Menü
Avatar von Netzbuergerlein
  • Netzbuergerlein

mehr als 1000 Beiträge seit 04.08.2015

Re: gute Frage ...

Hmm, der Audit auf dem zu auditierenden System selbst? Du bemerkst das Problem?

Alternativ könnte man einen "Audit-Proxy" einsetzen, der das "Umverpacken" (also quasi als "man-in-the-middle") übernimmt. Der würde dann praktisch natürlich auch die Identität der Gegenstelle prüfen.

Oder das zu auditierende System leitet alles parallel (mit einem Zertifikat speziell für das System, auf dem der Audit läuft) aus.

So wie ich das Problem mit eTLS verstehe, verlassen bei aktuellen Umsetzungen auch Daten das Unternehmen, die eben außer dem intendierten Empfänger noch eine dritte Stelle lesen kann (obwohl der Audit ja innerhalb z.B. der Bank erfolgt).

Entweder besteht hier ein regulatorisches Problem (die Audit-Erfordernisse erzwingen dann aktuell, dass auch außerhalb des Hauses, in dem ein Audit erfolgt, Daten in einer "mitlesbaren" Form übertragen werden) oder es gibt die Option eTLS (oder ein vergleichbares System) nur für die Kommunikation innerhalb der Bank (dann sehe ich kein Problem) zu nutzen.

Verhindert werden muss "nur", dass derlei von anderen Systemen (z.B. dem Computer eines Endbenutzers) akzeptiert wird. Denn damit entstünde die Problematik, dass an beliebiger Stelle mit geeigneten Nachschlüsseln mitgelesen werden könnte (und das ggf. nicht nur bei Bankdaten, bei denen der Nutzer ja ohnehin keine "reasonable expectation of privacy" bzgl. der technischen Mitlesbarkeit durch staatliche Stellen haben kann).

Bewerten
- +
Anzeige