Wikileaks bewegt die Gemüter: Während die einen die völlige Freigabe von Informationen befürworten, stellen die Sarah Palins dieser Welt den Wikileaks-Gründer Julian Assange auf eine Stufe mit Osama bin Laden. Aus Security-Sicht ist aber viel interessanter, warum ein Soldat im Mannschaftsdienstgrad die Dokumente überhaupt abrufen und weiterleiten konnte.
Bei den jüngst von Wikileaks veröffentlichten Dokumenten hat es sich offensichtlich um eher niedrig eingestufte Dokumente gehandelt: Vertraulich, aber eben nicht geheim oder streng geheim oder sonst etwas. Nur: Sollte jemand auf so viele Informationen, die vertraulich sind, Zugriff haben? Damit ist man bei zwei Kernfragen: Was bringt eine Klassifizierung, die so grob ist, wirklich? Und war das Zugriffsmanagement angemessen?Die Informationsklassifizierung ist dabei ein interessanter Punkt. Eine durchgängige Klassifizierung von Informationen findet sich heute vor allem im staatlichen und militärischen Sektor. Im privatwirtschaftlichen Bereich fristet sie hingegen eher ein stiefmütterliches Dasein.
Offensichtlich genügt es aber nicht, wenn man sich darauf beschränkt, grobe Klassen von Vertraulichkeit zu definieren. Denn letztlich kann auch eine Masse von mittelmäßig wichtigen und interessanten Dokumenten in ihrer Summe deutlich problematischer sein.
Das könnte nun heißen, dass man ganz auf eine solche Klassifizierung verzichtet, weil sie ohnehin nichts bringt oder dass man deutlich granularer vorgeht. Das Argument, dass man eben zusätzlich Zugriffsrechte vergeben muss, zieht dabei nicht wirklich. Denn wenn die Klassifizierung letztlich zu grob ist, um Schwächen beim Zugriffsmanagement auszugleichen, ist ihr Sinn doch deutlich in Frage gestellt.
Die Klassifizierung sollte deutlich mehr Informationen einbeziehen – wenn ein Dokument vertraulich ist und nur für bestimmte Bereiche der Organisation relevant ist, hat man schon deutlich mehr Attribute, mit denen man die Missbrauchsgefahr verringern. Anders formuliert: Wenn man schon klassifiziert, dann muss das granular sein, wobei zumindest ein Teil der Informationen wie die zur Organisationsstruktur auch automatisch generiert werden können.
Ein weiteres wichtiges Element ist das eigentliche Zugriffsmanagement, also die Steuerung von Berechtigungen. Diese ergeben sich eben nicht nur aus dem Vergleich von Informationen der Klassifizierung mit der Einstufung der Leser, auch wenn das bei einer granularen Klassifizierung bereits viel abdecken kann. Es kann hier durchaus auch um weitergehende Zugriffsberechtigungen gehen.
Wenn man das Thema aber wirklich adressieren möchte, ist man hier schnell wieder beim Information Rights Management, also der Verschlüsselung von Dokumenten und der direkten Zuordnung von Zugriffsberechtigungen zum Dokument. Damit wird sichergestellt, dass die Benutzer Dokumente nur in der genau definierten Form nutzen können – im Idealfall entsprechend der Klassifizierung und weiteren einschränkenden Berechtigungen.
Vor allem hat aber jemand, der direkten Zugang zum Informationsspeicher hat, dann vielleicht immer noch die Möglichkeit, aufgrund privilegierter Zugriffsberechtigungen Dokumente herunterzuladen. Er kann aber nichts damit anfangen, weil sie verschlüsselt sind.
Man könnte es auch anders formulieren: Wikileaks ist wie so oft kein Problem der Technologie, sondern ein Problem der Organisation im Sinne einer unzureichenden Nutzung der Möglichkeiten. Man hätte die Informationsmenge, die nun bei Wikileaks gelandet ist, massiv reduzieren können, wenn man nur Standard-Technologien richtig eingesetzt hätte.
Die „Bedrohung“ durch Wikileaks – die sich in expliziten Drohungen gegenüber der Finanzindustrie oder russischen Oligopolen äußert – macht aber eines deutlich: Nicht nur im staatlichen Bereich muss man sich mit Informationsklassifizierung und Information Rights Management als Ergänzung zum bisherigen, oft sehr unvollständigen Zugriffsmanagement beschäftigen.
Dieses Thema geht jedes privatwirtschaftliche Unternehmen an. Denn der Vorteil der IT, Informationen schnell verfügbar zu machen, ist eben auch ihre Schwachstelle. Immerhin kann man mit den richtigen Ansätzen erreichen, dass man im schlimmsten Fall nachvollziehen kann, wer die Daten „geklaut“ hat – und muss nicht hoffen, dass sich der Übeltäter in einem Blog oder Chat verrät.