Im Enterprise Information Management (EIM) werden alle Informationen des Unternehmens strukturiert verwaltet, organisiert und gemessen. Ort, Verwendung, Prozesszugehörigkeit und Wert der Geschäftsinformationen lassen sich per Knopfdruck abrufen. Die Kosten der Geschäftsinformationen, die bei Verlust der Vertraulichkeit, Integrität oder Verfügbarkeit entstehen, werden fundiert erhoben und stellen im Unternehmen eine kaufmännische Größe dar. Der Wert von Informationen auf den jeweiligen „Informationsträgern“ (zum Beispiel in einer IT-Anwendung) wird durch Vererbung ermittelt.
Selten so gut gelacht, oder?
Hintergrund: Oben genannte Kosten werden in der Informationssicherheit auch „Schutzbedarf“ genannt. Der Schutzbedarf drückt aus, welcher maximale Schaden für das Unternehmen entstehen kann, wenn ein Schutzziel nicht erreicht wird. Zur Erhebung des Schutzbedarfs dient die „Schutzbedarfsfeststellung“, auch „Informationsklassifizierung“ und „Datenklassifizierung“ genannt. Ergebnis der Schutzbedarfsfeststellung ist eine meist grobe, qualitative Einteilung der Informationswerte in solche, die einen niedrigen, mittleren oder hohen Schutz bedürfen.
Beispiel: Die vorzeitige, ungewollte Veröffentlichung von Kaufabsichten anderer Firmen kann zu einem Schaden fürs Unternehmen führen, schlussendlich zum Scheitern der Übernahme. Das missbräuchliche Verwenden solcher Informationen (im Sinne „Insiderhandel“) kann nach § 38 Abs. 1 WpHG geahndet werden.
Außerhalb des Geheimschutzes fordern Normen und Standards der Informationssicherheit die Schutzbedarfsfeststellung ein und beschrieben das „was“ aber nicht das „wie“. Am Beispiel BSI 200-2:
„Ziel der Schutzbedarfsfeststellung ist es, für die erfassten Objekte im Informationsverbund zu entscheiden, welchen Schutzbedarf sie bezüglich Vertraulichkeit, Integrität und Verfügbarkeit besitzen. Dieser Schutzbedarf orientiert sich an den möglichen Schäden, die mit einer Beeinträchtigung der betroffenen Anwendungen und damit der jeweiligen Geschäftsprozesse verbunden sind.“
Die konkrete Umsetzung ist dem Unternehmen überlassen. Im Idealfall gäbe es Umsetzungsrichtlinien und Best Practices, an denen sich Unternehmen orientieren. Wie stiefmütterlich das Thema jedoch behandelt wird, zeigt das Beispiel aus dem „CISSP Study Guide“ aus dem SYBEX-Verlag. Als ich mich vor einigen Jahren auf eine Zertifizierung vorbereitete, war dieses Buch eines von zwei Standardwerken für die Informationssicherheit. Bei einem Umfang von 881 Seiten behandeln gerade mal 4 Seiten die Informationsklassifizierung. Der Großteil davon deckt das Klassifizierungsschema ab (die Verwendung von Etiketten wie „vertraulich“). Und das, obwohl das Kapitel mit den Worten „Die Datenklassifizierung ist das wichtigste Mittel zum Schutz von Daten“ eingeleitet wird.
Gerade für große, privatwirtschaftliche Unternehmen ergeben sich in der Praxis zahlreiche Herausforderungen: Werden Geschäftsinformationen über Jahre erfasst, so entsteht aus dem Mangel an klaren Vorgaben von „oben“ mit großer Sicherheit ein unstrukturierter Haufen von Informationswerten, die individuell von den jeweiligen Fachstellen identifiziert, definiert und bewertet wurden. Die Verwaltung und Qualitätssicherung dieser Ansammlung an Informationswerten verschlingt viel Energie und trägt nicht direkt zur Bottom Line bei.
