Beruflich Dokumente
Kultur Dokumente
schutz in Zeiten
Anzahl der auf Enthüllungsplattfor-
men abgelegten Dokumente muss für
Verantwortliche jeden Unternehmens
M
it der Veröffentlichung von Do-
kumenten über die Kriege im
Irak und Afghanistan sowie der De-
genutzt werden. Anders als bei Wikileaks
besteht bei den Letztgenannten der Vor-
teil, dass diese redaktionell betrieben wer-
ebenso wie die technische und organi-
satorische Möglichkeit, Informationen
preiszugeben. Wirksamer und nachhal-
peschen amerikanischer Diplomaten den und daher eine Auswahl der gemel- tiger Informationsschutz setzt sich da-
hat die Plattform Wikileaks eine neue deten Unterlagen vorgenommen wird. her aus drei Komponenten zusammen.
Dimension von „Enthüllungsjourna- Ausgeschlossen ist dennoch nicht, dass 1. Wesentlich ist im ersten Schritt die
lismus“ eröffnet. Diesem prominenten Informationen preisgegeben werden, die Adressierung der Unternehmenskul-
Beispiel folgend haben andere Anbieter – selbst bei kritischer Betrachtung – die tur und des Werteverständnisses der
neue Plattformen wie OpenLeaks oder Nutzung einer solchen Enthüllungsplatt- Belegschaft, um sicherzustellen, dass
die Plattform der Westdeutschen Allge- form nicht rechtfertigen. bestehende Missstände und konstruk-
meinen Zeitung ins Leben gerufen. tive Hinweise jederzeit an- und ausge-
Man kann in der Diskussion verschie- sprochen werden können und die Mit-
Bereits jetzt ist erkennbar, dass diese ver- denen Meinungen über den Sinn und arbeiter sehen, dass auf ihre Hinweise
mehrt auch für die Preisgabe geschäfts- den Nutzen solcher Enthüllungsplatt- angemessen reagiert wird. Damit wird
relevanter Unternehmensinterna oder formen folgen. Allen gemein ist aus Sicht die wesentlichste Triebfeder für eine
sogar für die Weitergabe persönlicher der Unternehmen aber, dass das Risiko Publikation schützenswerter Informa-
bzw. höchst vertraulicher Informationen der Preisgabe vertraulicher, interner In- tionen nach außen adressiert.
2. Darüber hinaus sind technische und sen, gleichzeitig aber auch dafür sorgen, individuelle Schutzmaßnahmen erarbei-
organisatorische Maßnahmen zu tref- dass der Inhalt der Unterlagen nicht tet werden, die einerseits festlegen, wie
fen, die aus dem Bereich der klassischen kopiert oder extrahiert werden kann. Informationen gemäß der Kategorien
Informationssicherheit und des Infor- korrekt zu klassifizieren sind und die an-
mationsschutzes abzuleiten sind. Hier- Schutzbedarfskategorien dererseits die Zugriffberechtigungen re-
zu zählen technische Sicherungsmaß- In der grundsätzlichen Konzeption sol- geln. Sind entsprechende Schutzbedarfs-
nahmen, mit denen es den Nutzern cher Informationssicherheitsmaßnahmen kategorien gebildet, können neue und
erschwert wird, elektronische Infor- werden üblicherweise Schutzbedarfs- bereits vorhandene Dokumente diesen
mation zu kopieren oder zu versenden. kategorien gebildet, in die Dokumente zugeordnet werden.
Damit verbunden sind solche techni- und Informationen einsortiert werden.
schen Einrichtungen, mit denen der Beispielsweise wird unterschieden, ob Üblicherweise ist die Erarbeitung von
Einsatz mobiler Datenträger oder un- ein Dokument für alle Mitarbeiter des Schutzbedarfskategorien sowie die Klas-
kontrollierte Vernetzung beschränkt Unternehmens zugänglich sein soll oder sifizierung von Daten und Informationen
wird. Auch aktuelle Systeme im Be- einer höheren Schutzbedarfskategorie ein iterativer Prozess, der einer stetigen
reich Data Loss Prevention (DLP) so- zuzuordnen ist. Anpassung unterliegt. Diese Anpassung
wie zur Verschlüsselung und zur Ein- resultiert auf der einen Seite aus der fort-
bringung von Wasserzeichen gehören In der graduellen Abstufung wird meist schreitenden technischen Entwicklung,
in diese Kategorie. unterschieden zwischen vertraulich, auf der anderen Seite aus den sich wan-
streng vertraulich und geheim. Für jede delnden Erkenntnissen über die Schutz-
3. Im Sinne der Risikominimierung ist dieser Schutzbedarfskategorien sollten bedürftigkeit einzelner Informationen.
darüber hinaus zu überlegen, ob und
in welchem Umfang Mitarbeiter Zu-
gang zu sensiblen Informationen und
Daten erhalten müssen. In vielen Fäl- FAZIT: Im Ergebnis versprechen nur integrierte unternehmenskulturelle, orga-
len ist der Zugriff viel zu weitreichend: nisatorische und technische Maßnahmen nachhaltigen Erfolg im Bereich des
Viele Daten stehen unnötigerweise ei- Informationsschutzes. Vor solchen Maßnahmen müssen daher immer eine Ri-
nem zu großen Benutzerkreis zur Ver- sikoanalyse und eine darauf basierende Festlegung von Schutzbedarfskatego-
fügung. Vor allem in Fällen, in denen rien stattfinden. Dieses Vorgehen verspricht durch zielgerichteten Einsatz der
es sich beispielweise um Betriebs- und beschriebenen Komponenten nachhaltigen Schutz und eine geringst mögliche
Geschäftsgeheimnisse handelt, sind Belastung der Organisation und der finanziellen Ressourcen.
Maßnahmen empfehlenswert, die eine
Verwendungsmöglichkeit von Infor-
mationen einschränken. Hierzu zählen
vor allem die Trennung bzw. Teilung Ihre Ansprechpartner
von Informationen oder auch die Ein- Dr. Ingo Bäcker Henrik Becker
führung von gezielt falschen Informa- Partner Rechtsanwalt und IT-Experte
tionen zur späteren Identifikation der Certified Internal Auditor (CIA) Senior Manager
Akkreditierter Quality Assessor (DIIR) RölfsPartner Wirtschaftsprüfung
Dokumentenherkunft. So müssen etwa RölfsPartner Wirtschaftsprüfung Competence Center
Konstruktionspläne nicht unbedingt Competence Center Fraud • Risk • Compliance
zu jeder Zeit vollständig abrufbar sein. Fraud • Risk • Compliance