Competence

Fraud • Risk • Compliance: Informationssicherheit formationen sowie von Geschäftsge-

heimnissen und geistigen Eigentums

Informations- erheblich ist. Auf Basis der bereits jetzt

vorliegenden Informationen über die

schutz in Zeiten
Anzahl der auf Enthüllungsplattfor-
men abgelegten Dokumente muss für
Verantwortliche jeden Unternehmens

von Wikileaks klar sein, dass akuter Handlungsbedarf

besteht, Vorsorge gegen die Preisgabe
vertraulicher Informationen zu treffen.
Wichtig ist dabei, das richtige Maß zwi-
schen Informationsschutz auf der einen
Die Enthüllungen der Plattform Wikileaks in den letzten Seite und einem offenen und konst-
Wochen und Monaten stellen Unternehmen vor die Fra- ruktiven Dialog mit den Mitarbeitern
auf der anderen Seite zu finden. Denn
ge, mit welchen Mitteln Unternehmensinterna wirksam Mitarbeiter, die mit ihren Sorgen und
gegen unberechtigte und unerwünschte Preisgabe ge- Bedenken die Unternehmensführung
nicht erreichen, stellen im Sinne einer
schützt werden können. Ein Höchstmaß an Wirksamkeit Good Corporate Compliance ein er-
bieten hierfür integrierte Maßnahmen, die Menschen, hebliches Risiko dar.
Prozesse, Daten und IT-Infrastrukturen ganzheitlich be-
Umfassende Maßnahmen
trachten und sowohl Handlungsmotivationen als auch mit nachhaltiger Wirkung
technische Aspekte berücksichtigen. Erfahrungsgemäß bieten umfassende
Maßnahmen die nachhaltigste Wir-
kung, wenn sie sowohl den Auslöser als
auch den Anlass gleichzeitig adressieren

M
it der Veröffentlichung von Do-
kumenten über die Kriege im
Irak und Afghanistan sowie der De-
peschen amerikanischer Diplomaten
hat die Plattform Wikileaks eine neue
Dimension von „Enthüllungsjourna-
lismus“ eröffnet. Diesem prominenten
Beispiel folgend haben andere Anbieter
neue Plattformen wie OpenLeaks oder
die Plattform der Westdeutschen Allge-
meinen Zeitung ins Leben gerufen.
Bereits jetzt ist erkennbar, dass diese ver-
mehrt auch für die Preisgabe geschäfts-
relevanter Unternehmensinterna oder
sogar für die Weitergabe persönlicher
bzw. höchst vertraulicher Informationen
genutzt werden. Anders als bei Wikileaks
besteht bei den Letztgenannten der Vor-
teil, dass diese redaktionell betrieben wer-
den und daher eine Auswahl der gemel-
deten Unterlagen vorgenommen wird.
Ausgeschlossen ist dennoch nicht, dass
Informationen preisgegeben werden, die
– selbst bei kritischer Betrachtung – die
Nutzung einer solchen Enthüllungsplatt-
form nicht rechtfertigen.
Man kann in der Diskussion verschie-
denen Meinungen über den Sinn und
den Nutzen solcher Enthüllungsplatt-
formen folgen. Allen gemein ist aus Sicht
der Unternehmen aber, dass das Risiko
der Preisgabe vertraulicher, interner In-
ebenso wie die technische und organi-
satorische Möglichkeit, Informationen
preiszugeben. Wirksamer und nachhal-
tiger Informationsschutz setzt sich da-
her aus drei Komponenten zusammen.
1. Wesentlich ist im ersten Schritt die
Adressierung der Unternehmenskul-
tur und des Werteverständnisses der
Belegschaft, um sicherzustellen, dass
bestehende Missstände und konstruk-
tive Hinweise jederzeit an- und ausge-
sprochen werden können und die Mit-
arbeiter sehen, dass auf ihre Hinweise
angemessen reagiert wird. Damit wird
die wesentlichste Triebfeder für eine
Publikation schützenswerter Informa-
tionen nach außen adressiert.

Vorgehen zum Schutz unternehmensinterner Informationen

Risikoanalyse bzgl. Identifikation möglicher Klassifizierung der Unternehmenskulturelle,

schützenswerter Daten Missbrauchszenarien Informationen in organisatorische
Schutzbedarfskategorien und technische Maßnahmen

