31.08.2008   Michael Ritter
Value Chain Information Security #2: Was ist sensibel? 

Serie "Value Chain Information Security"
    Teil 1: Einführung
  Teil 2: Was ist sensibel?
  Teil 3: Ausgangssperre für Betriebsgeheimnisse
  Teil 4: Die Rechtslage


Im zweiten Teil meiner kleinen Serie über die Rolle die Rolle der Informationssicherheit in der Value Chain Security möchte ich mich mit einem scheinbar trivialen Thema auseinandersetzen, das jedoch in der Praxis oft erhebliches Getriebeknirschen auslöst: der Frage, welche Daten und Informationen des Unternehmens tatsächlich sensibel sind.

Viele Menschen tendieren dazu, diese Frage als "ist doch selbstverständlich" abzutun. Die Praxis zeigt jedoch immer wieder auf teils drastische Weise, dass unterschiedliche Menschen oft vollkommen unterschiedliche Vorstellungen davon haben, was sensibel ist und was nicht. Dazu kommt eine erhebliche Zahl an Menschen, die sich im Unternehmensalltag einfach keine Gedanken über diese Frage machen.

Umso wichtiger wird die Frage nach dem Schutzbedarf, wenn es um Unternehmensfremde geht, die Kenntnis von Betriebs- oder Geschäftsgeheimnissen haben oder sensible Gegenstände mit sich tragen - und sei es nur die Zugangskarte zum Gebäude. Ist sich das Unternehmen nicht einmal intern einig, was sensibel ist und was nicht, kann ein externer Partner wohl kaum in die Sicherheitsstruktur eingebunden werden.

Personenbezogene Daten

Bei personenbezogenen Daten ist es relativ einfach, da hier eine gesetzliche Definition vorliegt. Wichtig ist nur, dass sich die Mitarbeiter der dahinter stehenden Regeln auch bewusst sind. Die Belehrungsklausel im Arbeitsvertrag ist ein guter Anfang. Eine gelegentliche Auffrischung wäre aber auch hilfreich.

Betriebs- und Geschäftsgeheimnisse

Beim Thema Betriebs- und Geschäftsgeheimnisse wird es in der Praxis oft richtig kompliziert. An der Frage, was genau geheimhaltungsbedürftig ist, scheiden sich die Geister. Es ist daher notwendig, auf Unternehmensebene möglichst klare Standards zu definieren.

In einigen Fällen ist das ganze relativ klar: Forschungsergebnisse, die gerade zum Patent angemeldet werden, dürfte wohl jeder als sensibel erkennen. Problematisch wird es in der Grauzone alltäglicher Unternehmensinformationen.

Die Besprechung mit dem Chef, ob eine Rückrufaktion notwendig ist. Die Kopie der vorläufigen Bilanz, die gerade vom Steuerberater kam. Der Probeausdruck eines Briefes an einen Geschäftspartner mit einem Kooperationsvorschlag. Das Testprotokoll der Spritzgussmaschine. Sind diese Dinge sensibel und wenn ja, wie sensibel sind sie?

Informationsklassifizierung

Ein Weg zur Beantwortung der Frage, welche Informationen sensibel sind und wie diese zu schützen sind, ist Informations- bzw. Dokumentenklassifizierung.

Zur Erklärung hier ein leicht abgeänderter Ausschnitt aus meinem Google-Hack Beitrag zum Thema. Wer diesen Beitrag gelesen hat, kann den nächsten Abschnitt getrost überspringen.

Informationsklassifizierung - was ist das?

Unter Informations- oder Dokumentenklassifizierung im Sinne der Sicherheit versteht man die Einstufung von Informationen oder Gegenständen in vorgegebene Sicherheitsklassen. Mit jeder Sicherheitsklasse (z.B. "betriebsintern", "vertraulich" oder "geheim") sind bestimmte Anforderungen verbunden, insbes. an:
  • Zugang zur Information
  • Kennzeichnung
  • Speicherung / Aufbewahrung
  • Transport / Übermittlung
  • Vervielfältigung
  • Vernichtung
  • Dokumentation der Zugriffe
  • u.a.m.
Als primäres Kriterium für die Einstufung dient in der Regel der Schutzbedarf einer Information. Aber auch andere Kriterien wie Ansprüche an Authentizität, Verfügbarkeit, Nachweisbarkeit oder Integrität spielen eine Rolle.

Systeme zur Informationsklassifizierung können bei richtigem Einsatz einen unschätzbaren Beitrag zur Wahrung von Betriebsgeheimnissen leisten.

