Informationssicherheit als Wettbewerbsvorteil

Vom Wettbewerber zum Bestohlenen

1. Ausgangslage
Ideenträger, Entwickler oder Hersteller vergleichbarer Produkte und Dienstleistungen konkurrieren in einem harten Wettbewerb durch Ihre 'Innovation' und die sprichwörtliche 'Nasenlänge voraus' um die Gunst von Kunden, Auftraggebern oder Forschungseinrichtungen. Dieser Wettbewerb kann als normales Geschäftsgebaren bezeichnet werden, denn er regelt das Marktgleichgewicht und die Preisfindung für Produkte, Dienstleistungen und Innovationen in der freien Marktwirtschaft.

Was aber tun, wenn wir es mit schwarzen Schafen zu tun bekommen? Unternehmen oder Institutionen, die über den Rahmen von Competitive Intelligence hinaus Ideen kopieren oder stehlen und eine Verdrängung eines Wettbewerbers aus ihrem Markt anstreben. Eine Problemstellung, wie sie im Alltag und der Praxis vieler mittelständischer Unternehmen vorkommt, aber so nicht wahrgenommen wird.

Während große Unternehmen und Konzerne vielfach bereits über professionelle Schutzmechanismen verfügen, zeigen sich für den Bereich der Unternehmen des Mittelstandes noch einige Sicherheitslücken, die im Interesse der Wettbewerbsfähigkeit und der Existenzsicherung präventiv geschlossen werden sollten. Insbesondere unter Berücksichtigung des wirtschaftlichen Schadens, der nach vorsichtigen Schätzungen des Bundesamtes für Verfassungsschutz bei circa 20 Milliarden Euro im Jahr liegt, scheint es umso wichtiger, diese Lücken zu schließen.

Vielfach werden Schwachstellen im Bereich der IT vermutet. Nur so lassen sich auch die verhältnismäßig hohen Investitionen in die IT-Sicherheit erklären. Eine sehr einseitige und auch risikoreiche Betrachtungsweise. Häufig ist zu beobachten, dass diese sehr umfangreichen und zeitgemäßen Maßnahmen den Unternehmer in der trügerischen Sicherheit wiegen, alles getan zu haben, um einen bestandsgefährdenden Know-how-Abfluss zu verhindern. Bei genauerer Betrachtung klaffen dann jedoch häufig Sicherheitslücken in Bereichen, die in der Gesamtheit des Prozesses nicht betrachtet worden sind. Einfache Beispiele dafür sind die Gebäude- und Raumüberwachung, der Bereich der Zutrittskontrollen oder einer eindeutigen Klassifizierung von Daten. Die Gefahren eines frühzeitigen Auftragsverlustes oder eines faktisch gleichen Produkt erschließen sich nicht immer auf den ersten Blick, sondern lauern meist im Hintergrund.

2. Die Grenze zwischen Competitive Intelligence und Konkurrenzausspähung
Ein methodisch verfeinerter Ansatz der Wettbewerbsanalyse fand in den 1980er-Jahren aus Amerika zu uns. Heute zählt er zu den Grundlagen der betriebswirtschaftlichen Ausbildung. Modelle nach Porter beschreiben Wettbewerbskräfte oder Wertschöpfungsketten und stellen das Schaffen von Wettbewerbsvorteilen in den Vordergrund. Wer am Markt bestehen möchte, sollte über seine Wettbewerber, deren Produkte und Strategien Bescheid wissen.

Schon Sun Tzu als General im frühen China ("Wenn du den Feind kennst und du dich kennst, brauchst du nicht die Resultate von hundert Schlachten zu fürchten") oder Clausewitz im späteren Preußen setzten gezielt Spione und Kundschafter ein, um vorher zu wissen, was geschehen wird. Wenngleich die Arten und Beweggründe der Informationssuche heute andere sind, verfolgen sie dennoch das gleiche Ziel. In den meisten Fällen ist zu beobachten, dass zur Informationsgewinnung öffentlich zugängliche Informationen gesammelt und zusammengeführt werden. Mögliche und genutzte Quellen sind das Internet, Werbebroschüren, Präsentationen, Aussagen von Mitarbeitern auf Veranstaltungen, Newsletter, Messeinformationen und verfügbare Produkte. Diese Informationen werden dann von Spezialisten mit verschiedenen Analysemethoden verdichtet. So entsteht noch am Schreibtisch ihres Wettbewerbers ein Bild über ein Produkt oder eine Dienstleistung. Was hier als ein hohes Risiko beschrieben ist, beinhaltet auf der anderen Seite auch eine gute Chance, sein eigenes Wissen zu schützen. Mit den Fragestellungen: Was kann und darf an Information abfließen?

