Raus aus der Policy – Rein in die Köpfe!
Erfolgreiche Einführung von Informationsklassifizierung im Unternehmen.
Whitepape...
Whitepaper Informationsklassifizierung

Einführung
Im Zeitalter der Informationsgesellschaft sind Informationen zum wichti...
Whitepaper Informationsklassifizierung

Herausforderungen bei der Einführung von Informationsklassifizierung
Bei der Einfü...
Whitepaper Informationsklassifizierung

Rein in die Köpfe der Mitarbeiter
Die Lösung dieser essenziellen Herausforderungen...
Whitepaper Informationsklassifizierung

Eine reine Veröffentlichung der Informationssicherheitsrichtlinie erreicht in der ...
Whitepaper Informationsklassifizierung

IS-FOX Classification integriert sich in die Office Programme und ermöglichen eine...
Whitepaper Informationsklassifizierung

Fazit
Die Einführung einer funktionierenden Informationsklassifizierung im Unterne...
Nächste SlideShare
Wird geladen in …5
×

Whitepaper Informationsklassifizierung

1.495 Aufrufe

Veröffentlicht am

Dokumente klassifizieren, dass Führungskräfte und Mitarbeiter wissen, wie mit Dokumenten zu verfahren ist.

Veröffentlicht in: Business
0 Kommentare
0 Gefällt mir
Statistik
Notizen
  • Als Erste(r) kommentieren

  • Gehören Sie zu den Ersten, denen das gefällt!

Keine Downloads
Aufrufe
Aufrufe insgesamt
1.495
Auf SlideShare
0
Aus Einbettungen
0
Anzahl an Einbettungen
18
Aktionen
Geteilt
0
Downloads
11
Kommentare
0
Gefällt mir
0
Einbettungen 0
Keine Einbettungen

