7

Click here to load reader

Whitepaper Informationsklassifizierung

Embed Size (px)

DESCRIPTION

Dokumente klassifizieren, dass Führungskräfte und Mitarbeiter wissen, wie mit Dokumenten zu verfahren ist.

Citation preview

Page 1: Whitepaper Informationsklassifizierung

Raus aus der Policy – Rein in die Köpfe! Erfolgreiche Einführung von Informationsklassifizierung im Unternehmen.

Whitepaper Frank v. Stetten und Andreas Schnitzer HvS-Consulting AG, 2012

Page 2: Whitepaper Informationsklassifizierung

www.hvs-consulting.de Seite 2 von 7

Whitepaper Informationsklassifizierung

Einführung

Im Zeitalter der Informationsgesellschaft sind Informationen zum wichtigsten Gut eines Unternehmens geworden. Entwicklungsdaten, Strategiepläne, unveröffentlichte Bilanzen… viele Informationen sind für Unternehmen von höchstem Wert und müssen entsprechend geschützt werden. So erleidet die deutsche Wirtschaft pro Jahr einen Schaden von mehr als 50 Milliarden Euro durch Informationsabfluss. Doch nicht jede Information hat den gleichen Wert. Der Wert definiert sich durch den Schaden, den das Unternehmen erleiden würde, wenn die Information in falsche Hände gerät. Je höher dieser potenzielle Schaden ist, desto stärkere Sicherheitsmaßnahmen müssen ergriffen werden. Dementsprechend haben Werbebroschüren im Internet einen anderen Schutzbedarf als die neuesten Ergebnisse der Forschungsab-teilung. In der Informationssicherheit wird der Wert einer Information durch Vertraulichkeitsstufen zum Ausdruck gebracht. Eine typische Einteilung kann wie folgt aussehen:

Vertraulichkeit

Kategorie Öffentlich Intern Vertraulich Streng vertraulich

Potenzieller Schaden

Das Bekannt werden der Informationen hat keinen negativen Einfluss.

Das Bekannt werden der Informationen kann einen geringen bis mittelgroßen Schaden verursachen.

Das Bekannt werden der Informationen kann einen großen Schaden verursachen.

Das Bekannt werden der Informationen kann einen existenzgefähr-denden Schaden verursachen.

Beispiel Publikationen, Broschüren

Preislisten, Prozess-beschreibungen, Organigramme

Personaldaten, Bilanzdaten

Entwicklungsdaten, Unternehmensstrategie

Typische Vertraulichkeitsklassen in Unternehmen

Die Informationen werden einer Vertraulichkeitsklasse zugeordnet (man spricht von Informationsklassifizie-rung), um jedem Nutzer der Information deutlich zu machen, welcher Schaden entstehen könnte, wenn die Information in unberechtigte Hände fällt. Damit verbunden sind im Allgemeinen Regelungen und Richtli-nien zur Handhabung von Informationen, um das Risiko des unerwünschten Bekanntwerdens dieser Information zu reduzieren.

Page 3: Whitepaper Informationsklassifizierung

www.hvs-consulting.de Seite 3 von 7

Whitepaper Informationsklassifizierung

Herausforderungen bei der Einführung von Informationsklassifizierung

Bei der Einführung einer Informationsklassifizierung sehen sich die Verantwortlichen für Informationssi-cherheit jedoch drei wesentlichen Herausforderungen gegenüber: 1. Klassifikation einer Information

Der Informationsverantwortliche (meistens eine Führungskraft) beurteilt, welcher Schaden entstehen kann, wenn die Information in falsche Hände gerät. Entsprechend dem Schadenspotenzial erstellt er Vorgaben für die Klassifizierung. Für die tatsächliche Klassifizierung einer Information ist aber in der Regel der Ersteller der Information verantwortlich, d.h. der jeweilige Mitarbeiter sollte beim Schreiben einer E-Mail, Abspeichern von Konstruktionsdaten oder Erstellen einer Bilanz die Vertraulichkeitsklasse (nach Vorgaben des Informationsverantwortlichen) festlegen. Allerdings werden in einem Großteil der Unternehmen die Informationen bei ihrer Erstellung nicht klas-sifiziert, da den meisten Erstellern die Vertraulichkeitsklassen und deren Auswirkungen auf den Um-gang mit der Information gar nicht bekannt sind. Somit ist die Klassifizierung nicht in den täglichen Arbeitsauflauf integriert, sie wird schlicht vergessen.

