Boorberg Verlag

Grundsätze der Informationssicherheit

03.09.2003

Informationsschutz ist notwendig im Betrieb

In der Vergangenheit sind die unterschiedlichsten Fälle des illegalen Informationsabflusses bekannt geworden. Entgegen der landläufigen Meinung, von derartigen Fällen seien nur Großkonzerne oder High-Tech-Firmen betroffen, kann heute durchaus behauptet werden, dass Firmen aller Größen und Branchen potentiell gefährdet sind. Konkrete Zahlen zu Verlusten für die deutsche Wirtschaft sind nicht bekannt, das Bundeswirtschaftsministerium und die Verfassungsbehörden vermuten Summen in mehrfacher Milliardenhöhe. Viele betroffene Unternehmen schweigen über Sicherheitslücken und Vorfälle dieser Art, denn sie befürchten einen massiven Imageverlust.

Methoden der Informationsabschöpfung

Grundsätzlich kommen drei verschiedene Methoden der Informationsabschöpfung zur Anwendung: Die personellen Angriffe von außen und innen sowie die technischen Angriffe aller Art. Mit relativ geringem Aufwand lässt sich ein Opfer dazu bewegen, gewünschte Informationen, z.B. in Aussicht auf die Erteilung eines Großauftrages, freiwillig herauszugeben. Ein scheinbar sicheres Geschäft, das kurz vor dem Abschluss unter fadenscheinigen Gründen platzt, könnte ein Anzeichen dafür sein.
»Jeder hat seinen Preis« könnte man als Weisheit im Zusammenhang mit den Begriffen »Anwerbung« und »Einschleusung« festhalten. Neben den professionellen Spionen, die sich Mitarbeiter aus den verschiedensten Ebenen für ihre kriminellen Zwecke zunutze machen, gibt es mit dem externen Personal (z.B. Reinigung, Wartungsfirmen, Zeitarbeitskräfte, Bewachungspersonal) ein oft unterschätztes weiteres Risikopotential. Fremdpersonal entzieht sich meist der Überprüfungsmöglichkeit durch den Auftraggeber; der vielfach leichtfertige Umgang mit vertraulichen Daten erleichtert dabei den Tätern das Handwerk noch zusätzlich. Der Informationsgehalt von achtlos liegengelassenen oder in den Papierkorb geworfenen Manuskripten, Notizen, Fehlkopien, EDV-Listen oder Datenträgern ist nicht zu unterschätzen!
Die ständig fortschreitende Entwicklung der Technik machen sich auch vorrangig Wirtschaftsspione zunutze. Es stehen heute weit über 100 elektronische Methoden zur Verfügung, um an vertrauliche Daten verbaler, schriftlicher oder digitaler Form zu gelangen.

Schutzmaßnahmen

Gesellschaftliche und wirtschaftliche Veränderungen sowie verfeinerte Methoden der illegalen Informationsbeschaffung erfordern auch neue Formen der Prävention. Vorbeugen in Form von unternehmensbezogenen Schutzkonzepten unter Beachtung der Grundsätze der Verhältnismäßigkeit und Wirtschaftlichkeit bietet die Gewähr dafür,materielle und immaterielle Schäden zu verhindern oder wenigstens zu minimieren. Dazu ist es erforderlich, dass der Sicherheitsgedanke integraler Bestandteil der Firmenphilosophie wird.
Die erforderlichen Schutzmaßnahmen müssen sich auf die für den wirtschaftlichen Erfolg eines Unternehmens bedeutsamen Informationen (sog. Vital Records) konzentrieren. Dazu gehören neben Preisinformationen auch die Produktentwicklung und -technik, Daten über Lieferanten, Einzelkonditionen, Vertriebswege, Absatzmärkte und Unternehmensstrategien.
Ziel sollte es sein, Weniges, aber wirklich Bedeutsames effektiv zu schützen. Durch die Kombination sorgfältig abgestimmter personeller, organisatorischer, materieller und rechtlicher Maßnahmen wird eine solche umfassende Schutzwirkung erzielt.

Personelle Maßnahmen

Mitarbeiter - in allen Bereichen und auf jeder Ebene - können mehr verraten, als fremde Nachrichtendienste oder Konkurrenten auf andere Weise je herauszufinden in der Lage wären. Dementsprechend liegt der Schwerpunkt neben der richtigen Personalauswahl auf der konsequenten Einhaltung moderner Führungsgrundsätze. Herzstück der Informationssicherheit ist die Zuverlässigkeit in sensiblen Verwendungen.

