#683 Gesehen: Snowden

Nachdem hier mitunter auch Themen wie IT-Sicherheit und Datenschutz angesprochen werden und auch schon Glenn Greenwalds Buch über den Fall Snowden rezensiert wurde, schreit natürlich auch der neue Film von Oliver Stone nach einer Würdigung.

Also am Sonntag Nachmittag mit der ganzen Familie ab ins Kino. Gut, Hannah (9) fand es streckenweise laaaaangweilig und auch Jonas (12) hatte bei manchen Sprüngen so seine Probleme, aber wenn sie Medienkompetenz lernen sollen, dann müssen sie da durch. FSK 6 ist ok, auch wenn der Film da inhaltlich überfordert. Es ist auch kein Film der, in die Details der Überwachungsthematik einsteigt, sondern eher ein Bio-Pic über die Person Snowden. Die Zerrissenheit und Widersprüchlichkeit der Person, die jahrelang vor der Transformation zum Whistleblower ja auch aktiv an der Überwachung beigetragen hat, könnte vielleicht noch deutlicher werden, obwohl sie sicherlich dargestellt wird.

Snowden – der Whistleblower – ist auch ein Stück Selbstinszenierung, die Snowden natürlich auch aus Selbstschutz braucht, aber für den Betrachter erschwert es die Differenzierung. Einzelne Details sind der Dramaturgie in der filmischen Umsetzung geschuldet:  Die Zuspitzung von Drohnenabsturz und epileptischen Anfall, oder das konkrete Procedere beim „Datendiebstahl“. Dass jemand, der eine hochspezifische Backup-Software schreibt, ganz banal in einer ad hoc-Aktion ein paar Dateien kopiert, die dann zufällig den ganzen Komplex so umfassend wiedergeben, scheint nicht gerade realistisch. Snowden ist sicherlich ein smartes Kerlchen, aber ob er tatsächlich Genie und Klassenprimus ist, gehört möglicherweise wieder in das Kapitel Inszenierung.

Alles in allem gebührt dem Film aber das Attribut sehenswert. Oliver Stone ist mal wieder derjenige, der als Zeitzeuge die Finger in die Wunden Amerikas legt, nach dem Vietnamkrieg (Platoon), der Kennedy-Ermordung nun der Fall Snowden. Snowden in dieser Reihe zu sehen ist mutig und sollte zum Nachdenken anregen.

Verstörend war aber weniger die hochprofessionelle Umsetzung Oliver Stones, als die dilletantische Platzierung im Kino: In der Werbung vor dem Film liefen Trailer für Agenten Thriller von Illuminati, über den neuen Tom Cruise bis hin zu einer Crime-Serie auf RTL. Wer in einem solchen Umfeld diese Werbung platziert hat wenig verstanden – am wenigsten den eigenen Job, geschweige denn diesen Film, aber letztlich bleibt dies ein kleiner Schönheitsfehler. Gott sei dank!

 

#587 it security canvas

Und noch ein Canvas… Nachdem der visualPM schon beim openPM-Canvas seiner Leidenschaft für die Visualisierung komplexer Themen nachgegangen ist, experimentiert er gerade wieder mit einer neuem Canvas: Einem it-security-canvas.

Dieser Canvas ordnet die Rubriken der ISO 27001:2013 (Wikipedia)  um ein stilisiertes System-Use-Case-Diagramm und erlaubt so auch eine visuelle Darstellung und Verknüpfung von IT-Security-Themen. Storytelling wird so auch für abstrakte Themen, wie IT-Sicherheit möglich. In einem ersten Anwendungsfall, habe ich versucht Defizite und Handlungsbedarfe im Vertrag mit einem IT-Service-Provider transparent herauszuarbeiten. Ich kann mir auch vorstellen den Canvas in verschiedenen Versionen als Poster weiter zu entwickeln, um Risks, Threats und Controls der relevanten Gebiete darzustellen.

Wer auch mit der it security canvas experimentieren will, ist hierzu herzlich eingeladen. Vorlagen gibt es in A0, A3 und A4 als pdf-download:

Kommentare als Feeback sind herzlich willkommen!

#408 Sicherheitsanforderungen im Cloud-Computing

Das BSI hat ein Eckpapier mit Mindestanforderungen für das Cloud-Computing veröffentlicht. Hier der direkte Link zum Eckpapier und hier zu einem Bericht des CIO-Magazins dazu.