14 1/2011 RölfsPartner report


2. Darüber hinaus sind technische und
organisatorische Maßnahmen zu tref-
fen, die aus dem Bereich der klassischen
Informationssicherheit und des Infor-
mationsschutzes abzuleiten sind. Hier-
zu zählen technische Sicherungsmaß-
nahmen, mit denen es den Nutzern
erschwert wird, elektronische Infor-
mation zu kopieren oder zu versenden.
Damit verbunden sind solche techni-
schen Einrichtungen, mit denen der
Einsatz mobiler Datenträger oder un-
kontrollierte Vernetzung beschränkt
wird. Auch aktuelle Systeme im Be-
reich Data Loss Prevention (DLP) so-
wie zur Verschlüsselung und zur Ein-
bringung von Wasserzeichen gehören
in diese Kategorie.
3. Im Sinne der Risikominimierung ist
darüber hinaus zu überlegen, ob und
in welchem Umfang Mitarbeiter Zu-
gang zu sensiblen Informationen und
Daten erhalten müssen. In vielen Fäl-
len ist der Zugriff viel zu weitreichend:
Viele Daten stehen unnötigerweise ei-
nem zu großen Benutzerkreis zur Ver-
fügung. Vor allem in Fällen, in denen
es sich beispielweise um Betriebs- und
Geschäftsgeheimnisse handelt, sind
Maßnahmen empfehlenswert, die eine
Verwendungsmöglichkeit von Infor-
mationen einschränken. Hierzu zählen
vor allem die Trennung bzw. Teilung
von Informationen oder auch die Ein-
führung von gezielt falschen Informa-
tionen zur späteren Identifikation der
Dokumentenherkunft. So müssen etwa
Konstruktionspläne nicht unbedingt
zu jeder Zeit vollständig abrufbar sein.
Häufig reicht es aus, bestimmte Konst-
ruktionsteile, bei denen ein Missbrauch
ohne Kenntnis der anderen Teile nicht
möglich ist, nur einem bestimmten
Nutzerkreis zugänglich zu machen.
Darüber hinaus werden heute zu viele
Informationen per E-Mail oder durch
vergleichbare Systeme transportiert und
damit häufig einem zu großen Benut-
zerkreis zugänglich gemacht. Für sen-
sible Informationen bieten sich daher
eher Dokumentenmanagementsysteme
an, die einen gezielten und zeitgesteu-
erten Zugriff auf Informationen zulas-
1/2011 RölfsPartner report
Im Fokus
sen, gleichzeitig aber auch dafür sorgen, individuelle Schutzmaßnahmen erarbei-
dass der Inhalt der Unterlagen nicht tet werden, die einerseits festlegen, wie
kopiert oder extrahiert werden kann. Informationen gemäß der Kategorien
korrekt zu klassifizieren sind und die an-
Schutzbedarfskategorien dererseits die Zugriffberechtigungen re-
In der grundsätzlichen Konzeption sol- geln. Sind entsprechende Schutzbedarfs-
cher Informationssicherheitsmaßnahmen kategorien gebildet, können neue und
werden üblicherweise Schutzbedarfs- bereits vorhandene Dokumente diesen
kategorien gebildet, in die Dokumente zugeordnet werden.
und Informationen einsortiert werden.
Beispielsweise wird unterschieden, ob Üblicherweise ist die Erarbeitung von
ein Dokument für alle Mitarbeiter des Schutzbedarfskategorien sowie die Klas-
Unternehmens zugänglich sein soll oder sifizierung von Daten und Informationen
einer höheren Schutzbedarfskategorie ein iterativer Prozess, der einer stetigen
zuzuordnen ist. Anpassung unterliegt. Diese Anpassung
resultiert auf der einen Seite aus der fort-
In der graduellen Abstufung wird meist schreitenden technischen Entwicklung,
unterschieden zwischen vertraulich, auf der anderen Seite aus den sich wan-
streng vertraulich und geheim. Für jede delnden Erkenntnissen über die Schutz-
dieser Schutzbedarfskategorien sollten bedürftigkeit einzelner Informationen.
FAZIT: Im Ergebnis versprechen nur integrierte unternehmenskulturelle, orga-
nisatorische und technische Maßnahmen nachhaltigen Erfolg im Bereich des
Informationsschutzes. Vor solchen Maßnahmen müssen daher immer eine Ri-
sikoanalyse und eine darauf basierende Festlegung von Schutzbedarfskatego-
rien stattfinden. Dieses Vorgehen verspricht durch zielgerichteten Einsatz der
beschriebenen Komponenten nachhaltigen Schutz und eine geringst mögliche
Belastung der Organisation und der finanziellen Ressourcen.
Ihre Ansprechpartner
Dr. Ingo Bäcker Henrik Becker
Partner Rechtsanwalt und IT-Experte
Certified Internal Auditor (CIA) Senior Manager
Akkreditierter Quality Assessor (DIIR) RölfsPartner Wirtschaftsprüfung
RölfsPartner Wirtschaftsprüfung Competence Center
Competence Center Fraud • Risk • Compliance
Fraud • Risk • Compliance
Büro Köln Büro Köln
Tel.: +49-(0)2 21-84 56 69-14 Tel.: +49-(0)2 21-84 56 69-20
ingo.baecker@roelfspartner.de henrik.becker@roelfspartner.de
15