Einen 100-prozentigen Schutz davor, dass andere über Ihr Unternehmen Informationen sammeln, gibt es leider nicht. Unterstützung bieten jedoch Strategien der Informationspolitik und eine Steuerung des Informationsabflusses. Eine zentrale Voraussetzung für den Umgang mit vertraulichen Informationen ist die allgemeine Sensibilisierung von Mitarbeitern für sensible Bereiche sowie eine Eindämmung des Informationsverlustes durch Security Awareness.

Voraussetzung dafür ist die Platzierung am Markt, die Einschätzung der Wertigkeit von Informationen, Know-how, Produkt und Fertigungseigenschaften bzw. Abläufen sowohl für das eigene Unternehmen als auch für den Wettbewerber.

3. Risiken eines Joint Ventures
Um am internationalen Markt zu bestehen oder eine Expansion im Rahmen der fortschreitenden Globalisierung durchführen zu können, greifen viele mittelständische Unternehmen nach dem Vorbild erfolgreicher Kooperationen auf das Modell eines Joint Ventures im Ausland zurück. Die Vorteile liegen vermeintlich auf der Hand. Der deutsche Unternehmer als Know-how-Träger sucht sich einen Partner im Zielland, der dann die Aufgabe hat, dieses Know-how vor Ort zu produzieren und an den Markt zu bringen. Wirtschaftliche Risiken lassen sich verringern, da der Partner seinen Markt versteht, sich mit sämtlichen Parametern vor Ort auskennt und weiß, wie diese zu handhaben sind (gesetzliche Bestimmungen, Gewerkschaften etc.). So gesehen, scheint ein Joint Venture mit verlässlichen Partnern ein guter Weg für eine Expansion und ein gemeinsames Wagnis zu sein.

In der ersten Euphorie, den richtigen Partner gefunden zu haben, vergessen die Betroffenen leider zu schnell, dass unter Umständen das komplette Know-how preisgegeben werden muss. Geschützt ist dieses Know-how dann in der Regel im Vorfeld nach deutschem und / oder europäischem Patentrecht. Fraglich ist jedoch, ob diese Patente auch dem Patentrecht des Ziellandes entsprechen. Oftmals ist dies in der Kürze der Zeit nicht zu prüfen oder wird komplett vernachlässigt in der Hoffnung, der neue Partner ist vertrauenswürdig. So werden Bauzeichnungen, Detailzeichnungen und Stücklisten bedenkenlos in die Hände des neuen Joint Venture-Partners gegeben. So können sich für ein mittelständisches Unternehmen katastrophale Folgen ergeben.

In China wurden beispielsweise ganze Produktionsstätten, die vorher im Rahmen eines Joint Ventures errichtet wurden, schlichtweg nachgebaut, so dass man innerhalb kürzester Zeit baugleiche Teile weitaus günstiger auf den Markt bringen konnte, als der deutsche Unternehmer, der bis dahin noch der Inhaber des Know-how war. Der Versuch, über das Patentrecht Forderungen gegen die 'neuen Hersteller' durchzusetzen, ist bis heute gescheitert; oft auch an der großen Politik. Kulturelle Unterschiede führen zu Unverständnis auf der Seite der Nachahmer, denn nur den Besten ihrer Klasse wird die Ehre zuteil, nachgemacht zu werden. Für den Unternehmer bedeutete dies, dass neben Umsatzverlusten ein hohes Risiko eines möglichen Imageschadens im Raum steht. Die Erfahrung getesteter Nachbauten zeigt, dass die Produkteigenschaften nicht immer vergleichbar sind, sogar teilweise komplett außer Acht gelassen werden.

