Embed Size (px)
Citation preview
Content SecurityMit Sicherheit neue Konfikte
2. EDV-Rechts-SymposiumSystems 20.10.1999
Johannes Wiele
Die Ausgangslage
Geschäftliche Kommunikation auf elektronischem Weg nimmt zu
E-Mails und Web-Seiten enthalten neben reinem Text Funktionselemente
ActiveX- und Java-Applets sowie Code in Attachments werden beim Empfänger ausgeführt
Die Ausgangslage
Es werden immer neue Sicherheits-lücken bekannt
Je wichtiger elektronische Geschäfts-vorgänge werden, desto größer der Zwang zum Speichern
Auch unbekannte Sites müssen besucht werden
Die Ausgangslage
Arbeitszeiten machen private Kommu-nikation am Arbeitsplatz notwendig
Die Sorgen
Was richten die Mobile Codes auf den Client-Rechnern an?-Löschen ?
-Zerstören ? -Spionieren ?
Generelles Blocken von Mobile Codes unterbindet Kommunikation
Interessen-Konflikt
Die Sorgen
Was verschicken die Mitarbeiter per E-Mail?-Geschäftsgeheimnisse? -Unhaltbare Zusagen? -Viren?
-Privatpost?
Verantwort-lichkeit
Zeit- und Bandbreitenverbrauch
Die Sorgen
Was treiben die Mitarbeiter im Web?-Besuch von „verbotenen“ Sites?-Seiten mit Mobile Codes?
-Privat-Recherchen? -Nebenerwerb? -Neuen Job suchen?
Verant-wortlichkeit
Auf Unter-nehmenskosten?
Zentrale Interessen sind berührt
Arbeitsfähigkeit (z.B. Service)
Verlässlichkeit (z.B. Web-Infos)
Konkurrenzfähigkeit (Betriebsgeheimnis)
Geistiges Eigentum (z.B. Urheberrecht)
Geschütze Daten (Personal, Finanzen)
Bild in der Öffentlichkeit
Business-to-Business
Content Filtering als Lösung
Blocken von Mobile Codes anhand von Signaturen (z.B. Virenscanner)
Blocken von Mobile Codes anhand ihrer Verhaltensweise (z.B. Sandbox)
Zensur von Mail- und Webinhalten
Haftungsausschluss als Mail-Anhang
Content Filtering als Problem
Technische Content-Kontrolle kann versagen
Content Filtering behindert freien InformationsflussKollision mit Datenschutz-Belangen (Informationsbezogene Selbstbestimmung)
Akzeptanz-Probleme (Kontrolle, Zensur!)
Zum Verständnis: Airport als Analogie
Einige Regeln der Gepäck-Kontrolle am Flughafen sind übertragbar
Charakteristische Unterschiede zeigen die Grenzen und Möglichkeiten von Content Security
Zum Verständnis: Airport-Analogie
Warum wird Gepäck-kontrolle akzeptiert?
Der größte Teil des Inhalts ist belanglos
Der Nutzen steht außer Frage
Niemand schaut nach Dokumenten
Kontrolleure sind ausgebildete Vertrauenspersonen
Regeln und Sanktionen sind bekannt
Zum Verständnis: Airport-Analogie
Technik allein versagt als Inhaltskontrolle immer
Foto mit Röntgenschaden
Zum Verständnis: Airport-Analogie
Sandbox-Technologie: Verdächtige Codes werden im geschützten Browser „getestet“
Waffe, Feuerzeug oder Spielzeug?
Ausprobieren! Funktioniert auch bei unbekannten Gegenständen.
Content Security
Die Kontrolleure sind keine Vertrauenspersonen
Jeder Inhalt ist entweder ge-schäftlich oder persönlich von Belang
Der Nutzen ist nicht unmittelbar einsichtig
Es wird nach geistigem Eigentum gesucht
Regeln und Sanktionen sind oft unbekannt
Handkontrolle unmöglich
Qualitätsmerkmale für Mobile-Code-Filter
Filter müssen immer Up-to-Date und leicht zu warten sein
Nach Signaturen und Verhaltensweisen filtern
Aus Web-Sites nur Applets filtern, nicht ganze Seiten
Der Filter muss den Kommunikationsteilneh-mern (nicht nur dem Administrator!) jeden Eingriff mitteilen
Gegen Fehl-Informationen!
Mobile-Code-Filter:Resümee
Mobile Code Filter sollten im E-Commerce Standard sein
Richtige Anwendung erfordert Wissen und Aufmerksamkeit
Gute Anbieter zeichnen sich durch Schulungsangebote und Service aus
Oft unterschätzt!
Regeln für Zensur- und Speicherverfahren
Die Systeme müssen Schnittstellen für Datenschutz-Verfahren haben (z.B. Zugriff nur mit Vertrauensperson, Betriebsrat usw.) Die Filter- und Speicher-Regeln müssen allen internen und externen Kommunikationspartnern bekannt sein (gehört z.B. auf die Website und ins Personal-Einführungsgespräch)
Regeln für Zensur- und Speicherverfahren
Es muss eine Vertrauensperson als Ansprechpartner geben
Das Unternehmen muss gegenüber den Kommunikationspartnern auskunftspflichtig sein
Die Kommunikationspartner müssen analog zum Briefverkehr E-Mails „vertraulich“ senden können
Anmerkungen zu Zensur-Filtern
Wenn Zeitvergeudung nur übers Surf-Protokoll erkennbar ist, stimmt die Arbeitsorganisation nicht
Misstrauen beruht oft auf Unkenntnis beim Management
Wer beziffert informellen Informationsgewinn per Internet?
Schlecht fürs Image
Weitere Informationen
CRN-Internet-Site: http://www.channelweb.de
Content Security global:www.wiele.com/filtersite