2. Kennzeichnung einer Information Als „Folgefehler“ einer nicht erfolgten Klassifikation sind die meisten Informationen auch nicht entspre-chend ihrer Vertraulichkeitsklasse gekennzeichnet, obwohl Richtlinien dies vorsehen.

3. Handhabung einer Information

In der Konsequenz können weiterverarbeitende Stellen den Wert der Information nicht erkennen und gehen daher oftmals nicht richtlinienkonform mit der Information um. Z.B. wird die Information

nicht entsprechend sicher aufbewahrt,

Personen zugänglich gemacht, die nicht zum definierten Nutzerkreis gehören,

bei Übertragung (z.B. E-Mail) nicht verschlüs-selt,

bei der Entsorgung nicht entsprechend sicher vernichtet.

Letztendlich wird die Informationsklassifizierung in den meisten Unternehmen nicht gelebt und die Informationen werden aus mangelnder Kenntnis des Wertes und der damit verbundenen Prozesse falsch und sicherheitsgefährdend ge-handhabt.

Das Risiko einer nicht gelebten Informationsklassifizierung.

Page 4: Whitepaper Informationsklassifizierung

www.hvs-consulting.de Seite 4 von 7

Whitepaper Informationsklassifizierung

Rein in die Köpfe der Mitarbeiter

Die Lösung dieser essenziellen Herausforderungen liegt in einem mehrstufigen Prozess, der in Anlehnung an das Lernmodell des Psychologen Alfred Bandura erläutert werden soll. Nach Bandura können Menschen 4 Kompetenzebenen erreichen:

Stufe Allgemeines Beispiel Für Informationsklassifizierung

Unbewusste Inkompetenz

Sie wachsen im Urwald auf und wissen nicht, was ein Auto ist. Sie können nicht Autofahren, aber es stört sie auch nicht.

Sie kennen die Informationsklassen im Unternehmen nicht. Das stört Sie auch nicht.

Bewusste Inkompetenz

Sie kommen in die Stadt und sehen Autos. Sie wissen nun, dass Sie nicht Autofahren können.

Sie wissen, dass es Informationsklassen gibt, Sie wissen aber nicht mit ihnen umzugehen.

Bewusste Kompetenz

Sie besuchen eine Fahrschule und lernen fahren. Allerdings fällt Ihnen die Ausübung noch schwer.

Sie lernen die Bedeutung und Handhabung der einzelnen Klassen. Im Alltag wenden Sie die Klassen aber nur selten bis nie an.

Unbewusste Kompetenz

Sie sind erfahrener Autofahrer, der bei 180 km/h auf der Autobahn telefoniert, ohne einen Unfall zu verursachen.

Informationsklassifizierung ist in Ihrem Arbeitsalltag verankert, ist zum Automatis-mus geworden.

Um Informationsklassifizierung von der Ebene der „unbewussten Inkompetenz“ in die gewünschte Ebene der „unbewussten Kompetenz“ zu bringen, müssen unterschiedliche Maßnahmen in mehreren Stufen ergriffen werden.