Ein Joint Venture kann viele Vorteile für eine Unternehmen und dessen Wachstumsstrategie mit sich bringen. Denn idealerweise findet eine Kooperation statt, bei der das Unternehmen im Ausland durch einen Technologietransfer profitiert und sich im Gegenzug wichtige Marktanteile auf dem ausländischen Markt sichern kann. Um Risikobereiche zu verringern, sollten zunächst in den Corporate Security-Bereichen bzw. durch die Sicherheitsverantwortlichen einige Vorüberlegungen zur Risikominimierung angestellt werden:

  • Die Prüfung des zukünftigen Partners: Fragestellungen wie z. B. nach der Unternehmensform, nach verfügbaren Presseinformationen, Unternehmensbroschüren sind sinnvolle Ergänzungen zu dem bereits vorhandenen Wissen über den Partner.
  • Analysen und rechtliche Würdigungen sowie eine Klärung der rechtlichen Rahmenbedingungen und Einflussfaktoren auf ein geplantes Joint Venture sind Aspekte, die schon vor der Unterzeichnung von Vorverträgen oder Abkommen geklärt werden sollten.
  • Darüber hinaus sollten Vorstellungen hinsichtlich der Rechtsform für das Unternehmen bereits entwickelt sein. Dies ist wichtig im Rahmen der Haftungsfragen und möglichen Besonderheiten
  • im Verbraucherschutzgesetz.
  • Außerdem ist das Aufstellen einer Security Policy für den Umgang mit dem Joint Venture-Partner sowie die Benennung klarer Ansprechpartner auf jeden Fall ratsam. Es ist stets von Vorteil, vor einem Joint Venture den Umgang mit Know-how, den gewerblichen Schutzrechten, Wettbewerbsverboten, Lizenzgebühren und Patentrechtsfragen zu regeln.

4. Risiken in der Produktentwicklung
Anhand von vorgegebenen Bauräumen oder Abmaßen des Komponenten- oder Autoherstellers wird ein ausgeklügeltes Produktdesign mit funktionalen Produkteigenschaften in der Entwicklungsabteilung des Unternehmens mittels CAD konstruiert und erfunden. Um das Design zu validieren, wird der Bau von Prototypen veranlasst. Diese Prototypen werden über einen Modellbauer nach Ihren Zeichnungen hergestellt. Im Rahmen zukünftiger Spezifikationstests ist eine Freigabephase des Produktes für verschiedene Anwendungen zu prüfen. Diese Prüfung erfolgt meist mit eigenen Prüfeinrichtungen, aber auch in unabhängigen externen Instituten. Soweit der theoretische Ablauf.

In diesem gewählten Beispiel der Zulieferindustrie für den Bereich Automotive gilt es im Vorfeld das eigene Know-how durch vertragliche Regelungen zu schützen. Mit der Konstruktionszeichnung und der Übermittlung der CAD-Modelldaten für den Hersteller der Prototypen findet ein erster Know-how-Transfer statt, welcher unabhängig von der Form der Übermittlung mit einer Geheimhaltungsvereinbarung belegt werden sollte. Nach erfolgter Modellkonstruktion und Moldflowanalyse ist darauf zu achten, dass keine Prototypen, Angüsse, Zeichnungen oder sonstige Teilfertigungsprodukte bei den Lieferanten verbleiben. Der Markt in der Modell- oder Werkzeugbauwelt für spezielle Applikationen und Neuentwicklungen ist übersichtlich und an dieser Stelle wird für Fachleute Ihr Know-how, Ihre Planung oder angedachte Methode frühzeitig bekannt.

Know-how ist das, was Unternehmenserfolg ausmacht. Problemlösungswissen sorgt im Wettbewerb für den komparativen Konkurrenzvorteil. Die zu schützenden Informationen stammen aber dabei nicht nur aus der innovativen Hochtechnologie. So sollten einfache Angaben wie geforderte Materialkennzeichnungen, Produktbeschreibungen und Entsorgungsschlüssel im Sinne der Produktangaben mit Bedacht gegeben werden. Diese meist normalen Zahlen und Angaben stellen oft unternehmenspolitische Entscheidungen (Entwicklungsverhalten, Modellpolitik, Preispolitik) dar. Nach einer empirischen Erhebung bei Großunternehmen in den USA betrafen 56 Prozent der Fälle von Wettbewerbsspionage unter Konkurrenten am Markt Informationen wie z.B. Stücklisten, Preislisten und Preispolitik.

