Vom Informationsfluss zum Informationsabfluss

Informationssicherheit als Teil des Risikomanagements

1. Vorbemerkung
Informationssicherheit wird in der überwiegenden Zahl der Erwähnungen fälschlicherweise auf die technische Sicherheit von Informatikanlagen und Übertragungseinrichtungen reduziert. Informationssicherheit ist mehr - viel mehr. Es ist die Sicherheit jeden Wissens welches in expliziter oder impliziter Weise in jeder Art von Information steckt. Informationssicherheit ist deshalb untrennbar mit dem Knowledge-Management oder eben dem Wissensmanagement verbunden. Die folgenden Ausführungen lehnen sich deshalb stark an Elemente des Wissensmanagements an. Da den Schutzmaßnahmen technischer Einrichtungen in Literatur und Lehre breiter Raum eingeräumt und solche Maßnahmen oft mit der Einrichtung mitbeschafft werden, seien sie in der Folge nur am Rande erwähnt.

2. Ausgangslage
In "Informationen" ist Wissen enthalten, welches oft einen wesentlichen Wettbewerbsfaktor darstellt. Informationen sind zudem weit gestreut und teilweise nur schwer fassbar. In großen oder besonders gefährdeten Firmen oder gar Konzernen sind daher eigene Stabsteile für dieses Thema zuständig. In mittelständischen Unternehmen jedoch fehlen meist solche Stellen und dies aus den verschiedensten Gründen. Oft ist man sich sogar des Werts von Informationen gar nicht bewusst. Weil Informationssicherheit eine Querschnittsaufgabe ist, muss es in mittelständischen Unternehmen zur Chefsache gemacht werden. Mit der Globalisierung der Märkte sind auch die mittelständischen Unternehmen einer verstärkten internationalen Konkurrenz ausgesetzt. Ausländische Firmen drängen ohne große Hindernisse oder Aufwendungen bis in lokale Märkte vor. Wissen, welches vor einigen Jahren für andere noch kaum als wissenswert galt, ist heute auf einmal begehrt. Es kommt hinzu, dass mit den technischen und technologischen Fortschritten sowie mit der sinkenden Firmentreue vieler Mitarbeitender die "Abwanderung" von Wissen begünstigt wird. Höchste Zeit also, sich des Themas anzunehmen.

3. Gefährdungen
Jede Art von Informationen sind allein durch ihr Vorhandensein in ihrer Existenz oder Aktualität beziehungsweise in Bezug auf deren Weitergabe gefährdet. Es braucht dazu keinerlei unlautere Absichten. Dabei sind die verschiedensten Gefährdungen möglich:

  • Verlust durch Zerstörung, Abwanderung oder Nichtgebrauch;
    Verlust der Aktualität;
  • Verfälschung durch unsachgemäße Behandlung / Verwendung;
  • Weitergabe aus Unachtsamkeit;
  • Zugriff für Unberechtigte aus Unachtsamkeit etc. Die Ursachen können hierbei in technischen wie auch menschlichen Unzulänglichkeiten liegen.

4. Bedrohungen
Zusätzlich zu den Gefährdungen kommen die Bedrohungen, welchen die Schädigung des/r Informationseigentümers/in in irgendeiner Art und Weise zugrunde liegen. Antrieb Dritter zu vorsätzlichem Handeln kann verschiedenartige Hintergründe haben:

  • Nutzung (z.B. um Entwicklungskosten zu sparen);
  • Zerstörung (z.B. um Wettbewerbsnachteile zu mindern);
  • Verfälschung, Blockierung etc.

Vermehrt sind dabei staatliche Stellen involviert, welche offensichtlich der Meinung sind, ihre Wirtschaft auf diese Weise unterstützen, beziehungsweise für ihre Nachrichtendienste Beschäftigung suchen zu müssen. Sogar unter dem Deckmantel der Verbrechensbekämpfung werden heute Fischzüge nach Informationen durchgeführt. Offene Flanken können dabei die folgenden Bereiche sein: Informationsproduktion, -reproduktion, -distribution, -verwertung oder -logistik. Auch in diesen Bereichen ist den Technik- wie auch den Humanelementen Beachtung zu schenken.