Mehrstufige Maßnahmen zur Verankerung der Informationsklassen

Page 5: Whitepaper Informationsklassifizierung

www.hvs-consulting.de Seite 5 von 7

Whitepaper Informationsklassifizierung

Eine reine Veröffentlichung der Informationssicherheitsrichtlinie erreicht in der Regel bei den Mitarbei-tern die Stufe der unbewussten Inkompetenz: Sie bekommen gar nicht mit, dass die Policy mit Vertraulich-keitsklassen existiert. Durch klassische Schulungsmaßnahmen aus dem Bereich der Security Awareness wie z.B. Präsenzschulun-gen, webbasierte Trainings, Flyer und Poster lernen Ersteller und Nutzer von Informationen (somit i.d.R. alle Mitarbeiter und Führungskräfte) die Vertraulichkeitsklassen und die damit verbundene Auswirkung auf den Umgang mit Informationen kennen und im Grundsatz verstehen. Sie wissen, dass vertrauliche Informa-tionen besser geschützt werden müssen als interne und dass man aufpassen sollte, mit wem man welche Informationen teilt. Obwohl diese „allgemeinen Maßnahmen“ zur grundsätzlichen Sensibilisierung gut geeignet sind, reichen sie i.d.R. nicht aus, um Mitarbeiter zur aktiven Klassifizierung von Informationen zu bewegen. Der Umgang ist noch nicht geübt, das Verständnis für das eigene Arbeitsumfeld ist noch sehr generisch. Als dritten Schritt können von der Sicherheitsabteilung Workshops zur Informationsklassifizierung in den Fachbereichen der Informationsverantwortlichen angeboten werden, z.B. der Personalabteilung. In diesen ca. 2 stündigen Workshops teilen die Mitarbeiter der Personalabteilung ihre wichtigsten Informationen in die Vertraulichkeitsklassen ein und diskutieren unter Anleitung des Abteilungsleiters und moderiert durch den Sicherheitsbeauftragten die unterschiedlichen Sichtweisen auf den Wert der Informationen. Diese aktive Auseinandersetzung mit Informationsklassifizierung schafft bei den Workshop Teilnehmern eine hohe Betroffenheit und Verständnis für die Anwendung der Klassen im eigenen Bereich. Mit den bisherigen Schritten wurden im Prinzip alle wichtigen Maßnahmen durchgeführt, um Informations-klassifizierung in die Köpfe der Mitarbeiter zu bringen. Die größte Herausforderung ist jedoch:

Das Wissen in den Köpfen halten und im Arbeitsalltag verankern

Hört man sich bei Informationssicherheitsverantwortlichen um, so wird deutlich, dass es in den meisten Fällen nicht gelungen ist, das Wissen in den Köpfen zu halten und im Arbeitsalltag zu verankern. Anfänglich werden Informationen klassifiziert und auf die korrekte Handhabung geachtet, aber innerhalb weniger Wochen verfallen die Mitarbeiter wieder in die alten Gewohnheiten. An dieser Stelle helfen Tools zur Informationsklassifizierung. Mittlerweile sind am Markt Software Tools verschiedener Anbieter verfügbar, welche die Klassifizierung und Kennzeichnung von Dokumenten und E-Mails unterstützen, beispielsweise IS-FOX Classification der HvS-Consulting AG. Hierbei handelt es sich um Plug-Ins für die vier Hauptanwendungen von Microsoft Office: Word, Excel, PowerPoint und Outlook. Microsoft Office ist de facto die Standardanwendung bei den meisten Unterneh-men weltweit und stellt somit ein zentrales Element im Information LifeCycle Management dar. Mit Outlook E-Mails, Word Dokumenten, Excel Tabellen und PowerPoint Präsentationen wird ein Großteil der Informationen eines Unternehmens verarbeitet.

Page 6: Whitepaper Informationsklassifizierung

www.hvs-consulting.de Seite 6 von 7

Whitepaper Informationsklassifizierung

IS-FOX Classification integriert sich in die Office Programme und ermöglichen eine „geführte“ Klassifikation durch die Anwender:

Dokumente und E-Mails müssen bei der Erstellung klassifiziert werden.

Dokumente und E-Mails können entsprechend der Klasse gekennzeichnet werden (z.B. als „vertraulich“)

E-Mails können je Klasse mit bestimmten Restriktionen versehen werden (z.B. erzwungene Ver-schlüsselung vertraulicher Informationen)

Beispiel IS-FOX E-Mail Classification für Microsoft Outlook

Obwohl mit Office Plug-Ins nicht alle Informationen eines Unternehmens klassifiziert werden, zeigen Erfahrungen von Anwendern, dass durch die kontinuierliche Verankerung der Klassifikation im Arbeitsalltag auch andere Dokumentarten wie z.B. SAP Berichte oder CAD Zeichnungen aktiv klassifiziert und gekenn-zeichnet werden. Die Informationsklassifizierung wird „ins Leben gebracht“.

Page 7: Whitepaper Informationsklassifizierung

www.hvs-consulting.de Seite 7 von 7

Whitepaper Informationsklassifizierung

Fazit

Die Einführung einer funktionierenden Informationsklassifizierung im Unternehmen ist eine „harte Nuss“, die nur durch die Kombination verschiedener Maßnahmen geknackt werden kann. Security Awareness Maßnahmen und Workshops vermitteln das nötige Wissen und Verständnis; Software-Tools helfen dieses Wissen im Alltag dauerhaft zu verankern.

