You are on page 1of 2

Competence

Fraud • Risk • Compliance: Informationssicherheit formationen sowie von Geschäftsge-


heimnissen und geistigen Eigentums

Informations- erheblich ist. Auf Basis der bereits jetzt


vorliegenden Informationen über die

schutz in Zeiten
Anzahl der auf Enthüllungsplattfor-
men abgelegten Dokumente muss für
Verantwortliche jeden Unternehmens

von Wikileaks klar sein, dass akuter Handlungsbedarf


besteht, Vorsorge gegen die Preisgabe
vertraulicher Informationen zu treffen.
Wichtig ist dabei, das richtige Maß zwi-
schen Informationsschutz auf der einen
Die Enthüllungen der Plattform Wikileaks in den letzten Seite und einem offenen und konst-
Wochen und Monaten stellen Unternehmen vor die Fra- ruktiven Dialog mit den Mitarbeitern
auf der anderen Seite zu finden. Denn
ge, mit welchen Mitteln Unternehmensinterna wirksam Mitarbeiter, die mit ihren Sorgen und
gegen unberechtigte und unerwünschte Preisgabe ge- Bedenken die Unternehmensführung
nicht erreichen, stellen im Sinne einer
schützt werden können. Ein Höchstmaß an Wirksamkeit Good Corporate Compliance ein er-
bieten hierfür integrierte Maßnahmen, die Menschen, hebliches Risiko dar.
Prozesse, Daten und IT-Infrastrukturen ganzheitlich be-
Umfassende Maßnahmen
trachten und sowohl Handlungsmotivationen als auch mit nachhaltiger Wirkung
technische Aspekte berücksichtigen. Erfahrungsgemäß bieten umfassende
Maßnahmen die nachhaltigste Wir-
kung, wenn sie sowohl den Auslöser als
auch den Anlass gleichzeitig adressieren

M


it der Veröffentlichung von Do-
kumenten über die Kriege im
Irak und Afghanistan sowie der De-
genutzt werden. Anders als bei Wikileaks
besteht bei den Letztgenannten der Vor-
teil, dass diese redaktionell betrieben wer-
ebenso wie die technische und organi-
satorische Möglichkeit, Informationen
preiszugeben. Wirksamer und nachhal-
peschen amerikanischer Diplomaten den und daher eine Auswahl der gemel- tiger Informationsschutz setzt sich da-
hat die Plattform Wikileaks eine neue deten Unterlagen vorgenommen wird. her aus drei Komponenten zusammen.
Dimension von „Enthüllungsjourna- Ausgeschlossen ist dennoch nicht, dass 1. Wesentlich ist im ersten Schritt die
lismus“ eröffnet. Diesem prominenten Informationen preisgegeben werden, die Adressierung der Unternehmenskul-
Beispiel folgend haben andere Anbieter – selbst bei kritischer Betrachtung – die tur und des Werteverständnisses der
neue Plattformen wie OpenLeaks oder Nutzung einer solchen Enthüllungsplatt- Belegschaft, um sicherzustellen, dass
die Plattform der Westdeutschen Allge- form nicht rechtfertigen. bestehende Missstände und konstruk-
meinen Zeitung ins Leben gerufen. tive Hinweise jederzeit an- und ausge-
Man kann in der Diskussion verschie- sprochen werden können und die Mit-
Bereits jetzt ist erkennbar, dass diese ver- denen Meinungen über den Sinn und arbeiter sehen, dass auf ihre Hinweise
mehrt auch für die Preisgabe geschäfts- den Nutzen solcher Enthüllungsplatt- angemessen reagiert wird. Damit wird
relevanter Unternehmensinterna oder formen folgen. Allen gemein ist aus Sicht die wesentlichste Triebfeder für eine
sogar für die Weitergabe persönlicher der Unternehmen aber, dass das Risiko Publikation schützenswerter Informa-
bzw. höchst vertraulicher Informationen der Preisgabe vertraulicher, interner In- tionen nach außen adressiert.

Vorgehen zum Schutz unternehmensinterner Informationen

Risikoanalyse bzgl. Identifikation möglicher Klassifizierung der Unternehmenskulturelle,


schützenswerter Daten Missbrauchszenarien Informationen in organisatorische
Schutzbedarfskategorien und technische Maßnahmen

