Risiken durch Cloud-, Freigabe- und Bearbeitungsverläufe
Wenn beim Whistleblowing Cloud-Dienste verwendet werden, bleiben neben dem Dateiinhalt viele Verläufe zurück.
Wer hat die Datei erstellt. Wer hat sie geöffnet. Mit wem wurde sie geteilt. Wer hat kommentiert. Wann wurde sie bearbeitet. Mit welchem Konto wurde darauf zugegriffen.
Google Drive, Microsoft 365, Dropbox, interne Clouds und Dokumentenmanagementsysteme sind praktisch, werden beim Whistleblowing aber zu starken Hinweisen.
Unterlagen in der Cloud müssen nicht als Dateien, sondern als Sammlung von Verläufen betrachtet werden.
Verläufe, die in der Cloud zurückbleiben
Cloud-Dienste speichern Verläufe für die Zusammenarbeit.
Im normalen Arbeitsalltag ist das praktisch. Beim Whistleblowing wird es aber zu einer Aufzeichnung darüber, wer eine Unterlage berührt hat.
Verlauf
Was sichtbar wird
Ersteller
Wer die Datei zuerst erstellt hat
Letzte bearbeitende Person
Wer zuletzt Änderungen vorgenommen hat
Ansichtsverlauf
Wer die Datei geöffnet hat
Freigabeverlauf
Wem Link oder Berechtigung gegeben wurden
Kommentarverlauf
Wer auf welchen Teil reagiert hat
Auch wenn eine Datei heruntergeladen und extern gesendet wird, kann auf Cloud-Seite zurückbleiben, wer sie davor berührt hat.
Cloud-Verläufe bestehen nicht nur aus dem Verlauf, den Nutzende sehen. Neben Bearbeitungsverlauf und Kommentaren auf dem Bildschirm können Audit-Logs für Administrierende, Zugriffslogs, Geräteinformationen, IP-Adressen und Verläufe von Freigabeeinstellungen zurückbleiben. In Organisations-Clouds können Administrierende Logs sehen, die normalen Nutzenden nicht angezeigt werden.
Beim Whistleblowing ist dieser Punkt wichtig. Auch wenn Namen aus dem Dateiinhalt entfernt werden, können Kandidaten eingegrenzt werden, wenn in der Cloud zurückbleibt, "wer geöffnet hat", "wer kopiert hat" oder "wer extern geteilt hat".
Gefahr durch Freigabelinks
Mit Freigabelinks lassen sich Unterlagen einfach weitergeben.
Bei Linkfreigaben spielen jedoch Eigentümer, Berechtigungen, Betrachtende, Benachrichtigungen und Zugriffszeitpunkte eine Rolle.
Element der Freigabe
Risiko
Eigentümername
Klarname oder Organisationskonto wird sichtbar
Linkberechtigung
Es wird unklar, wer zugreifen kann
Ansichtsbenachrichtigung
Zugriff wird Gegenüber oder Eigentümer mitgeteilt
Freigabeliste
Verlauf, wem etwas gegeben wurde, bleibt zurück
Downloadverlauf
Zeitpunkt des Abrufs bleibt zurück
Beim Whistleblowing ist es gefährlich, einen Link aus der normalen Arbeits-Cloud nach außen zu senden.
Das kann in Audit-Logs der Organisation zurückbleiben.
Ein Freigabelink sieht oberflächlich nur wie eine URL aus. Im Hintergrund hängen aber Eigentümer, Berechtigungen, Freigabezeitpunkt, zugreifende Personen, Downloads und Benachrichtigungen daran. Wenn ein Link nach außen gesendet wird, können Einstellungen bewirken, dass Eigentümer oder Administrierende benachrichtigt werden.
Auch die Änderung von Freigabeeinstellungen selbst kann auffallen. Wenn eine Unterlage, die normalerweise nur intern genutzt wird, plötzlich auf "alle mit dem Link" gesetzt wird, kann das auditrelevant werden. Beim Whistleblowing mit Cloud-Freigaben denkt man zuerst über das Risiko des Freigabewegs nach, noch vor dem Dateiinhalt.
Bearbeitungsverläufe können gefährlicher sein als der Text
In Bearbeitungsverläufen können Informationen zurückbleiben, die aus dem Text entfernt wurden.
Kommentare, Vorschläge, Änderungsverläufe, frühere Versionen, gemeinsam Bearbeitende, gelöschte Sätze. Sie zeigen Entstehungsprozess und Beteiligte der Unterlage.
Bearbeitungsverlauf
Risiko
Frühere Versionen
Gelöschte Namen oder interne Informationen bleiben zurück
Kommentare
Review-Personen oder Abteilungen werden sichtbar
Vorschlagsmodus
Es wird sichtbar, wer korrigiert hat
Gemeinsam Bearbeitende
Kreis der Beteiligten wird sichtbar
Änderungszeit
Wird mit Arbeitsaufzeichnungen oder Besprechungen abgeglichen
Nur die fertige Version anzusehen reicht nicht, um Sicherheit zu beurteilen.
Bei Diensten mit Verlauf trennt man die aktuelle Anzeige von früheren Aufzeichnungen.
In gemeinsam bearbeiteten Dokumenten können gelöschte Sätze in früheren Versionen zurückbleiben. Kommentare enthalten Namen von Zuständigen, Abteilungen, Review-Abläufe und interne Entscheidungen. Im Vorschlagsmodus wird sichtbar, wer welche Formulierung geändert hat.