5. Die Innentäter-Problematik
Know-how fließt nicht nur durch strafbare Wettbewerbsspionage ab. Korruption von Mitarbeitern oder Verrat von Betriebsgeheimnissen durch Innentäter sind denkbar und ebenfalls mögliche drohende Risiken. In Zeiten wirtschaftlicher Herausforderungen wächst die Bereitschaft, Geld für eigene Entwicklungen einzusparen und Entwicklungsdaten beim Wettbewerber abzuschauen. Zunehmende Lebenshaltungskosten und ein steigendes Gefälle zwischen Arm und Reich fördern die Entwicklung von Korruption und können Mitarbeiter, Praktikanten, Studenten motivieren, ihre Verdienstsituation durch den Verkauf von Informationen zu verbessern. Ungeachtet der vereinbarten Verschwiegenheitspflicht werden Planungen oder Informationen über Zustand, Tätigkeit und Rechtsbeziehungen des Unternehmens gegen Bezahlung preisgegeben. Telefonlisten und Adressen von Ansprechpartnern sind hoch gehandelte Informationen.
Neben den finanziellen Anreizen werden heute allerdings auch Mittel eingesetzt, die früher lediglich von Geheimdienstkreisen genutzt wurden. Ausgenutzt werden hierbei vor allem Süchte (Drogen, Alkohol, Spielen etc.) aber auch der Wunsch nach Zuneigung oder Sex. Immer geht es darum, die potentielle Quelle in eine Abhängigkeit zu bringen, also erpressbar zu machen. Hierbei weiß die 'Quelle' nicht nur, was sie tut, sondern sie forciert teilweise sogar die Informationsbeschaffung und -weiterleitung.

Dies reicht allerdings für die Betrachtung eines Innentäters nicht aus, denn ein weiterer Faktor für den Abfluss von Informationen ist das Fehlverhalten von Mitarbeitern. Hierbei ist die Quelle nicht wissentlich aktiv; der Informationsabfluss ist vielmehr der fehlenden Sorgfalt geschuldet. Beispielsweise werden die Informationen des letzten Termins in der Abflughalle telefonisch mit dem Chef besprochen. Dass das halbe Terminal mithört und, was hier sicher nicht auszuschließen ist, dass hierunter auch Mitarbeiter der Konkurrenz sind, spielt augenscheinlich keine Rolle. Auch der Laptop wird an diesen Orten häufig und gern genutzt, wobei definitiv nicht sicherzustellen ist, dass eine Einsicht auf das Display und somit auf wichtige Unternehmensdaten verhindert wird.

Auch das Verhalten der Mitarbeiter in Vorzimmern und Sekretariaten ist unter diesem Gesichtspunkt besonders zu überprüfen. Informationen, die auf dem 'kleinen Dienstweg' ausgetauscht werden, also von Assistenz zu Assistenz, fließen nicht aus böser Absicht oder gar mit Vorsatz. Dennoch können diese Informationen erhebliche Konsequenzen haben und der Weg über das Vorzimmer als gezieltes Instrument genutzt werden, um an unternehmensspezifische Informationen zu gelangen. Dass sich diese Beispiele beliebig erweitern lassen, hat ein jeder schon erlebt, der auf Messen oder Fachtagungen zugegen war und hier insbesondere die abendlichen Standpartys oder Dinner erlebt hat. Das gesellige Zusammensein und der Alkohol lassen hier zahlreiche Interna (ab)fließen. Ein geschickter Befrager kommt hier schnell und leider auch sehr leicht zum Ziel. Häufig zu beobachten ist das Phänomen, dass nach dem Genuss von alkoholischen Getränken über den Erfolg geprahlt werden muss und auch gern ein Ausblick in die glorreiche Zukunft gegeben wird.

6. Risiken durch fehlende Sensibilisierung: Der einfache Laptopdiebstahl
In der Entwicklungsabteilung eines mittelständischen Unternehmens wurde im August 2007 ein Laptop entwendet. Die Fakten:

  • Der Rechner war ca. eineinhalb Jahre alt.
  • Auf dem Laptop wurden Daten über Artikelnummern, Gebrauchsmaterialien, Stücklisten von Teilkomponenten mit Hilfe von Softwareprogrammen verarbeitet. Ob Daten und weitere sensible Informationen auf dem entwendeten Laptop gespeichert wurden, ist nicht bekannt.
  • Der Laptop war keiner bestimmten Person zugeordnet, das heißt mehrere Mitarbeiter hatten Zugriff auf diesen Rechner.
  • Das Passwort war allen Nutzern bekannt.
  • Unbekannt war, welche Datensätze sich von den jeweiligen Nutzern bei der Entwendung auf dem Laptop befanden.
  • Der Laptop befand sich am Arbeitsplatz (Schreibtisch) und wurde nicht unter Verschluss gelagert.

