Internationale Sicherheitsforscher zeigen sich in Gesprächen überrascht, dass Unternehmen in Deutschland so besorgt sind um personenbezogene Daten, während Industriespione ganz andere Arten von Daten von den deutschen Unternehmen stehlen wollen. Wie die aktuellen Berichte der Verfassungsschützer zu Wirtschaftsschutz und Industriespionage zeigen, besteht zweifellos ein hoher Schutzbedarf auch für Daten, die nichts mit der persönlichen Privatsphäre zu tun haben.
Foto: m00osfoto, Shutterstock.com
Es gibt aber keinen Grund, dem Schutz personenbezogener Daten nun weniger Priorität einzuräumen. Wie die Tätigkeitsberichte der Aufsichtsbehörden für den Datenschutz zeigen, gibt es zahlreiche Mängel im Datenschutz und schwerwiegende Datenpannen. Was Unternehmen aber ändern sollten, ist ihre teilweise begrenzte Sicht, welche Informationen geschützt werden müssen und welche nicht.
Informationsschutz mit weiter Bedeutung
Bereits der Schutz personenbezogener Daten ist weitreichender, als viele Unternehmen glauben. Ein Blick in die geplante EU-Datenschutz-Grundverordnung zeigt zum Beispiel, bei welchen Arten von Daten eine Datenschutz-Folgenabschätzung durchgeführt werden soll. Diese Daten werden also als besonders sensibel betrachtet. Dazu gehören unter anderem Informationen über die wirtschaftliche Lage, den Aufenthaltsort, den Gesundheitszustand, die persönlichen Vorlieben, die Zuverlässigkeit oder das Verhalten von Personen. Das ist vielen Unternehmen im Wesentlichen bewusst.
Ebenfalls besonders zu schützen sind aber auch Informationen aus der weiträumigen Überwachung öffentlich zugänglicher Bereiche, insbesondere mittels Videoüberwachung, sowie umfangreiche Dateien, die Daten über Kinder, genetische Daten oder biometrische Daten enthalten.
Für ein umfassendes Datensicherheitskonzept müssen also auch Videodaten, genetische Daten, biometrische Daten und Daten von Kindern als solche erkannt, als entsprechend vertraulich klassifiziert und mit passenden Schutzmaßnahmen versehen werden. Doch auch der nächste Schritt vom reinen Datenschutz hin zum Informationsschutz darf nicht fehlen. Hier gilt es, auch auf ganz andere Daten zu achten und diese im Schutzkonzept zu berücksichtigen.
Zusätzlichen Schutz für mehr Informationen
Wenn beispielsweise die Leitung eines Unternehmens aus dem Bereich Elektrotechnik an zu schützende Daten denkt, kommen zuerst die Kundendaten in den Sinn. An zweiter Stelle der Überlegung rangieren meist die Mitarbeiterdaten, wobei an die Daten der eigenen Lieferanten schon weitaus weniger gedacht wird.
Foto: CNC-Arena GmbH
Die Datenverarbeitung eines solchen Unternehmens hat aber viele weitere wertvolle Informationen im Bestand, die neben den personenbezogenen Daten klassifiziert und dem Schutzbedarf entsprechend abgesichert werden müssen. Dies können Einkaufskonditionen bei Zulieferern sein, für die sich der eigene Wettbewerb durchaus interessieren könnte. Auch Konstruktionspläne für neue Produkte, die Planung des nächsten Messeauftritts, neue Forschungsergebnisse und die Resultate der internen Testabteilung dürften für Mitbewerber von hohem Interesse sein.
Alle Schutzvorgaben berücksichtigen
Der Schutz von Produktinformationen vor Wettbewerbsspionage sollte jeder Unternehmensleistung am Herzen liegen. Andere Informationen ohne direkten Personenbezug können einen erhöhten Schutzbedarf haben, weil sie Gegenstand eines Vertrages mit Kunden sind. Werden zum Beispiel Beratungsleistungen für einen Kunden erbracht, muss die Strategiepräsentation des Kunden ebenfalls besonders geschützt werden.
Foto: Brainloop AG
Abhängig von der jeweiligen Branche bestehen verschiedene Compliance-Vorgaben, die bei einem umfassenden Informationsschutz zu beachten sind. Dazu kann unter anderem gehören, dass bestimmte Nachweise manipulationssicher aufbewahrt und langfristig verfügbar sein müssen, auch wenn der Inhalt nicht vertraulich ist. Das können Protokolle zu bestimmten Maschinenabläufen sein, die aus Gründen der Qualitätssicherung vorgehalten werden müssen. Ohne jeden Personenbezug haben solche Protokolle dann einen erhöhten Schutzbedarf.
Ziel: Vollständiger Informationsschutz
So wichtig auch der Schutz personenbezogener Daten ist, der Informationsschutz geht über den reinen Datenschutz hinaus. Jedes Unternehmen sollte genau für sich prüfen, welche Daten keinem unbefugten Dritten zugänglich sein dürfen, welche Daten gegen Manipulationen geschützt sein müssen und welche Daten für eine definierte Zeit verfügbar sein müssen.
Die jeweiligen Fachbereiche sollten zusammen mit der IT-Abteilung den Bedarf an Vertraulichkeit, Verfügbarkeit und Integrität für alle unternehmensrelevanten Datenkategorien festlegen. Auf Basis dieser Vorarbeiten können dann die Daten aufgespürt und entsprechend abgesichert werden. Dafür stehen verschiedene Werkzeuge zur Verfügung, die bei einer vollständigen Datenklassifizierung helfen können.
Mehr zum Thema?
Wollen Sie mehr zum Thema "Datentransparenz" und Werkzeuge zur Datenklassifizierung erfahren, lesen Sie auch unsere Beiträge "Datenschutz durch Datentransparenz" und "Tools für die Datenklassifizierung". (sh)