Keine Notizen für die Folie

Whitepaper Informationsklassifizierung

  1. 1. Raus aus der Policy – Rein in die Köpfe! Erfolgreiche Einführung von Informationsklassifizierung im Unternehmen. Whitepaper Frank v. Stetten und Andreas Schnitzer HvS-Consulting AG, 2012
  2. 2. Whitepaper Informationsklassifizierung Einführung Im Zeitalter der Informationsgesellschaft sind Informationen zum wichtigsten Gut eines Unternehmens geworden. Entwicklungsdaten, Strategiepläne, unveröffentlichte Bilanzen… viele Informationen sind für Unternehmen von höchstem Wert und müssen entsprechend geschützt werden. So erleidet die deutsche Wirtschaft pro Jahr einen Schaden von mehr als 50 Milliarden Euro durch Informationsabfluss. Doch nicht jede Information hat den gleichen Wert. Der Wert definiert sich durch den Schaden, den das Unternehmen erleiden würde, wenn die Information in falsche Hände gerät. Je höher dieser potenzielle Schaden ist, desto stärkere Sicherheitsmaßnahmen müssen ergriffen werden. Dementsprechend haben Werbebroschüren im Internet einen anderen Schutzbedarf als die neuesten Ergebnisse der Forschungsabteilung. In der Informationssicherheit wird der Wert einer Information durch Vertraulichkeitsstufen zum Ausdruck gebracht. Eine typische Einteilung kann wie folgt aussehen: Vertraulichkeit Kategorie Öffentlich Intern Vertraulich Streng vertraulich Potenzieller Das Bekannt Schaden werden der Informationen hat keinen negativen Einfluss. Das Bekannt werden der Informationen kann einen geringen bis mittelgroßen Schaden verursachen. Das Bekannt werden der Informationen kann einen großen Schaden verursachen. Das Bekannt werden der Informationen kann einen existenzgefährdenden Schaden verursachen. Beispiel Preislisten, Prozessbeschreibungen, Organigramme Personaldaten, Bilanzdaten Entwicklungsdaten, Unternehmensstrategie Publikationen, Broschüren Typische Vertraulichkeitsklassen in Unternehmen Die Informationen werden einer Vertraulichkeitsklasse zugeordnet (man spricht von Informationsklassifizierung), um jedem Nutzer der Information deutlich zu machen, welcher Schaden entstehen könnte, wenn die Information in unberechtigte Hände fällt. Damit verbunden sind im Allgemeinen Regelungen und Richtlinien zur Handhabung von Informationen, um das Risiko des unerwünschten Bekanntwerdens dieser Information zu reduzieren. www.hvs-consulting.de Seite 2 von 7
  3. 3. Whitepaper Informationsklassifizierung Herausforderungen bei der Einführung von Informationsklassifizierung Bei der Einführung einer Informationsklassifizierung sehen sich die Verantwortlichen für Informationssicherheit jedoch drei wesentlichen Herausforderungen gegenüber: 1. Klassifikation einer Information Der Informationsverantwortliche (meistens eine Führungskraft) beurteilt, welcher Schaden entstehen kann, wenn die Information in falsche Hände gerät. Entsprechend dem Schadenspotenzial erstellt er Vorgaben für die Klassifizierung. Für die tatsächliche Klassifizierung einer Information ist aber in der Regel der Ersteller der Information verantwortlich, d.h. der jeweilige Mitarbeiter sollte beim Schreiben einer E-Mail, Abspeichern von Konstruktionsdaten oder Erstellen einer Bilanz die Vertraulichkeitsklasse (nach Vorgaben des Informationsverantwortlichen) festlegen. Allerdings werden in einem Großteil der Unternehmen die Informationen bei ihrer Erstellung nicht klassifiziert, da den meisten Erstellern die Vertraulichkeitsklassen und deren Auswirkungen auf den Umgang mit der Information gar nicht bekannt sind. Somit ist die Klassifizierung nicht in den täglichen Arbeitsauflauf integriert, sie wird schlicht vergessen. 2. Kennzeichnung einer Information Als „Folgefehler“ einer nicht erfolgten Klassifikation sind die meisten Informationen auch nicht entsprechend ihrer Vertraulichkeitsklasse gekennzeichnet, obwohl Richtlinien dies vorsehen. 3. Handhabung einer Information In der Konsequenz können weiterverarbeitende Stellen den Wert der Information nicht erkennen und gehen daher oftmals nicht richtlinienkonform mit der Information um. Z.B. wird die Information  nicht entsprechend sicher aufbewahrt,  Personen zugänglich gemacht, die nicht zum definierten Nutzerkreis gehören,  bei Übertragung (z.B. E-Mail) nicht verschlüsselt,  bei der Entsorgung nicht entsprechend sicher vernichtet. Letztendlich wird die Informationsklassifizierung in den meisten Unternehmen nicht gelebt und die Informationen werden aus mangelnder Kenntnis des Wertes und der damit verbundenen Prozesse falsch und sicherheitsgefährdend gehandhabt. Das Risiko einer nicht gelebten Informationsklassifizierung. www.hvs-consulting.de Seite 3 von 7