5. Sicherung der Informationen
5.1 Allgemeines

Der Schutz der Informationen vor Gefährdung und Bedrohung ist von strategischer Bedeutung. Zudem ist Wissen in allen Bereichen einer Unternehmung angesiedelt. Es handelt sich also um eine Querschnittsaufgabe, welche an höchster Stelle anzusiedeln ist. Es kann sich daher empfehlen, die Sicherung der Informationen wie andere Querschnittsaufgaben von strategischer Bedeutung in den "Risikomanagement-Prozess" oder in den "Qualitätsmanagement-Prozess" einzubauen.

5.2 Kultur
Alle Maßnahmen zum Schutz der Informationen werden zu kurz greifen, sofern in der Unternehmung nicht eine eigentliche Informationskultur geschaffen werden kann. Das Element "Information" muss auf allen Stufen und in allen Bereichen der Unternehmung als überlebensnotwendiger Wert erkannt werden. Organisatorische Mittel dazu können sein:

  • Aufnahme in die Strategie;
  • Aufnahme in die Führungsgrundsätze;
  • Aufnahme in Reglemente und Weisungen;
  • Informations- und Kommunikationskonzepte;
  • Rahmenbedingungen für formelle und informelle Netzwerke;
  • Schulung; sowie
  • Controlling.

Ziel muss es sein, dass alle Mitarbeiter mit Informationen sorgsam umgehen.

5.3 Definition der geschäftsrelevanten Informationen
Nicht jede Information ist für eine Unternehmung lebenswichtig (geschäftsrelevant) und daher erhaltens- oder schützenswert. Im Gegenteil: Bei der heutigen Informationsflut dürfte es sich um einen geringeren Teil der täglich verwendeten und anfallenden Informationen handeln. Es geht also bei der Maßnahme der Definition darum, die strategisch und operativ relevanten Informationen zu definieren - ganz nach dem Schlagwort NEED TO KNOW vs. NICE TO KNOW. Eine Voraussetzung für eine erfolgreiche Definition geschäftsrelevanten Informationen ist das Vorhandensein und die Kenntnis folgender Elemente:

    • Vision / Mission;
    • Ergebnisse einer SWOT-Analyse;
    • Strategische Ausrichtung;
    • Schlüsselerfolgsgebiete; und
    • Schlüsselerfolgsfaktoren

    Die Definition geschäftsrelevanter Informationen gestaltet sich meist schwieriger als zu Beginn gedacht. Während die Informationen, die die Kernprozesse antreiben, noch relativ einfach zu definieren sind, wird es in den Unterstützungs- und Führungsbereichen bereits deutlich schwieriger. Vollends zur Detektivarbeit wird der Definierungsprozess beim Aufspüren von Erfahrungswissen, verinnerlichten Handlungsweisen, Werthaltungen etc. Die Definitionen sind festzuhalten und jährlich zu überprüfen.

    5.4 Identifikation der geschäftsrelevanten Informationen
    Geschäftsrelevante Informationen sind grundsätzlich in allen Organisationseinheiten und Bereichen einer Unternehmung und dessen angrenzenden Umfeldern zu finden. Nicht zu vergessen sind dabei die Zukunft sichernden, bereichsübergreifenden Vorhaben und Projekte. Wo aber in diesen Feldern sind die relevanten Informationen lokalisiert? Bei der Beantwortung dieser Frage stößt man auf eine für viele überraschende Erkenntnis: Rund 80% der geschäftsrelevanten Informationen befinden sich in den Köpfen von Kadern und Mitarbeitern (implizites Wissen) und nur gerade ca. 20% sind in irgendeiner Form dokumentiert (explizites Wissen). Das heißt in anderen Worten: Jeden Abend bei Arbeitsschluss verlässt 80% des geschäftsrelevanten Wissens die Unternehmung. Damit zeigt sich auch, dass die Beschränkung des Informationsschutzes auf technische Einrichtungen der Aufgabenstellung in keiner Art und Weise gerecht wird. Hinzu kommt, dass sich der Schutz von Informationen in technischen Einrichtungen meist einfacher bewerkstelligen lässt als jener bei Menschen.