Ihr Kontakt zu HvS-Consulting

HvS-Consulting AG Parkring 6 85748 Garching bei München Telefon: +49 (0)89 / 890 63 62 - 0 Telefax: +49 (0)89 / 890 63 62 – 62 E-Mail: [email protected] Internet: www.hvs-consulting.de Die Kernkompetenzen der HvS-Consulting AG liegen im Bereich Information Security Management nach ISO 27001 / ITIL, Prävention von Industriespionage, individuelles Coaching von Sicherheitsverantwortlichen (CIO, CSO), Sensibilisierung von Mitarbeitern durch Security Awareness Kampagnen sowie IT-forensische Analysen. Seit vielen Jahren unterstützt HvS-Consulting erfolgreich mittelständische und große internationale Unter-nehmen bei der Erstellung und dem Rollout unternehmensweiter Sicherheitsrichtlinien, sowie der beglei-tenden Sensibilisierung der Mitarbeiter und Führungskräfte.

Über die Autoren

Frank von Stetten ist Gründer und Vorstand der HvS-Consulting AG. Er berät Unternehmen bei Security Awareness Kampagnen und verantwortet die IS-FOX Security Awareness Produkte. Andreas Schnitzer ist Vorstand der HvS-Consulting AG. Als zertifizierter ISO 27001 Leadauditor und BS 25999 Auditor berät er Unternehmen in allen Themen rund um Informationssicherheits-Managementsysteme mit den Schwerpunkten Prozesse/Organisation sowie Security Awareness.


Whitepaper LitigationPR EUP

Whitepaper LitigationPR EUP

Business
Whitepaper Kennzahlen

Whitepaper Kennzahlen

Documents
NICKERT Whitepaper Handelsbilanzielles Eigenkapital

NICKERT Whitepaper Handelsbilanzielles Eigenkapital

Documents
Webforms Whitepaper 2012

Webforms Whitepaper 2012

Documents
Csa Whitepaper Promotions

Csa Whitepaper Promotions

Data & Analytics
Whitepaper - Fraunhofer

Whitepaper - Fraunhofer

Documents
Whitepaper: Facebook Gewinnspiele Guidelines

Whitepaper: Facebook Gewinnspiele Guidelines

Documents
Kinderwunsch whitepaper

Kinderwunsch whitepaper

Health & Medicine
Whitepaper Wegeleitung Marketing

Whitepaper Wegeleitung Marketing

Documents
20210921 Whitepaper aa

20210921 Whitepaper aa

Documents
WEBWARE ERP 2 - Whitepaper

WEBWARE ERP 2 - Whitepaper

Documents
IBP Whitepaper Smart Home

IBP Whitepaper Smart Home

Leadership & Management
Whitepaper Immersive Design

Whitepaper Immersive Design

Design
in-STEP BLUE Whitepaper

in-STEP BLUE Whitepaper

Documents
objectiF RM Whitepaper

objectiF RM Whitepaper

Documents
windream GmbH - Whitepaper

windream GmbH - Whitepaper

Documents
NICKERT Whitepaper Unternehmensnachfolge

NICKERT Whitepaper Unternehmensnachfolge

Documents
Whitepaper zum-online-marketing

Whitepaper zum-online-marketing

Documents
Whitepaper Social Media Governance

Whitepaper Social Media Governance

Documents
Whitepaper leadgenerierung social_media_akademie

Whitepaper leadgenerierung social_media_akademie

News & Politics
StarMoney 11 Whitepaper

StarMoney 11 Whitepaper

Software
Whitepaper Datenqualität

Whitepaper Datenqualität

Documents
ÖHV Whitepaper Finanzierung & Steuern

ÖHV Whitepaper Finanzierung & Steuern

Documents
Whitepaper "Lernmotivation steigern"

Whitepaper "Lernmotivation steigern"

Education
Virtuelles Nutzfahrzeug: VDC-Whitepaper

Virtuelles Nutzfahrzeug: VDC-Whitepaper

Technology
Whitepaper Itelligence

Whitepaper Itelligence

Documents
Whitepaper Security Awareness Kampagnen

Whitepaper Security Awareness Kampagnen

Business
Whitepaper b2bonlinemarketing

Whitepaper b2bonlinemarketing

Documents
Udi whitepaper oracle (deutsch)

Udi whitepaper oracle (deutsch)

Documents
Whitepaper Empirum PRO

Whitepaper Empirum PRO

Documents