  4. 4. Whitepaper Informationsklassifizierung Rein in die Köpfe der Mitarbeiter Die Lösung dieser essenziellen Herausforderungen liegt in einem mehrstufigen Prozess, der in Anlehnung an das Lernmodell des Psychologen Alfred Bandura erläutert werden soll. Nach Bandura können Menschen 4 Kompetenzebenen erreichen: Stufe Allgemeines Beispiel Für Informationsklassifizierung Unbewusste Inkompetenz Sie wachsen im Urwald auf und wissen nicht, was ein Auto ist. Sie können nicht Autofahren, aber es stört sie auch nicht. Sie kennen die Informationsklassen im Unternehmen nicht. Das stört Sie auch nicht. Bewusste Inkompetenz Sie kommen in die Stadt und sehen Autos. Sie wissen nun, dass Sie nicht Autofahren können. Sie wissen, dass es Informationsklassen gibt, Sie wissen aber nicht mit ihnen umzugehen. Bewusste Kompetenz Sie besuchen eine Fahrschule und lernen fahren. Allerdings fällt Ihnen die Ausübung noch schwer. Sie lernen die Bedeutung und Handhabung der einzelnen Klassen. Im Alltag wenden Sie die Klassen aber nur selten bis nie an. Unbewusste Kompetenz Sie sind erfahrener Autofahrer, der bei 180 km/h auf der Autobahn telefoniert, ohne einen Unfall zu verursachen. Informationsklassifizierung ist in Ihrem Arbeitsalltag verankert, ist zum Automatismus geworden. Um Informationsklassifizierung von der Ebene der „unbewussten Inkompetenz“ in die gewünschte Ebene der „unbewussten Kompetenz“ zu bringen, müssen unterschiedliche Maßnahmen in mehreren Stufen ergriffen werden. Mehrstufige Maßnahmen zur Verankerung der Informationsklassen www.hvs-consulting.de Seite 4 von 7
  5. 5. Whitepaper Informationsklassifizierung Eine reine Veröffentlichung der Informationssicherheitsrichtlinie erreicht in der Regel bei den Mitarbeitern die Stufe der unbewussten Inkompetenz: Sie bekommen gar nicht mit, dass die Policy mit Vertraulichkeitsklassen existiert. Durch klassische Schulungsmaßnahmen aus dem Bereich der Security Awareness wie z.B. Präsenzschulungen, webbasierte Trainings, Flyer und Poster lernen Ersteller und Nutzer von Informationen (somit i.d.R. alle Mitarbeiter und Führungskräfte) die Vertraulichkeitsklassen und die damit verbundene Auswirkung auf den Umgang mit Informationen kennen und im Grundsatz verstehen. Sie wissen, dass vertrauliche Informationen besser geschützt werden müssen als interne und dass man aufpassen sollte, mit wem man welche Informationen teilt. Obwohl diese „allgemeinen Maßnahmen“ zur grundsätzlichen Sensibilisierung gut geeignet sind, reichen sie i.d.R. nicht aus, um Mitarbeiter zur aktiven Klassifizierung von Informationen zu bewegen. Der Umgang ist noch nicht geübt, das Verständnis für das eigene Arbeitsumfeld ist noch sehr generisch. Als dritten Schritt können von der Sicherheitsabteilung Workshops zur Informationsklassifizierung in den Fachbereichen der Informationsverantwortlichen angeboten werden, z.B. der Personalabteilung. In diesen ca. 2 stündigen Workshops teilen die Mitarbeiter der Personalabteilung ihre wichtigsten Informationen in die Vertraulichkeitsklassen ein und diskutieren unter Anleitung des Abteilungsleiters und moderiert durch den Sicherheitsbeauftragten die unterschiedlichen Sichtweisen auf den Wert der Informationen. Diese aktive Auseinandersetzung mit Informationsklassifizierung schafft bei den Workshop Teilnehmern eine hohe Betroffenheit und Verständnis für die Anwendung der Klassen im eigenen Bereich. Mit den bisherigen Schritten wurden