    Nachdem die geschäftsrelevanten Informationen definiert und identifiziert (lokalisiert) sind, gilt es deren Dokumentationsstand mit den folgenden Fragestellungen zu prüfen:

      • Sind die richtigen Informationen dokumentiert? Oder zu viele (auch nicht relevante und/oder veraltete) bzw. zu wenige (es fehlen relevante und/oder aktualisierte)
      • Ist die Form der Dokumentierung zweckmäßig?
      • Bestehen zusätzlich Sicherheitskopien?
      • Ist der Zugang für diejenigen, die ihn benötigen, gewährleistet?
      • Ist der Zugang denjenigen, die ihn nicht benötigen, verwehrt?
      • Ist deren Pflege bzw. Weiterentwicklung gewährleistet?

      5.5.2 Dokumentierte Informationen
      Dokumentierte Informationen (explizites Wissen) haben den Vorteil, dass sie, soweit sie in Bezug auf ihre Haltbarkeit und ihren Schutz vor unberechtigten Zugriffen sicher gelagert sind, zumindest gegen Verlust weitgehend geschützt sind. Nur weitgehend daher, weil je nach Dokumentierungsform physische Schäden (Zersetzung) oder technologische Weiterentwicklung (Programme) die Verfügbarkeit von Informationen beeinträchtigen oder unmöglich machen können. Damit muss ebenfalls von einem Verlust beziehungsweise Teilverlust gesprochen werden. Es ist daher unumgänglich, die Hilfsmittel, die den Zugriff auf Informationen erst ermöglichen, betriebsfähig zu halten. Dokumentierte Informationen (explizites Wissen) haben andererseits den Nachteil, dass es zu deren Weiterentwicklung, neben der eigentlichen Entwicklungsarbeit, eines definierten und kontrollierten Dokumentierungsprozesses bedarf, welcher die Aktualität der dokumentierten Informationen gewährleistet. Andernfalls entwickelt sich in den Köpfen und auf den Notizblöcken der Mitarbeiter, zwar aufbauend auf dem dokumentierten (expliziten) Wissen, ein implizites (nicht dokumentiertes) Wissen, welches den darauf Angewiesenen ganz oder teilweise nicht zur Verfügung steht oder eben nicht erhalten bleibt. Für die Dokumentation beziehungsweise Aktualisierung von Informationen ist die Einhaltung einiger Regeln unverzichtbar:

        • Nur Kerninformationen dokumentieren.
        • Die zu dokumentierenden Informationen klar kategorisieren.
        • Die zu dokumentierenden Informationen anwendungsgerecht kategorisieren (Mitarbeiter befragen).
        • Zugriff der Berechtigten sicherstellen.
        • Schutz vor dem Zugriff Unberechtigter sicherstellen.
        • Schutz vor Verfälschung und Zerstörung sicherstellen (Administrator).
        • Dazu Ressourcen (insbesondere Kapazität) und Infrastruktur zur Verfügung stellen.

        Wie in vielen Lagern ist auch in Datenbanken und Archiven veraltete und wertlose "Ware” gelagert (Informationen dokumentiert). Aktualisieren heißt hier auch, nicht mehr benötigte Informationen unbrauchbar zu machen und zu entsorgen.