Wenn ein Dokument für Whistleblowing vorbereitet wird, darf man sich nicht von der aktuell angezeigten fertigen Version beruhigen lassen. Man prüft frühere Versionen, Kommentare, Vorschläge, gemeinsam Bearbeitende, Änderungszeiten und Dateieigentümer. Falls nötig, erwägt man eine Kopie in einer Form, die Verläufe weniger leicht mitnimmt.
Situationen, die beim Whistleblowing besondere Vorsicht brauchen
Beim Whistleblowing können Cloud-Verläufe Handlungen der hinweisgebenden Person zeigen.
Eine Unterlage geöffnet, kopiert, Freigabeeinstellungen geändert, heruntergeladen oder an ein anderes Konto weitergeleitet. Solche Vorgänge können in Organisationen auditrelevant sein.
Handlung
Zurückbleibender Hinweis
Unterlage öffnen
Ansichtszeit und Konto
Kopie erstellen
Ersteller der Kopie und Erstellungszeit
Freigabeeinstellungen ändern
Konto, das die Handlung ausgeführt hat
Herunterladen
Abrufzeit und Geräteinformationen
Kommentare löschen
Änderungsverlauf oder Audit-Log
Nicht nur der Moment, in dem eine Datei nach außen gelangt, sondern auch Handlungen davor und danach können sichtbar sein.
In Organisations-Clouds sind auch Zugriffsberechtigungen ein Hinweis. Wenn ohnehin nur wenige Personen eine Unterlage sehen können, kann schon das bloße Betrachten den Kandidatenkreis verengen. Herunterladen, Drucken, Kopieren und Änderungen an Freigabeeinstellungen fallen stärker auf als normales Betrachten. Beim Umgang mit internen Unterlagen denkt man nicht nur darüber nach, was getan wurde, sondern auch, ob diese Handlung als normale Arbeitshandlung natürlich wirkt.
Entscheidung, die Cloud nicht zu nutzen
Bei hohem Whistleblowing-Risiko kann es nötig sein, auf Cloud-Freigaben zu verzichten. Die gewöhnliche Arbeits-Cloud ist gerade deshalb praktisch, weil sie Verläufe behält. Es gibt gemeinsame Bearbeitung, Ansichtsverläufe, Benachrichtigungen, Verwaltungslogs und Geräteprotokolle.
Das bedeutet aber nicht, dass es sicher ist, keine Cloud zu nutzen. USB, Druck, Fotos, E-Mail und Messenger haben jeweils andere Verläufe. Entscheidend ist, zu vergleichen, auf welchem Weg welche Logs zurückbleiben.
Beim Whistleblowing beginnt das Risiko nicht erst im Moment, in dem eine Unterlage nach außen gelangt, sondern schon bevor man sie berührt. Mit welchem Konto wird sie geöffnet. Wer hat Leseberechtigung. Ist der Öffnungszeitpunkt unnatürlich. Sind Downloads oder Druckvorgänge auditierte Handlungen.
Wenn man ohne diese Prüfung handelt, lassen sich Verläufe später nur schwer entfernen. Die Cloud ist ein praktischer Arbeitsort und zugleich ein Ort, an dem Handlungen aufgezeichnet werden. Vor dem Zugriff auf Unterlagen überlegt man, welche Handlung wo zurückbleibt. Besonders Zugriffe zu ungewöhnlichen Zeiten oder von ungewohnten Geräten können auffallen. Audit-Logs sind für Nutzende manchmal nicht sichtbar; daraus folgt nicht, dass sie nicht existieren.
Zusammenfassung
Cloud-Verläufe, Freigabeverläufe und Bearbeitungsverläufe sind für Hinweisgebende ein starkes Risiko.
Ersteller, Betrachtende, Freigabeziele, Kommentare, frühere Versionen und Downloadzeiten zeigen den Weg der Unterlagen und die Beteiligten.
Auch wenn Namen aus dem Text entfernt wurden, können Informationen im Cloud-Verlauf zurückbleiben.
Beim Whistleblowing betrachtet man die Cloud nicht als "Dateiablage", sondern als System mit Operationsverläufen.
Verwandte Werkzeuge
Anonymous communication
Tor Project
Eine externe Ressource zu diesem Artikel. Öffne sie nur, wenn sie zu deiner Situation und deinem Bedrohungsmodell passt.
Warum es hier aufgeführt ist: Sie kann beim Thema des Artikels helfen, liegt aber außerhalb von Anonymity Sense und sollte vor der Nutzung geprüft werden.
Eine externe Ressource zu diesem Artikel. Öffne sie nur, wenn sie zu deiner Situation und deinem Bedrohungsmodell passt.
Warum es hier aufgeführt ist: Sie kann beim Thema des Artikels helfen, liegt aber außerhalb von Anonymity Sense und sollte vor der Nutzung geprüft werden.
Eine externe Ressource zu diesem Artikel. Öffne sie nur, wenn sie zu deiner Situation und deinem Bedrohungsmodell passt.
Warum es hier aufgeführt ist: Sie kann beim Thema des Artikels helfen, liegt aber außerhalb von Anonymity Sense und sollte vor der Nutzung geprüft werden.
Eine externe Ressource zu diesem Artikel. Öffne sie nur, wenn sie zu deiner Situation und deinem Bedrohungsmodell passt.
Warum es hier aufgeführt ist: Sie kann beim Thema des Artikels helfen, liegt aber außerhalb von Anonymity Sense und sollte vor der Nutzung geprüft werden.
Eine externe Ressource zu diesem Artikel. Öffne sie nur, wenn sie zu deiner Situation und deinem Bedrohungsmodell passt.
Warum es hier aufgeführt ist: Sie kann beim Thema des Artikels helfen, liegt aber außerhalb von Anonymity Sense und sollte vor der Nutzung geprüft werden.