Daraus können sich die folgenden Fehlstellungen ergeben:
- Informationswerte sind nach Gusto der Fachbereiche benannt, eine übergeordnete Struktur (Ontologie) fehlt. Beispiel: „Rechnung“, „Invoice“, „Faktura“ und „Kreditorenrechnung“ werden als unabhängige Informationswerte von Fachbereichen erfasst und bewertet
- Informationswerte werden nicht als kaufmännisch relevante Assets betrachtet, die Ermittlung des Schutzbedarfs erfolgt nach Bauchgefühl und damit nicht konsistent. Anders als das Asset „Gebäude und Liegenschaften“, für das exakte Kostenrechnungen bei Nichtverfügbarkeit vorliegen
- Den Informationswerten ist kein eindeutiger Verantwortlicher zugewiesen. Beispiel: Jede Fachstelle, die Rechnungen verarbeitet, bewertet diesen Informationstyp aufs Neue
- Schutzbedarfe werden nicht vererbt, sondern zum Beispiel für ein IT-System neu und unabhängig vom Geschäftsprozess bewertet. Beispiel: Ein IT-System, welches das Rechnungswesen unterstützt, wird unabhängig klassifiziert von der Schutzbedarfsfeststellung für den Informationstyp „Rechnung“
- Unabhängig voneinander werden im Unternehmen Attribute von Informationswerten wie „Schutzbedarf“, „personenbezogene Daten“, „Anwalt-Client-Privileg“, „Teil der kritischen Infrastruktur“, „Aufbewahrungsfrist“ und „Aufbewahrungsort“ erfasst, für den Mitarbeiter ergibt sich kein Zusammenhang. Im schlimmsten Fall sprechen alle Governance-Stellen bei den unterschiedlichen Bewertungen von der „Klassifizierung“
Die mangelnde Prozessorientierung im Unternehmen verstärkt diese Effekte noch. Dabei entscheidet doch der Zeitpunkt der Verarbeitung im Prozess über den Schutzbedarf: Der Geschäftsbericht vor Veröffentlichung hat einen wesentlichen Schutzbedarf, nach Veröffentlichung aber nicht mehr.
Die Norm ISO 27001 ordnet die Inventarisierung und damit Strukturierung der Informationswerte indirekt der Informationssicherheit zu:
„Information und andere Werte, die mit Information und informationsverarbeitenden Einrichtungen in Zusammenhang stehen, sind erfasst und ein Inventar dieser Werte ist erstellt und wird gepflegt.“
In meinen Augen ist das zu kurz gesprungen. Die Informationssicherheit ist nur eine von mehreren Governance-Stellen im Unternehmen, die Vorgaben zum Umgang mit Informationswerten erstellt. Fachstellen, die mit Datenschutz, Data Analytics, Record oder Content Management zu tun haben, sind im gleichen Boot.
Gesetze wie das Gesetz zum Schutz von Geschäftsgeheimnissen (GeschGehG) und Branchenstandards wie TISAX (siehe Kontrolle 1.3.2, VDA ISA 5.1) stellen für Unternehmen eine Motivation dar, sich mit Informationsklassifizierung zu beschäftigen, auch wenn Umsetzungsanleitungen fehlen. Noch besser wäre aber eine intrinsische Motivation für das Unternehmen, das Management von Informationswerten ernst zu nehmen.
Als Alternative zu diesem Gedankengang kann die Funktion Informationssicherheit die Klassifizierung von Informationswerten zentral vorgeben, eventuell nach Absprache mit dem zuständigen Fachbereich. Nach dem Motto „alle Rechnungen und Risikoanalysen benötigen einen mittleren Schutz, alle Geschäftsberichte vor Veröffentlichung, alle Produktsicherheitsberichte sowie Übernahmeprojekte einen sehr hohen“. Damit wird zwar eine auditierungsfähige aber weitgehend unstrukturierte Insellösung geschaffen, ohne dass Synergien im Unternehmen gehoben werden.
Wenn die Informationssicherheit heutzutage tatsächlich so kritisch für den Unternehmenserfolg geworden ist, plädiere ich dringend dafür, auch dem Informationswert, den ja die Informationssicherheit schützen soll, mehr Stellenwert zu geben. Dies geht aber nicht ohne Struktur und Systematik, die aus einem Enterprise Information Management oder einem Prozessmanagement kommen können. Schließlich entstehen Informationen im Geschäftsprozess bzw. werden dort verarbeitet.