        5.5.3 Nicht dokumentierte Informationen
        Wie bereits dargestellt, sind rund 80 Prozent der benötigten Informationen nicht dokumentiert, das heißt in den Köpfen der Mitarbeiter gespeichert. Es kommt erschwerend hinzu, dass in mittelständischen Unternehmen aus Kostengründen Schlüsselpositionen oft nur einfach besetzt sind. Deren Stelleninhaber sind dabei in der Regel Träger von Schlüsselinformationen. Mit zunehmendem Dienstalter entwickeln diese sich zu wahren Klumpenrisiken. Soweit sich deren Wissen, aus welchen Gründen auch immer, nicht dokumentieren lässt, ist nach Wegen und Mitteln zu suchen, die geschäftsrelevanten Informationen anderweitig zu sichern. Dabei ist ganz konkret die Gefährdung und Bedrohung dieser Schlüsselpersonen festzustellen bei Krankheit, Unfall, Pensionierung, Wunsch der beruflichen Veränderung und Kündigung, Abwerbung und Kündigung etc. Die Palette von möglichen Maßnahmen ist aufgrund des Gefährdungs- und Bedrohungspotentials also sehr breit. Sie kann grob in drei Felder geteilt werden: technische, organisatorische und soziale Maßnahmen. Unter technischen Maßnahmen werden solche verstanden, welche mit technischen Mitteln über einen Automatismus den Erhalt von Informationen (Dokumentation) sicherstellen (z.B. Erstellen von Sicherungskopien in der EDV). Hierbei werden allerdings auch nicht dokumentierungswürdige Informationen erfasst. Es ist daher unumgänglich, solche Files regelmäßig zu inspizieren und nicht dokumentierungswürdige Informationen unbrauchbar zu machen und zu entsorgen. Von technischen Maßnahmen wird daher aus verständlichen Gründen oft Abstand genommen. Viel eher werden organisatorische Maßnahmen ergriffen, die darauf zielen, das Risiko eines Verlustes zu minimieren. Soll nicht eine Unmenge von Informationen dokumentiert werden, so bleibt mittelständischen Unternehmen oft nur, Informationen im Alltag bewusst breiter abzustützen (Prävention) oder Informationen vor einer Abwanderung zu erfassen (Intervention). Eine breitere Abstützung bedeutet Wissen zu teilen; es auf mehrere Personen zu verteilen. Dies auch dann, wenn diese weiteren Personen die betreffenden Informationen für die Erfüllung ihrer angestammten Aufgabe nicht zwingend benötigen. Dabei ist allerdings auch zu bedenken, dass damit das Risiko der Weitergabe (bewusst oder unbewusst) erhöht wird. Nach wie vor gilt aber auch das Sprichwort "Wissen ist Macht". Dies verleitet viele dazu, Wissen zurückzuhalten - die Führung ist gefordert. Das heißt: Die Wissensteilung ist bewusst zu leben und aktiv voran zu treiben:

          • Verhalten der Führungskräfte (Vorbildfunktion),
          • Mitarbeitende motivieren,
          • Stellvertretungen aufbauen,
          • Zeiträume schaffen,
          • Ziele setzen,
          • Anlässe organisieren (informelle und formelle, z.B. Workshops)

          Als soziale Maßnahmen (monetäre und nicht monetäre) bezeichnet man jene, welche dazu dienen die Fluktuation von Schlüsselpersonen tief zu halten. Dies allerdings auch nicht unter allen Umständen - die weiteren Qualifikationen und Konditionen sind mit einzubeziehen. Insgesamt darf zudem nicht vergessen werden, dass ein zu statischer Mitarbeiterstamm auch die lebenswichtige Zufuhr neuen Wissens behindern kann. Als Besonderheit in Krisenzeiten sei auch noch auf den Aspekt von wirtschaftlich nötigen Entlassungen hingewiesen: Oft werden im Zuge von Redimensionierungen auch Personen entlassen, die über Schlüsselwissen verfügen. Dieses wieder aufzubauen, kostet oft mehr als die Weiterbeschäftigung der Betroffenen. Kann oder will man den Weggang einer Person mit Schlüsselwissen jedoch nicht verhindern, so ist deren Austritt auch in Bezug auf den Erhalt von geschäftsrelevanten Informationen klar und unmissverständlich zu organisieren. Instrument dazu ist das Austrittsinterview mit Wissensfokus:

            • Welches sind die Hauptaufgaben dieser Funktion?
            • Mit welchen Mitarbeitern arbeitet diese Funktion zusammen?
            • In welchen Netzwerken und Projekten ist diese Funktion aktiv dabei?
            • Welche Informationen sind nötig, um diese Aufgaben zu erledigen? (Methoden, Manuals, Handbücher, Datenbanken, Prinzipien, Vorschriften etc.)
            • Welches sind die größten Herausforderungen dieser Aufgabe (critical tasks), und wie werden diese Hürden genommen?
            • Spezielle Tipps ("gewusst wie")?
            • Welches Wissen ist wo dokumentiert?

