Suchen

Klassifizierung von Informationen Wikileaks als Beleg für fehlendes Information Rights Management

| Autor / Redakteur: Martin Kuppinger / Stephan Augsten

Wikileaks bewegt die Gemüter: Während die einen die völlige Freigabe von Informationen befürworten, stellen die Sarah Palins dieser Welt den Wikileaks-Gründer Julian Assange auf eine Stufe mit Osama bin Laden. Aus Security-Sicht ist aber viel interessanter, warum ein Soldat im Mannschaftsdienstgrad die Dokumente überhaupt abrufen und weiterleiten konnte.

Firmen zum Thema

Berechtigte Frage: Warum hatte der Mannschafter Bradley Manning überhaupt Zugriffsrechte für die von ihm entwendeten Dokumente?
Berechtigte Frage: Warum hatte der Mannschafter Bradley Manning überhaupt Zugriffsrechte für die von ihm entwendeten Dokumente?
( Archiv: Vogel Business Media )

Bei den jüngst von Wikileaks veröffentlichten Dokumenten hat es sich offensichtlich um eher niedrig eingestufte Dokumente gehandelt: Vertraulich, aber eben nicht geheim oder streng geheim oder sonst etwas. Nur: Sollte jemand auf so viele Informationen, die vertraulich sind, Zugriff haben? Damit ist man bei zwei Kernfragen: Was bringt eine Klassifizierung, die so grob ist, wirklich? Und war das Zugriffsmanagement angemessen?

Die Informationsklassifizierung ist dabei ein interessanter Punkt. Eine durchgängige Klassifizierung von Informationen findet sich heute vor allem im staatlichen und militärischen Sektor. Im privatwirtschaftlichen Bereich fristet sie hingegen eher ein stiefmütterliches Dasein.

Offensichtlich genügt es aber nicht, wenn man sich darauf beschränkt, grobe Klassen von Vertraulichkeit zu definieren. Denn letztlich kann auch eine Masse von mittelmäßig wichtigen und interessanten Dokumenten in ihrer Summe deutlich problematischer sein.

Das könnte nun heißen, dass man ganz auf eine solche Klassifizierung verzichtet, weil sie ohnehin nichts bringt oder dass man deutlich granularer vorgeht. Das Argument, dass man eben zusätzlich Zugriffsrechte vergeben muss, zieht dabei nicht wirklich. Denn wenn die Klassifizierung letztlich zu grob ist, um Schwächen beim Zugriffsmanagement auszugleichen, ist ihr Sinn doch deutlich in Frage gestellt.

Die Klassifizierung sollte deutlich mehr Informationen einbeziehen – wenn ein Dokument vertraulich ist und nur für bestimmte Bereiche der Organisation relevant ist, hat man schon deutlich mehr Attribute, mit denen man die Missbrauchsgefahr verringern. Anders formuliert: Wenn man schon klassifiziert, dann muss das granular sein, wobei zumindest ein Teil der Informationen wie die zur Organisationsstruktur auch automatisch generiert werden können.

Seite 2: Zugriffs- und Berechtigungsmanagement

(ID:2048768)