#390 Juristische Fallstricke in Cloud, IT-Outsourcing und -Offshoring

In den letzten Postings haben sich wiederholt die Themen IT-Sicherheit und juristische Fallstricke in der Cloud, beim IT-Outsourcing und -Offshoring eingeschlichen. Passend hierzu eine Studie „Compliance im IT-Outsourcing. Theoretische und empirische Ermittlung von Eunfluss nehmenden Faktoren“ der Friedrich-Alexander-Universität Erlangen-Nürnberg, gemeinsam mit dem Beratungsunternehmen Accenture aus dem Jahr 2009. (In komprimierter Form auch als Artikel: „Compliance im IT-Outsourcing“  aus 2010).

In den Beiträgen werden detailliert Rechtsgrundlagen für mögliche Anforderungen angeführt, angefangen von Handelsrecht, Steuerrecht, den Grundlagen eines internen Kontrollsystems (AktG, SOX,…), Basel II bis hin zum Bundesdatenschutzgesetz. Ein wichtiger Rechtskomplex fehlt allerdings noch in der Auflistung: Das Thema Außenhandel.

Rechtsgrundlagen wären hier einmal auf EU-Ebene die Embargo-Verordnung und die Dual-Use-Verordnung, im deutschen Recht das Außenwirtschaftsgesetz (AWG), die Außenwirtschaftsverordnung (AWV) und das Kriegswaffenkontrollgesetz (KrWaffKontrG). Beim Bundesamt für Wirtschaft und Außenhandel (BAFA) genehmigungspflichtig ist die Ausfuhr von Produkten und Technoloigen, die entsprechend in der Ausfuhrkontrolliste erfasst sind. Und hier liegt der Hase im Pfeffer: Wenn also eine Stückliste, eine technische Zeichnung oder ähnliches in der Cloud liegt, stellt dies rechtlich  möglicherweise bereits einen Technologieexport dar und dies unabhängig davon, ob ein Zugriff darauf tatsächlich erfolgt oder nur möglich ist, denn das zugrundeliegende Recht soll ja bereits die Zugriffsmöglichkeit auf entsprechende Technologien in als kritisch angesehenen Ländern unterbinden. Mit der Dual-Use-Problematik (also der militärischen Einsatzbarkeit von Gütern und Technologien, die eigentlich für nicht militärische Zwecke gedacht waren) ergibt sich eine Relevanz dieser Anforderungen nicht nur für Waffenexporteure oder -hersteller, sondern für alle exportiernenden Unternehmen und exportierend bezieht sich hierbei nicht nur auf den eigentlichen Geschäftsvorgang, sondern möglicherweise auch schon auf die Datenhaltung, wenn also z.B. die Server für eine Inlandsfertigung aus dem Ausland administriert werden.

Bei der Vielzahl der Anforderungen ist das Thema aber noch nicht komplex genug: Zu berücksichtigen ist ja nicht nur die Rechtsgrundlage in Ursprungs- und Zielland, sondern aller beteiligter Länder (also z.B. wenn Teile oder Technologien aus einem Drittland stammen, wenn das Hosting der Daten in einem Drittland (oder der Cloud??) erfolgen, usw.. Eine Besonderheit stellt diesbezüglich US-Recht dar, das für sich einen gewissen extraterritorealen Rechtsanspruch erhebt.

Wer jetzt gedacht hat, wir würden in einer globalisierten Welt leben, der fragt sich, ob nicht die Realität in den Unternehmen und die Rechtslage weit auseinander klaffen. In den Diskussionen zur Cloud und zu IT-Outsourcing und -Offshoring lässt sich die Awareness für diese Themen noch weitgehend vermissen.

#389 Blackberry und IT-Sicherheit

Während Thomas de Maiziere, der Bundesinnenminister, seine Kabinettskollegen vor dem Blackberry-Einsatz (aber auch vor dem iPhone) warnt (die Kritik läuft wie bei der BSI-Kritik an Google Waves darauf hinaus, dass die Daten bei einem externen Anbieter – nänlich RIM, dem Blackberry-Hersteller, gespeichert werden), ist das saudische Blackberry-Problem auf unkonventionelle Weise „gelöst“: Die Saudis bekommen jetzt eigene Server und dürfen mitlesen… Nachzulesen – nein, nicht bei RIM – sondern bei  Computerwoche  und Golem.

#386 Zuviel IT-Sicherheit

Man könnte unken, dass die aktuelle Blackberry-Thematik (siehe im IT-Reader oder hier) mit einem zu hohen Maß an IT-Sicherheit zu tun hat. Da ist es dem einen oder anderen Staat gar nicht Recht, von der Kommunikation, bzw. von der Mitverfolgung der Kommunikation ausgeschlossen zu sein. Es kann ja nicht jedes Land die entsprechenden Schlüssel besitzen…

#385 IT-Reader