            5.6 Schutz der geschäftsrelevanten Informationen gegen Bedrohungen
            5.6.1 Allgemeines

            Bei weitem nicht jede geschäftsrelevante Information ist auch schützenswert. Haben wir uns bisher auf den Begriff "geschäftsrelevante Informationen” beschränkt, so sind die darunter fallende Informationen für die Überlegungen zu deren Schutz noch weiter zu strukturieren in schützenswerte und nicht schützenswerte Informationen. Dabei besteht die Neigung, zu viele Informationen als schützenswert zu definieren. Dies hat den großen Nachteil, dass viele der Mitarbeiter überfordert werden und damit wiederum wirklich Schützenswertes Bedrohungen ausgesetzt wird. Zudem erschwert es die tägliche Arbeit in erheblichem Ausmaß.

            5.6.2 Triage
            Schützenswert ist nur,

              • was nicht schon allgemein zugänglich ist,
              • was für sich allein bereits eine Relevanz besitzt,
              • was für die Zukunft oder aktuell Relevanz besitzt, und
              • was über ein entsprechendes Schadenspotential verfügt.

              Die Einschätzung des Schadenspotentials gestaltet sich oft schwierig. Sofern möglich, sollte es mit Zahlen untermauert und in Bezug auf die Solidität der Unternehmung gebracht werden können. Ist dies nicht möglich, kann auch die folgende Einstufung hinzu gezogen werden: Existenz bedrohend, schwerer Schaden oder geringfügiger Schaden. Es zeigt sich also, dass die Anforderungen relativ hoch sind, um Informationen als schützenswert einzustufen. Es gilt zudem auch abzuschätzen, wie hoch überhaupt das Interesse Dritter sein könnte, an die betreffenden Informationen zu kommen. Zusätzlich ist zu beachten, dass auch nur ein zeitlich befristeter Schutzwert gegeben sein kann.

              5.6.3 Klassifizierung
              Informationen, die als schützenswert eingestuft werden, sind klar als solche zu bezeichnen. Aus Gründen des praktischen Umgangs (Komplexität, Aufwand) werden in Abhängigkeit insbesondere des Schadenspotentials verschiedene Schutzgrade (Klassifizierungsgrade) definiert:

                • Persönlich & Vertraulich (für einzelne Personen)
                • Vertraulich (für einen eingeschränkten Bereich)
                • Intern (für firmeninterne Verwendung) Dazu gehört, jene Kreise (Funktionen, Personen) zu bestimmen, die insgesamt oder noch besser nur in Teilen, Zugang zu entsprechenden Informationen zwingend benötigt, um ihre Aufgabe(n) zu erfüllen:
                • Einzelne Personen und/oder Funktionen,
                • Personen und/oder Funktionen eines Prozesses/Teilprozesses,
                • Einzelne oder mehrere Abteilungen.

                5.6.4 Informationslecks
                Der Weg von Informationen von der Produktion bis zur gesicherten Entsorgung ist lang und viele Stellen sind damit befasst: Produktion, Reproduktion, Distribution, Verwertung, Logistik und Entsorgung (mit vorheriger Unbrauchbarmachung).

                Bezieht man noch die dazu benötigten Hilfsmittel mit ein, so wird die Wahrscheinlichkeit eines beabsichtigten oder unbeabsichtigten Zugangs zu schützenswerten Informationen erheblich:

                  • Produktion und Reproduktion: Schreibgeräte und deren Speicher (elektronisch, mechanisch), Drucker und deren Speicher, Kopierer und deren Speicher.
                  • Logistik: Speicher, Archive und Verwaltung.
                  • Distribution: Telefon, Mobiltelefon, Fax, E-Mail (bzw. Anhang derselben), Datenübertragung, mündliche Äußerungen (firmenintern, im öffentlichen Raum, privat), Post oder Kurier.