Im September 2007 wurde durch den Kundendienst dieses Unternehmens der Diebstahl eines weiteren Laptops mit Tasche und einem mobilen Drucker gemeldet. Auch hier die Fakten:

  • Der Rechner war ebenfalls ca. eineinhalb Jahre alt.
  • Auf diesem Laptop befanden sich Daten aus Testreihen von einem neuen System (Marktneuheit).
  • Dieser Laptop wurde von vier Mitarbeitern genutzt.
  • Das Passwort war den Nutzern bekannt.
  • Der Laptop wurde in einem abschließbaren Sideboard beim Kundendienst gelagert; das Sideboard war nicht verschlossen.
    Wie viele Mitarbeiter und Externe über den Standort der Lagerung und dessen Zustand Kenntnis hatten, ist unklar.

Das Unternehmen hat folgende Maßnahmen getroffen:

  • Bei der örtlich zuständigen Polizeidienststelle wurde Strafanzeige gestellt.
  • Die Versicherung wurde informiert.
  • Das Laptopmodel wurde beim Hersteller als gestohlen gemeldet.
    Bei Erneuerung von Hardwarekomponenten und damit verbundenen Downloads über das Internet wird der Hersteller über die Treibersignaturen die IP-Adresse ermitteln und den Behörden diese Information zuleiten.

Als Motive für die Diebstähle wurden im Unternehmen 'Beschaffungskriminalität' angenommen und Maßnahmen nach 'Schema F' eingeleitet:

  • Ersatzgestellung "von einem Stück Laptop".
  • Anordnung: Durchsuchung der Mitarbeiter durch den Werkschutz
  • Hoffnung auf eventuelle Ermittlungsergebnisse durch Polizei und Versicherung

Zu keinem Zeitpunkt ist das Motiv der Konkurrenzausspähung in Betracht gezogen worden. Es ging dem Unternehmen nicht um die Daten, die sich auf den Rechnern befanden ("die sind ja noch auf dem Server"), sondern lediglich um das gestohlene technische Gerät. Beide Vorfälle wurden nur für sich betrachtet, die Entwicklungsabteilung wusste nichts von dem Diebstahl beim Kundendienst. Erst nach Hinzuziehung eines externen Beraters wurden die Zusammenhänge hergestellt und entsprechende Hintergrundrecherchen durchgeführt, hierbei stellte sich auch heraus, dass der Leiter der Abteilung seit ca. zwei Monaten zur Konkurrenz gewechselt war.

7. Lösungsansätze
7.1 Rechtliche Lösungsansätze

In der rechtlichen Betrachtung wird das Know-how eines Unternehmens durch § 823 Abs. 1 BGB (eingerichteter und ausgeübter Gewerbebetrieb als Schutzgut) gegen unerlaubte Handlungen (Ausspähung, Vernichtung) geschützt. Strafrechtlich soll § 17 UWG vor Verrat von Know-how schützen. Jenseits dieser rechtlichen Schutzstandards bedarf es im Unternehmen personeller, organisatorischer und technischer Vorkehrungen zum Know-how-Schutz. Als Maßstab gelten hier die Standards der Datensicherung und der Abwehrmechanismen der Informationstechnologie (z. B. Firewalls). Wird Know-how auf herkömmliche Weise in Akten aufbewahrt und im Panzerschrank weggeschlossen, müssen die Standards der Unterlagensicherheit greifen. Dem Know-how-Schutz dienen auch die bestehenden Verschwiegenheitspflichten der Organe und Mitarbeiter des Unternehmens.

7.2 Verschwiegenheitspflichten
Die Verschwiegenheitspflicht des Arbeitnehmers, die als Nebenpflicht aus dem Arbeitsvertrag folgt, verpflichtet den Arbeitnehmer, Arbeits- und Geschäftsgeheimnisse zu wahren und darauf zu achten, dass Dritte nicht unbefugt Kenntnis von Geheimnissen aus dem Arbeitsbereich erlangen. Was die Organe betrifft, so ist die Verschwiegenheitspflicht von Vorständen im Aktiengesetz ausdrücklich geregelt. Nach § 93 Abs. 1 S.2 AktG haben Vorstandsmitglieder über vertrauliche Angaben und Geheimnisse der AG, namentlich Betriebs- und Geschäftsgeheimnisse, die ihnen durch ihre Organtätigkeit bekannt geworden sind, Stillschweigen zu bewahren. Das GmbH-Gesetz kennt keine ausdrückliche entsprechende Pflicht für Geschäftsführer. Ihre Verschwiegenheitspflicht wird vom Gesetz indes als selbstverständlich vorausgesetzt und folgt auch aus der jedem Organ obliegenden Treue- und Sorgfaltspflicht. Vertrauliche Angaben bzw. Geheimnisse können sein: Informationen über Zustand, Tätigkeit und Rechtsbeziehungen des Unternehmens (z.B. Finanzsituation, Kundenbeziehungen), Planungen (z. B. Modellpolitik, Preispolitik), Interna aus Vorstands- und Aufsichtsratssitzungen (z. B. Reaktionen auf feindliche Übernahme).