im Prinzip alle wichtigen Maßnahmen durchgeführt, um Informationsklassifizierung in die Köpfe der Mitarbeiter zu bringen. Die größte Herausforderung ist jedoch: Das Wissen in den Köpfen halten und im Arbeitsalltag verankern Hört man sich bei Informationssicherheitsverantwortlichen um, so wird deutlich, dass es in den meisten Fällen nicht gelungen ist, das Wissen in den Köpfen zu halten und im Arbeitsalltag zu verankern. Anfänglich werden Informationen klassifiziert und auf die korrekte Handhabung geachtet, aber innerhalb weniger Wochen verfallen die Mitarbeiter wieder in die alten Gewohnheiten. An dieser Stelle helfen Tools zur Informationsklassifizierung. Mittlerweile sind am Markt Software Tools verschiedener Anbieter verfügbar, welche die Klassifizierung und Kennzeichnung von Dokumenten und EMails unterstützen, beispielsweise IS-FOX Classification der HvS-Consulting AG. Hierbei handelt es sich um Plug-Ins für die vier Hauptanwendungen von Microsoft Office: Word, Excel, PowerPoint und Outlook. Microsoft Office ist de facto die Standardanwendung bei den meisten Unternehmen weltweit und stellt somit ein zentrales Element im Information LifeCycle Management dar. Mit Outlook E-Mails, Word Dokumenten, Excel Tabellen und PowerPoint Präsentationen wird ein Großteil der Informationen eines Unternehmens verarbeitet. www.hvs-consulting.de Seite 5 von 7
  6. 6. Whitepaper Informationsklassifizierung IS-FOX Classification integriert sich in die Office Programme und ermöglichen eine „geführte“ Klassifikation durch die Anwender:  Dokumente und E-Mails müssen bei der Erstellung klassifiziert werden.  Dokumente und E-Mails können entsprechend der Klasse gekennzeichnet werden (z.B. als „vertraulich“)  E-Mails können je Klasse mit bestimmten Restriktionen versehen werden (z.B. erzwungene Verschlüsselung vertraulicher Informationen) Beispiel IS-FOX E-Mail Classification für Microsoft Outlook Obwohl mit Office Plug-Ins nicht alle Informationen eines Unternehmens klassifiziert werden, zeigen Erfahrungen von Anwendern, dass durch die kontinuierliche Verankerung der Klassifikation im Arbeitsalltag auch andere Dokumentarten wie z.B. SAP Berichte oder CAD Zeichnungen aktiv klassifiziert und gekennzeichnet werden. Die Informationsklassifizierung wird „ins Leben gebracht“. www.hvs-consulting.de Seite 6 von 7
  7. 7. Whitepaper Informationsklassifizierung Fazit Die Einführung einer funktionierenden Informationsklassifizierung im Unternehmen ist eine „harte Nuss“, die nur durch die Kombination verschiedener Maßnahmen geknackt werden kann. Security Awareness Maßnahmen und Workshops vermitteln das nötige Wissen und Verständnis; Software-Tools helfen dieses Wissen im Alltag dauerhaft zu verankern. Ihr Kontakt zu HvS-Consulting HvS-Consulting AG Parkring 6 85748 Garching bei München Telefon: Telefax: +49 (0)89 / 890 63 62 - 0 +49 (0)89 / 890 63 62 – 62 E-Mail: welcome@hvs-consulting.de Internet: www.hvs-consulting.de Die Kernkompetenzen der HvS-Consulting AG liegen im Bereich Information Security Management nach ISO 27001 / ITIL, Prävention von Industriespionage, individuelles Coaching von Sicherheitsverantwortlichen (CIO, CSO), Sensibilisierung von Mitarbeitern durch Security Awareness Kampagnen sowie IT-forensische Analysen. Seit vielen Jahren unterstützt HvS-Consulting erfolgreich mittelständische und große internationale Unternehmen bei der Erstellung und dem Rollout unternehmensweiter Sicherheitsrichtlinien, sowie der begleitenden Sensibilisierung der Mitarbeiter und Führungskräfte. Über die Autoren Frank von Stetten ist Gründer und Vorstand der HvS-Consulting AG. Er berät Unternehmen bei Security Awareness Kampagnen und verantwortet die IS-FOX Security Awareness Produkte. Andreas Schnitzer ist Vorstand der HvS-Consulting AG. Als zertifizierter ISO 27001 Leadauditor und BS 25999 Auditor berät er Unternehmen in allen Themen rund um InformationssicherheitsManagementsysteme mit den Schwerpunkten Prozesse/Organisation sowie Security Awareness. www.hvs-consulting.de Seite 7 von 7

×