Wikis in Organisationen: Datenschutz
Aus Wikibooks
Die richtige Information, zur richtigen Zeit am richtigen Ort zu haben, ist wohl eines der wichtigsten Paradigmen eines Wikis. Dies lässt aber auch im Umkehrschluss zu, dass Information auch integer gehalten werden muss, dass der Zugriff, sowohl lesen als auch schreiben, reglementiert sein muss. In welcher Stärke ist Definitionssache.
So gilt die Wikipedia als sehr offen, jeder kann ohne persönliche Authentifizierung (nur mit einer IP) Änderungen prinzipiell an allen Artikeln vornehmen. Jedoch mit Ausnahmen. Besonders böswillige IPs können gesperrt werden, bei Streitereien, die an Inhalten vollzogen werden (der sogenannte Edit-War), werden die betreffenden Artikel zum Bearbeiten gesperrt und Artikel die nicht den Kriterien entsprechen, werden für Nicht-Administratoren nicht sichtbar gemacht (man spricht zwar vom Löschen, aber es ist keine echte Löschung). Es gibt aber noch andere Gefahren mit falsch verteilten Informationen, wenn überhaupt unbefugte (z.B. Organisationsfremde) Zugriff auf die Information haben, weil sie das technische System cracken.
Die Definition, wer und wie planmäßig auf das Wiki zugreifen darf, beschreibt das Rollenkonzept.
Inhaltsverzeichnis |
[Bearbeiten] Technik
Alle Wikiengines werden durch http gelesen und auch beschrieben, die Technologie ist also Webstandard, zwar grundsätzlich nicht besonders als sicher berühmt. Aber dies lässt sich handeln, es werden ja sogar Bankgeschäfte über diese Technologie abgewickelt. Des weiteren ist natürlich die Scriptsprache (php, ruby on rails) oder die Datenbank des Systems ein möglicher Angriffspunkt.
Je nach Umgebung ist ein geeigneter Sicherheitsstandard zu wählen. Wird ein Wiki ausschließlich im, an sich schon geschützten, Intranet verwendet, richten sich die Sicherheitsanforderungen an die Systemumgebung.
Soll das Wiki aber über das Internet erreichbar sein (Kundenzugriff, homeoffice, externes Hosting), sind die Gefahren weit aus größer, aber nicht unlösbar. Je nach engine muss die native Zugangsteuerung des Wikis selbst durch eine Zugriffsregelung auf Webserverebene oder sogar auf Netzebene (VPN) geregelt werden. Hier unterliegt ein Wiki den gleichen Regeln wie jede andere (Server)-Software auch.
Stellt die Firma z.B. einen Webmailzugang zur Verfügung stellen, stellt sich die Frage, ob ein wiki nicht ebenfalls genau so behandelt werden kann. Bei allen technischen Sicherheitswällen ist meist Social Engineering die größte Gefahr, denn am häufigsten gelang ein Einbruch durch geknackte, erschnüffelte oder geklaute Passwörter.... Und solange ein Mitarbeiter mit Benno5 sein Systemzugang und damit seine Webmailzugang, mit allen Mails, offen stehen lässt, solange hilft die beste Technik nicht.
Prinzipiell sollte man aber die Option Fremdhosting immer prüfen.
[Bearbeiten] Inhalte
Zwar sollte man in einem Wiki alles speichern dürfen, doch die Sicherheit kann hier Grenzen setzen. Die Policy, wie sicherheitsrelevant Daten im Wiki sein dürfen (personenbezogenen Daten, Passwörter, Finanzdaten, etc.), muss auch vom Sicherheitskonzept abhängen.
[Bearbeiten] Positive Sicherheitsmerkmale
Ausgesprochen positive Sicherheitsmerkmale haben wikis aber auch:
- aufgrund der Serverstruktur werden kaum Daten an den Clients (z.B. Notebooks ) vorgehalten
- Information in realen Aktenordnern kann manchmal schneller eingesehen werden als das löchrigste IT-System
[Bearbeiten] Datenverlust
Der Datenverlust bei Systemausfällen ist leicht durch ein Backup der Datenbank oder des Filesystems zu beheben. Die meisten Wikis haben dabei eine erfrischend kleine Geasamtgröße, so sogar ein Backup übers Internet (auf einen externen Backup) mit Hausmitteln zu erledigen ist.
Es wird prinzipiell auch nichts gelöscht, so dass sich im Gegensatz zu einer Worddatei ein gelöschter Absatz schnell wiederherstellen lässt.
Theorie: Begriffe | Abgrenzung | Anwendung
Praxis: Ordnung | Kultur | Leben | Kontrolle | Datenschutz
Projekt: Einführung | Anforderungen an das Wiki & die Organisation | Software | Schulung
Meta: Referenzen | Nachwort