In der öffentlichen Verwaltung ist die Informationsklassifizierung schon seit langer Zeit ein normaler Prozess, insbes. in Gestalt der Verschlusssacheneinstufung. Bundes- oder Landesbehörden können Informationen oder Gegenstände als Verschlusssache einstufen und damit ein klar definiertes Regelwerk zum Umgang mit diesen Informationen aktivieren. In der öffentlichen Verwaltung werden die Geheimhaltungsgrade "VS - Nur für den Dienstgebrauch", "VS vertraulich", "GEHEIM" und "STRENG GEHEIM" unterschieden.

Vergleichbare Systeme gibt es in nahezu jedem Land der Erde. Auch einige internationale Organisationen wie z.B. die NATO haben entsprechende Systeme. Viele Länder wenden dabei die englischen Begriffe "restricted", "confidential", "secret" und "top secret" an. In einigen Bereichen gibt es Sonderklassifizierungen wie z.B. "COSMIC TOP SECRET" oder "FOCAL TOP SECRET" innerhalb der NATO.

Die goldene Regel beim Umgang mit Verschlusssachen lautet dabei: "Kenntnis nur, wenn nötig", im Englischen "need to know". Kenntnis darf (abseits anderer Anforderungen wie der Sicherheitsüberprüfung nach SÜG) nur gewährt werden, wenn dies nachweisbar erforderlich ist.

Der Umgang mit Verschlusssachen wird für Behörden insbes. in den jeweiligen Verschlusssachenanweisungen geregelt. Für Unternehmen, die mit Verschlusssachen umgehen, gilt u.a. das Geheimschutzhandbuch des Bundesministeriums für Wirtschaft und Technologie. Der Verrat von Verschlusssachen ist eine Straftat (insbes. §§ 94, 95 und 97 StGB).

Auch Abseits von Verschlusssachen im Sinne von Staatsgeheimnissen ist es oft sinnvoll, im Rahmen der Unternehmenssicherheit Klassifizierungssysteme einzuführen. Dieser Prozess braucht jedoch einiges an Wissen und Erfahrung, ansonsten wird diese Sicherheitsmaßnahme schnell wirkungslos oder sogar kontraproduktiv.

Zu groß?

Informationsklassifizierung ist der umfassende Ansatz zur Bewertung und Klassifizierung sensibler Informationen. Wem das Fass zu groß ist, der kann auch kleiner anfangen: mit einfachen Definitionen, was eine Information oder einen Gegenstand zu einem Betriebs- oder Geschäftsgeheimnis macht.

Value Chain Information Security

Ist die Frage, was eine Information oder einen Gegenstand sensibel macht, beantwortet, so sollten daraus Konsequenzen für die Value Chain Security gezogen werden, u.a.:
  1. Klärung, ob wirklich alle Inhaber und Verarbeiter sensibler Informationen in das Sicherheitskonzept einbezogen wurden.

  2. Treffen der notwendigen Vereinbarungen mit den Beteiligten (kommt in Teil 5)

  3. Kommunikation der Ergebnisse an die zuständigen Partner: auch externe "Geheimnisträger" müssen wissen, dass ihre geistige Fracht von Ihnen als sensibel und schutzwürdig angesehen wird.


Value Chain Security
Value Chain Security: Supply Chain, Distribution Chain und Enabler


Permalink  |  Tags:



 Kommentare
  Noch keine Kommentare

 Kommentar erstellen
Thema:
Name:
E-Mail:
Website:
 
Kommentar:  (Kein HTML - Verknüpfungen werden umgesetzt, wenn sie mit http:// beginnen)
 
       Meine Daten merken
Das Blog Verzeichnis
Die Pagerank-Anzeige ohne Toolbar
Das Blog Verzeichnis Blog Verzeichnis Blogverzeichnis - Blog Verzeichnis bloggerei.de Weblogliste Blog Top Liste - by TopBlogs.de Bloggeramt.de
Blogverzeichnis Bloglinks - Blogkatalog - Blogsuchmaschine
Blogverzeichnis
Bloglinks - Blogkatalog - Blogsuchmaschine
Österreicher Blog Verzeichnis
RSS Verzeichnis RSS Verzeichnis www.rankingcloud.de THE BOBs Blogverzeichnis Blogverzeichnis Schweizer Blog Verzeichnis
RSS Newsfeeds Verzeichnis RSS-Scout - suchen und finden Emule