Im dritten Teil meiner kleinen Serie zur Rolle der Informationssicherheit in der Value Chain Security geht es um eine Grundsatzfrage: welche sensiblen Daten oder Gegenstände dürfen das Unternehmen verlassen?

Die Motivation, dieser Frage einen eigenen Beitrag zu widmen, kommt nicht aus der Theorie, sondern aus der (Prüfungs-)Praxis. Schaut ,man sich den Fluss sensibler Informationen innerhalb und außerhalb eines Unternehmens an, so stellt man in vielen Fällen fest, dass manch Schützenswertes unnötig außer Haus gegeben wird.

Beispiele gibt es viele. Der Softwarelieferant, der die gesamte Kundendatenbank zum Schnittstellentest erhält, obwohl er nur einige wenige Datensätze braucht. Der IT-Lieferant, der den Server mit samt Plattensystem zur Reparatur der Netzwerkkarte erhält. Oder der Gartenbauer, der die gesammelten Grundrisse des Standortes bekommt, obwohl er nur die Außenanlagen neu gestalten soll.

Need to know?

Grundsätzlich lässt sich die Frage recht einfach beantworten: sensible Daten dürfen (in Verbindung mit der Einhaltung gewisser Regeln) dann das Haus verlassen, wenn der Empfänger Kenntnis von diesen Informationen haben muss. Dahinter steht die goldene Grundregel der Geheimhaltung: "Kenntnis, wenn nötig" oder "need to know".

In der Praxis ist dies natürlich etwas schwieriger aus. Wird jedoch vor der Weitergabe sensibler Daten oder Gegenstände die Frage nach der Notwendigkeit der Kenntnisnahme bewusst gestellt und beantwortet, so ist ein großer Schritt nach vorne getan.

Standardisierung

Mit Rückblick auf den zweiten Teil lässt sich sagen, dass Dokumentenklassifizierung eine erhebliche Erleichterung darstellt, wenn es um die Frage geht, welche Informationen das Unternehmen verlassen dürfen. Sind klare Regeln vorhanden, was sensibel ist und wie man es schützt, so lassen sich auch klare Grenzen ziehen.

Wer den manchmal etwas steinigen Weg der unternehmensweiten Dokumentenklassifizierung noch nicht gegangen ist oder ihn nicht gehen will, der sollte trotzdem versuchen, möglichst klare Regeln für die Weitergabe sensibler Daten und Gegenstände an Dritte aufzustellen. Viele Unfälle passieren, weil sich die Mitarbeiter weder bewusst sind, was sie herausgeben dürfen noch klare Vorgaben vorhanden sind, wie und an wen dies geschehen darf.

Clearance

Es macht Sinn, im Rahmen der Unternehmenssicherheit neben der Information auch den Empfänger genauer zu betrachten. Es gibt sicherlich für jedes Unternehmen Partner, denen man mehr vertraut als anderen - und das ist auch gut so. Partner, die über keine eigene Qualifikation in Sachen Informationssicherheit verfügen, tun sich oft schwer, sensible Daten angemessen zu beschützen. Bei so manchem Handwerksbetrieb hört die IT-Sicherheit beim Virenschutz auf.

In der Regel wird diese Frage informell und durch einzelne Mitarbeiter betrachtet. Es kann jedoch Sinn machen, Vertrauen als Konzept zu formalisieren und Unternehmen bzw. Einzelpersonen einen "Clearance Level" zu geben, an den natürlich bestimmte Voraussetzungen gebunden sind (z.B. die Unterzeichnung bestimmter Vereinbarungen).

In Zusammenhang mit der Dokumentenklassifizierung kann dann ein Mindestlevel für den Zugang zu bzw. die Aushändigung von Informationen bestimmter Einstufungsgrade definiert werden. In der öffentlichen Verwaltung ist dies Alltag. So ist z.B. für den Zugang zu Verschlusssachen des Einstufungsgrades GEHEIM eine "Ü2", eine Sicherheitsüberprüfung nach §9 SÜG erforderlich. Ohne diese Freigabe darf der Zugang (von definierten Ausnahmefällen abgesehen) nicht gewährt werden.

Einem Privatunternehmen stehen natürlich nicht die gleichen Möglichkeiten zur Überprüfung zur Verfügung - der Datenschutz und die Persönlichkeitsrechte verhindern dies aus gutem Grund. Ein Regelwerk kann trotzdem erstellt um umgesetzt werden.

Eine Warnung will ich aber auch gleich mitgeben: ich habe Fälle gesehen, in denen Unternehmen die "Clearance" (oder etwas vergleichbares) als Mittel zur Nötigung benutzt haben, um überzogene eigene Forderungen durchzusetzen ("ohne uneingeschränktes Prüfungsrecht für ihre IT können wir den Auftrag nicht vergeben"). Solches Geschäftsgebaren sollten Sie den Corleone's dieser Welt überlassen. Forderungen an Partner müssen angemessen und umsetzbar sein. Mehr dazu gibt es im übernächsten Teil.

Propheten und Berge

Ein weiterer wesentlicher Aspekt ist besonders für die IT relevant: müssen die Daten wirklich außer Haus oder kann der Prophet auch zum Berge kommen? Klemmt das CRM-System, so ist eine Fehlersuche ohne den Originaldatenbestand in manchen Fällen schwierig. Das bedeutet aber nicht unbedingt, dass man den ganzen Datenbestand zum Dienstleister schaffen muss. Vielleicht ist eine Fehlersuche ja auch im eigenen Netzwerk möglich.

Natürlich können weitere Kosten entstehen, wenn der Spezialist ins Haus kommt. Sicherheit kostet Geld, und die Reisespesen des Technikers sind an dieser Stelle sicherlich gut angelegt.

Technische Ausgangssperre

Auch die besten Regelungen können nicht verhindern, dass jemand absichtlich oder fahrlässig gegen sie verstößt. An dieser Stelle kann die Technik Hilfestellung geben.

Zurzeit finden erhebliche Weiterentwicklungen im Bereich Data Loss Protection / Data Leakage Protection (DLP) statt. Während Systeme dieser Gattung bis vor relativ kurzer Zeit noch kinderleicht auszutricksen waren (was für einige Anbieter heute noch gilt), geht die Entwicklung momentan in Richtung der Clientintegration, was eine höhere Erfolgswahrscheinlichkeit bietet.

Die Einrichtung solcher Sperren ist je nach Qualitätsanspruch und Technik oft eine recht komplexe Aufgabe. Bei der Wahl des richtigen Systems lohnt sich der Aufwand jedoch allemal.

Abseits des eigentlichen Schutzes vor illegaler Ausbringung von Daten kann auch der Einsatz von Scannern, z.B. im E-Mailverkehr, sinnvoll sein, um Versuche zu erkennen (here be dragons: Datenschutz und Persönlichkeitsrechte beachten!)

Mehr möchte ich an dieser Stelle zu DLP nicht schreiben - das Thema ist doch recbt komplex. Zu einem späteren Zeitpunkt werde ich mich mit diesem Themenbereich nochmal detailliert auseinandersetzen.

War das schon alles?

Eigentlich nicht, aber irgendwo muss auch ein Blogbeitrag mal ein Ende finden. Im nächsten Teil der Serie geht es dann um Zugangsberechtigungen aller Art. Bis dahin...



Value Chain Security: Supply Chain, Distribution Chain und Enabler

Kommentare

  Noch keine Kommentare

 Kommentar erstellen

Thema: Name: E-Mail: Website:   Kommentar:  (Kein HTML - Verknüpfungen werden umgesetzt, wenn sie mit http:// beginnen)          Meine Daten merken