Der Widerspruch zwischen dem Wunsch nach Geheimen und der offenen Informationsgesellschaft Geheimhaltung ist wichtig für viele Bereiche der Gesellschaft, der Wirtschaft und der Verwaltung
Der Widerspruch zwischen dem Wunsch nach Geheimen und der offenen Informationsgesellschaft Geheimhaltung ist wichtig für viele Bereiche der Gesellschaft, der Wirtschaft und der Verwaltung Geheimnisse neigen dazu, sich zu verselbständigen (“lecken”), egal wie sehr man sie schützt.
Der Widerspruch zwischen dem Wunsch nach Geheimen und der offenen Informationsgesellschaft Geheimhaltung ist wichtig für viele Bereiche der Gesellschaft, der Wirtschaft und der Verwaltung Geheimnisse neigen dazu, sich zu verselbständigen (“lecken”), egal wie sehr man sie schützt. Wir sind gezwungen, diesen Schutz betreiben, um uns nicht strafbar (oder verrückt) zu machen
“Was nicht geheim gehalten werden muss, sollte öffentlich gemacht werden” Publizität ist das erste Gebot einer Informationsgesellschaft. “Information wants to be free”
“Was nicht geheim gehalten werden muss, sollte öffentlich gemacht werden” Publizität ist das erste Gebot einer Informationsgesellschaft. “Information wants to be free” Information ist eine Ware und will als solche in Umlauf gebracht werden.
“Was nicht geheim gehalten werden muss, sollte öffentlich gemacht werden” Publizität ist das erste Gebot einer Informationsgesellschaft. “Information wants to be free” Information ist eine Ware und will als solche in Umlauf gebracht werden. Dinge, die einst geheim gehalten wurden, werden in der Informationsgesellschaft zunehmend öffentlich, weil das in der Natur von Informationen und der Informationsgesellschaft liegt.
“Was nicht öffentlich ist, sollte geheim gehalten werden.” Wenn Information eine Ware ist, dann kann sie auch Privateigentum sein und muss deshalb geschützt werden, um ihren Wert zu erhalten.
“Was nicht öffentlich ist, sollte geheim gehalten werden.” Wenn Information eine Ware ist, dann kann sie auch Privateigentum sein und muss deshalb geschützt werden, um ihren Wert zu erhalten. Dafür gibt es Dinge wie Datenschutz, Privatheit und Gesetze zum Schutz geistigen Eigentums. Sie sind wichtig. Man darf sich nur nicht zu viel davon versprechen.
Pulchinella vs. Cloud Security und BYOD Quelle: www.ende-der-vernunft.org
Willkommen in der „App Economy“
Mobile Security als „blinder Fleck“ „App-Entwickler verstehen (in der Regel) nichts von IT Security“ „IT Security Profis verstehen (in der Regel) nichts von App-Entwicklung“
„Beide verstehen nichts von Identity Management“ Quelle: The New Yorker
Ziele von IT-Security Schutz vor technischem Systemausfall Schutz vor Sabotage oder Spionage Schutz vor Betrug und Diebstahl Schutz vor Systemmissbrauch, durch illegitime Ressourcennutzung, Veränderung von publizierten Inhalten, etc. Quelle: Wikipedia, Stichwort „Informationssicherheit“
SCHUTZ
Ziele von Identity Management Konsistenz und Aktualität der Nutzerdaten Erleichterung bei der Einführung von neuen Diensten und Methoden (z.B. Single Sign-on) Vereinfachung der Datenhaltung dauerhafte Kosteneinsparungen in der Administration bessere Kontrolle über die Ressourcen optimale Unterstützung von internationalen Projekten im Bereich Cloud Computing höhere Sicherheit
KONTROLLE
Klassischer Security-Ansatz: Perimeter Defense Internet corporation datacenter
Eine Wolke hat keinen „Perimeter“
? Internet/Extranet/Intranet datacenter
Identity-Ansatz: Lückenlose Kontrolle AUDIT supplier company customers „extended enterprise“ (things) products / services applications IT systems (machines) Geschäftsprozesse dürfen nicht isoliert von den Identitäten gesehen werden Effizienz von Unternehmen bedeutet heute in hohem Maße effizientere, durchgehende Prozesse Dahinter stehen aber Anwendungen – bei Partnern, im Unternehmen, bei Kunden (wobei auch ein Prozess im Unternehmen oft viele Anwendungen umfasst – Beispiel Airbus mit über 60 Anwendungen im Kernprozess Und dahinter sind die Benutzer, digitale Identitäten Geschäft basiert auf Vertrauen – ich muss wissen, mit wem ich handle. Und ich muss steuern können, wer was im Geschäftsprozess darf (people) users So who is allowed to do what within your business processes?
„Identitäts-basierte Security und effektives Rollenmanagement in der Cloud ist Voraussetzung für nachhaltige Sicherheit.“
IAM ist die Grundlage für sicheres Cloud Computing IAM adressiert ALLE Aspekte von Cloud Security DLP (Data Leakage Prevention) Attestierung von Zugriffsberechtigungen Schutz vor Insider-Angriffen Missbrauch privilegierter Benutzerkonten („Evil Admins“) Fazit: Investitionen in Cloud Computing dürfen nicht zu Lasten von IAM gehen
Cloud Governance
Cloud Governance steckt noch in den Kinderschuhen Segregation of Duties in der Cloud Standard-basierte Bewertung von Risiken in der Cloud Auditing über Systemgrenzen hinweg Identifizierung von Benutzung, Steuerung von Berechtigungen über verschiedene Cloud Services hinweg Mit Cloud Computing sind Compliance-Konflikte vorprogrammiert USA/Homeland Security vs.EU-Datenschutzrichtlinie) Notfallplanung: Wer macht was?
Nichts ist so schwer wiederherzustellen wie verlorenes Vertrauen
Was würde uns Pulchinella raten? Statt sich um den Schutz von Systemen sollte sich die IT stärker um den Schutz von Informationen kümmern. Das heißt: Starke Zugangskontrolle und wirkungsvolles Identity Management. Unternehmen und Organisationen müssen auf den “worst Case” vorbereitet sein.
Mit Pulchinella leben “Wovon man nicht sprechen kann, darüber muss man schweigen” Wittgenstein, Tractaus
Vielen Dank! Mail: tim@cole.de Folien: www.cole.de