Organisatorische Maßnahmen

Wichtig sind hier u.a. die Bestellung und laufende Fortbildung eines Sicherheitsbeauftragten, die Ausgabe von Dienstanweisungen, die Schulung und Sensibilisierung von Personal und Sicherheitskräften im Bereich Informationsschutz sowie, wie oben angedeutet, die sorgfältige Überprüfung von Bewerbern, Schlüsselpersonen und Fremdfirmen und deren Personal, ferner konsequente Einlasskontrollen, Besucherregelungen sowie in sensiblen Bereichen die Personenvereinzelung, Identifikation und Dokumentation. Auch die Überwachung der Nutzung von Kopiergeräten und das Handling informationshaltigen Abfalls darf nicht übersehen werden.

Bauliche und technische Maßnahmen

Dazu gehören etwa eine Objektaußenhaut mit hohem Widerstandswert und nur wenigen, gut gesicherten Zugängen, Personenschleusen sowie mechanische Freiland-, Objekt-, Abteilungs- und Raumsicherungen.
Wesentliche Bestandteile im elektronischen Bereich sind u.a. Zutrittskontrollsysteme, Einbruchmeldeanlagen und Videoüberwachung; des Weiteren die Verschlüsselung innerbetrieblicher Kommunikation bei Telefonen, Mobiltelefonen, Telefax, Modem und EDV-Netzwerken.

Rechtliche Maßnahmen

Die Schutzwirkung rechtlicher Maßnahmen ist nicht immer unmittelbar zu erkennen, deshalb werden sie gern unterschätzt. Die erfolgreiche Durchsetzung arbeitsrechtlicher, strafrechtlicher und zivilrechtlicher Ansprüche setzt ausgefeilte vertragliche Regelungen voraus. Durch entsprechende Passagen und Betriebsvereinbarungen kann das Unternehmen Sanktionen und haftungsrechtliche Bestimmungen bei unbefugter Nutzung sensibler Daten vereinbaren, die Rückgabe betrieblicher Unterlagen beim Ausscheiden regeln und Geheimschutzklauseln von vornherein auf die Zeit nach dem Ende des Arbeitsverhältnisses ausdehnen.

Praxishinweise

  • Eine weitreichende Übersicht möglicher Schutzmaßnahmen bietet z.B. das vom BSI herausgegebene »IT-Grundschutzhandbuch«. Es bietet eine gute Grundlage für einen Soll-Ist-Vergleich und zur Erarbeitung eines Maßnahmenkatalogs.
  • Die Landesämter für Verfassungsschutz bieten der Industrie Hilfe zur Selbsthilfe an, d.h. sie stellen Informationen und Leitfäden zur Verfügung und geben individuelle Empfehlungen zur personellen, organisatorischen und technischen Sicherheit. Im Internet stellt das LfV Baden-Württemberg zum Download Broschüren zu diesem Thema zur Verfügung.
  • Der Arbeitskreis Sicherheit in der Wirtschaft (AKSW) steht für Fragen zur Verfügung und kann Kontakt zu Fachleuten für die Informationssicherheit in der freien Wirtschaft herstellen. Die Geschäftsstelle des AKSW ist bei der IHK unter Tel. (030) 31510-381 erreichbar.
  • Neben der grundlegenden Verbesserung des Informationsaustausches zwischen der gewerblichen Wirtschaft und den Sicherheitsbehörden sollte sich kein betroffenes Unternehmen aus Imagegründen davon abhalten lassen, vertrauensvoll mit den zuständigen Sicherheitsgremien zusammenzuarbeiten, da sonst die Chance vertan wird, eigene Erfahrungen der gesamten gewerblichen Wirtschaft zugute kommen zu lassen.



Autor: Peter Mnich

Anlass: Informationssicherheit

Angesichts der zunehmenden Globalisierung und des angespannteren Wettbewerbs gewinnt die Notwendigkeit, sich gegen die Folgen der illegalen Nutzung des eigenen Wissens durch fremde Staaten, Konkurrenten oder Einzelpersonen zu schützen, immer größeres Gewicht. Im sog. Informationszeitalter ist im Rahmen der grenzenlosen Kommunikation das vorhandene Know-how als strategisches Potential eines Unternehmens wichtiger denn je.

Sachbereich: D3 Fachspezifische Themen - IT-Sicherheit

Schlagwörter: Informationsschutz


-