7.3 Unterlagensicherheit
Werden unternehmensrelevante Informationen nicht automatisiert oder in einer Datei gespeichert, sondern auf herkömmliche Weise in Akten verarbeitet, mit der Folge, dass die Bestimmungen der Datensicherheit nicht gelten, ist gleichwohl Unterlagensicherheit zu gewährleisten. Bei den relevanten Unterlagen handelt es sich um:

  • Formularsammlungen
  • Karteien
  • Verträge
  • Mikrofilme
  • Videos
  • Listen
  • Grafiken
  • Amtliche Dokumente
  • Lizenzen, Patente
  • Buchführungsunterlagen
  • Steuererklärungen etc.

Es liegt im Eigeninteresse des mittelständischen Unternehmers, mit einer Verfahrensanweisung für den korrekten Umgang mit Unterlagen und somit für die Unterlagensicherheit zu sorgen. Gegenstände einer solchen Verfahrensanweisung sollten immer sein:

  • Zentrale Unterlagendokumentation
  • Standardisierte Ablauforganisation für Geschäftsvorgänge
  • Zugriffsmöglichkeiten.

Gegenstand der Unterlagensicherheit sollte auch immer die Gewährleistung der Einhaltung gesetzlicher Aufbewahrungspflichten sein. Insoweit trifft das Unternehmen bzw. seine Organe neben der Buchführungspflicht auch eine Aufbewahrungspflicht. Nach § 238 Abs. 2 HGB ist der Vorstand verpflichtet, eine mit der Urschrift übereinstimmende Wiedergabe der abgesendeten Handelsbriefe zurückzubehalten. Weiter sind nach § 257 Abs. 1 HGB Handelsbücher, Inventare, Eröffnungsbilanzen, Jahresabschlüsse, Lageberichte, Konzernabschlüsse, Konzernlageberichte sowie die zu ihrem Verständnis notwendigen Arbeitsanweisungen und sonstigen Organisationsunterlagen und Belege für Buchungen in den Handelsbüchern aufzubewahren. Die steuerrechtlichen Aufbewahrungspflichten (z. B. die Aufzeichnungen den Wareneingang und Warenausgang betreffend) finden sich in den entsprechenden Gesetzen.

8. Die notwendige Corporate Security-Betrachtung
Unter ganzheitlichem Informationsschutz im Sinne der Corporate Security ist die Sicherung von Informationen jedweder Art, also in Wort und Schrift sowie als Bilder und Zeichnungen, zu verstehen. Der Informationsschutz umfasst unter anderem den Datenschutz, die Datenträgersicherheit, die Unterlagensicherheit, aber auch Aspekte wie Wissensschutz, Abhörschutz oder IT-Sicherheit.

Für einen effizienten Informationsschutz im Unternehmen ist eine Reihe von Maßnahmen zu implementieren. Beginnend mit der zu erstellenden Sicherheitskonzeption über den Aufbau geeigneter Organisationsstrukturen bis hin zu deren regelmäßiger Revision. Erreicht werden kann dies im Rahmen einer Corporate Security-Betrachtung. Die Grundlage bildet hier die ganzheitliche Betrachtungsweise aller Unternehmensprozesse und die damit verbundene Empfehlung und Umsetzung notwendiger Schritte. Die Aufgabe der Leitung ist es, den Sicherheitsprozess zu initiieren, zu steuern und zu kontrollieren. Einfache Maßnahmen wie eine 'Clean Desk Policy', Zutrittsregelungen oder das Bewusstsein für sensible Informationen zu identifizieren und zu klassifizieren gehören dazu. Ganzheitlich gedacht gilt es, die Kette der Informationsverarbeitung von der Entstehung über die Bearbeitung bis zur Archivierung oder Vernichtung bestmöglich zu schützen. Die zu erreichenden Sicherheitsziele werden dabei von der Leitungsebene definiert.

Quelle: Stefan Bisanz: Vom Wettbewerber zum Bestohlenen. In: Stefan Bisanz, Uwe Gerstenberg: Raubritter gegen den Mittelstand. Security Explorer: Essen, 2009, S. 25 - 36.

SecEx Profilbild
Dieser Beitrag stammt von freien Mitarbeiter:innen des Security Explorer.
Scroll to top