14 1/2011 RölfsPartner report


Im Fokus

2. Darüber hinaus sind technische und sen, gleichzeitig aber auch dafür sorgen, individuelle Schutzmaßnahmen erarbei-
organisatorische Maßnahmen zu tref- dass der Inhalt der Unterlagen nicht tet werden, die einerseits festlegen, wie
fen, die aus dem Bereich der klassischen kopiert oder extrahiert werden kann. Informationen gemäß der Kategorien
Informationssicherheit und des Infor- korrekt zu klassifizieren sind und die an-
mationsschutzes abzuleiten sind. Hier- Schutzbedarfskategorien dererseits die Zugriffberechtigungen re-
zu zählen technische Sicherungsmaß- In der grundsätzlichen Konzeption sol- geln. Sind entsprechende Schutzbedarfs-
nahmen, mit denen es den Nutzern cher Informationssicherheitsmaßnahmen kategorien gebildet, können neue und
erschwert wird, elektronische Infor- werden üblicherweise Schutzbedarfs- bereits vorhandene Dokumente diesen
mation zu kopieren oder zu versenden. kategorien gebildet, in die Dokumente zugeordnet werden.
Damit verbunden sind solche techni- und Informationen einsortiert werden.
schen Einrichtungen, mit denen der Beispielsweise wird unterschieden, ob Üblicherweise ist die Erarbeitung von
Einsatz mobiler Datenträger oder un- ein Dokument für alle Mitarbeiter des Schutzbedarfskategorien sowie die Klas-
kontrollierte Vernetzung beschränkt Unternehmens zugänglich sein soll oder sifizierung von Daten und Informationen
wird. Auch aktuelle Systeme im Be- einer höheren Schutzbedarfskategorie ein iterativer Prozess, der einer stetigen
reich Data Loss Prevention (DLP) so- zuzuordnen ist. Anpassung unterliegt. Diese Anpassung
wie zur Verschlüsselung und zur Ein- resultiert auf der einen Seite aus der fort-
bringung von Wasserzeichen gehören In der graduellen Abstufung wird meist schreitenden technischen Entwicklung,
in diese Kategorie. unterschieden zwischen vertraulich, auf der anderen Seite aus den sich wan-
streng vertraulich und geheim. Für jede delnden Erkenntnissen über die Schutz-
3. Im Sinne der Risikominimierung ist dieser Schutzbedarfskategorien sollten bedürftigkeit einzelner Informationen.
darüber hinaus zu überlegen, ob und
in welchem Umfang Mitarbeiter Zu-
gang zu sensiblen Informationen und
Daten erhalten müssen. In vielen Fäl- FAZIT: Im Ergebnis versprechen nur integrierte unternehmenskulturelle, orga-
len ist der Zugriff viel zu weitreichend: nisatorische und technische Maßnahmen nachhaltigen Erfolg im Bereich des
Viele Daten stehen unnötigerweise ei- Informationsschutzes. Vor solchen Maßnahmen müssen daher immer eine Ri-
nem zu großen Benutzerkreis zur Ver- sikoanalyse und eine darauf basierende Festlegung von Schutzbedarfskatego-
fügung. Vor allem in Fällen, in denen rien stattfinden. Dieses Vorgehen verspricht durch zielgerichteten Einsatz der
es sich beispielweise um Betriebs- und beschriebenen Komponenten nachhaltigen Schutz und eine geringst mögliche
Geschäftsgeheimnisse handelt, sind Belastung der Organisation und der finanziellen Ressourcen.
Maßnahmen empfehlenswert, die eine
Verwendungsmöglichkeit von Infor-
mationen einschränken. Hierzu zählen
vor allem die Trennung bzw. Teilung Ihre Ansprechpartner
von Informationen oder auch die Ein- Dr. Ingo Bäcker Henrik Becker
führung von gezielt falschen Informa- Partner Rechtsanwalt und IT-Experte
tionen zur späteren Identifikation der Certified Internal Auditor (CIA) Senior Manager
Akkreditierter Quality Assessor (DIIR) RölfsPartner Wirtschaftsprüfung
Dokumentenherkunft. So müssen etwa RölfsPartner Wirtschaftsprüfung Competence Center
Konstruktionspläne nicht unbedingt Competence Center Fraud • Risk • Compliance
zu jeder Zeit vollständig abrufbar sein. Fraud • Risk • Compliance

Häufig reicht es aus, bestimmte Konst- Büro Köln Büro Köln


ruktionsteile, bei denen ein Missbrauch Tel.: +49-(0)2 21-84 56 69-14 Tel.: +49-(0)2 21-84 56 69-20
ohne Kenntnis der anderen Teile nicht ingo.baecker@roelfspartner.de henrik.becker@roelfspartner.de

möglich ist, nur einem bestimmten


Nutzerkreis zugänglich zu machen.

Darüber hinaus werden heute zu viele


Informationen per E-Mail oder durch
vergleichbare Systeme transportiert und
damit häufig einem zu großen Benut-
zerkreis zugänglich gemacht. Für sen-
sible Informationen bieten sich daher
eher Dokumentenmanagementsysteme
an, die einen gezielten und zeitgesteu-
erten Zugriff auf Informationen zulas-

1/2011 RölfsPartner report 15