                  5.6.4 Faktor Mensch
                  Allgemein ist festzuhalten, dass auch im Bereich des Informationsschutzes der Faktor Mensch der größte Risikofaktor darstellt. Sei es mit impliziten oder expliziten Informationen bzw. im Umgang mit technischen Geräten und Einrichtungen. Die Auswahl von Mitarbeitern ist daher mit der entsprechenden Sorgfalt anzugehen. Neben den allgemein üblichen Kriterien sind an Mitarbeiter mit Zugang zu schützenswerten Informationen zusätzlich höhere Anforderungen bezüglich Vertrauenswürdigkeit zu stellen. Dabei genügt es nicht, sich lediglich auf persönliche Eindrücke zu stützen. Es sind vertiefte Abklärungen vorzunehmen. Zum Beispiel je nach Schutzgrad der anvertrauten Informationen:

                    • Einholen von Referenzauskünften,
                    • Prüfen der finanziellen Verhältnisse,
                    • Prüfen der lückenlosen Beschäftigung über die letzten Jahre, und
                    • Unbedenklichkeitsbescheinigung der Ordnungsbehörde.

                    Es genügt nicht, nur die richtige Person einzustellen. Diese muss vertraglich verpflichtet werden, den Schutz der betreffenden Informationen mit allen Mittel sicherzustellen; und dies auch nach dem Ausscheiden aus dem Arbeitsverhältnis. Darüber hinaus muss die Person ausgebildet werden. Mit der Übergabe der zutreffenden Richtlinie ist es nicht getan. Der Ausbildungsstand ist zudem periodisch zu prüfen und wo nötig ist eine Vertiefung und/oder Weiterbildung anzuordnen.

                    5.6.5 Organisatorische Schutzmaßnahmen
                    Basis für die Aus- und Weiterbildung sind die organisatorischen Maßnahmen, die in einer Richtlinie für den Umgang mit schützenswerten Informationen festzuhalten sind. Grundsatz ist auch dabei: Kenntnis nur wenn nötig! Die Richtlinien haben im Minimum zu regeln:

                      • Begriffsbestimmungen,
                      • Geltungsbereich(e),
                      • Klassifizierungen,
                      • Schutzeinrichtungen,
                      • Allgemeine persönliche Verhaltensregeln,
                      • Umgang mit klassifizierten Informationen,
                      • Verhalten bei Verdacht auf Verletzung des Schutzes,
                      • Liste der Berechtigten, sowie
                      • Koordinationsstelle.

                      5.6.6 Technische Schutzmaßnahmen
                      Einzelne technische Schutzmaßnahmen auf dem langen Weg der Information von der Entstehung bis zur Vernichtung hier aufzuführen, würde den Umfang dieses Kapitels sprengen. Anbieter von Geräten, Anlagen und Einrichtungen bieten dazu auch genügend Beratung und Dienstleistung. Es ist aber darauf hinzuweisen, dass die verantwortlichen Stellen in einer Unternehmung, die Benutzung und korrekte Handhabung von Schutzeinrichtungen, welcher Art auch immer, mit allen Mitteln durchsetzen.

                      5.6.7 Maßnahmen bei Fehlverhalten bzw. technischem Versagen
                      Oft werden Kenntnisse von Fehlverhalten anderer oder eigenes Fehlverhalten aus falsch verstandener Kollegialität oder aus Angst vor Sanktionen verschwiegen. Hier hilft nur ein Kulturwechsel. Dabei geht es darum, den Wert von Informationen und die Folgen von deren Schutzverletzung in Bezug auf die Gesamtheit der Unternehmung und den eigenen Arbeitsplatz erkennbar zu machen. In besonders sensiblen Bereichen könnte die Einführung einer anonymen Meldemöglichkeit prüfenswert sein.

                      6. Schlussbemerkung
                      Die ideale Regelung für den Umgang mit geschäftsrelevanten und schützenswerten Informationen gibt es nicht. Es werden immer Kompromisse nötig sein. Ein Restrisiko wird bleiben. Vorliegende Ausführungen mögen da und dort etwas weit gehen. Das ist gewollt. Es ist vorteilhafter, das Eine oder Andere bewusst wegzulassen oder zu vereinfachen als etwas (wie sich später herausstellen könnte) Wichtiges zu vergessen.

                      Quelle: Walter Ch. Siegenthaler: Informationssicherheit als Teil des Risikomanagements. In: Stefan Bisanz, Uwe Gerstenberg: Raubritter gegen den Mittelstand. Security Explorer: Essen, 2009, S. 111 - 124.

                      SecEx Profilbild
                      Dieser Beitrag stammt von freien Mitarbeiter:innen des Security Explorer.
                      Scroll to top