Papierkrieg
Datensicherheitsrichtlinien füllen Bände
Copyright (C) 04/1999 by Howard Fuhs
Wer Datensicherheitsmaßnahmen in einem Unternehmen auf solide Füße stellen will, wird um ihre Definition in Form von Datensicherheitsrichtlinien nicht umhin kommen. Aber selbst die besten Datensicherheitsmaßnahmen veralten irgendwann und werden damit unwirksam was dann ebenfalls für die Datensicherheitsrichtlinien gilt. In der Praxis entsteht dabei das Problem, daß im Managementbereich sehr oft nicht erkannt wird, daß sowohl die Sicherheitsrichtlinien als auch die Sicherheitsmaßnahmen nicht mehr dem aktuellen Stand der Technik genügen und man wiegt sich in falscher Sicherheit. Es empfiehlt sich daher, eingeführte Datensicherheitsmaßnahmen in regelmäßigen Abständen im Rahmen eines Sicherheits-Audits auf ihre zeitgemäße Beschaffenheit und Wirksamkeit hin zu überprüfen.
Im Rahmen dieses Sicherheits-Audits sollten ebenfalls die unternehmensinternen Datensicherheitsrichtlinien auf Gültigkeit und Aktualität hin überprüft werden. Erst mit der Definition eines unternehmensweiten Sicherheitsstandards und den entsprechenden Richtlinien zur praktischen Umsetzung ist es möglich, Sicherheitsmaßnahmen sinnvoll und praxisgerecht im Unternehmen einzuführen.
Was nun die Richtlinien in Unternehmen anbelangt, so bahnt sich dort sehr oft ein regelrechter Papierkrieg an. Selbst in kleineren Unternehmen haben diese Richtlinien den Umfang einer EU-Verordnung. So sind mir Firmen bekannt, die im Zeitraum von 9 Jahren ganze 384 verschiedene Datensicherheitsrichlinien im Unternehmen veröffentlicht haben. Die eine Richtlinie ergänzt die andere, einige Richtlinien heben einander auf und alle Richtlinien stehen oftmals im krassen Widerspruch zueinander. Wen wundert es da, daß von den Arbeitnehmern keiner die Richtlinien je zur Kenntnis genommen hat.
Ich vermag nicht zu sagen, ob die Regelungswut in Unternehmen als typisch deutsch zu bezeichnen ist, die Fehler die im Rahmen von Unternehmensrichtlinien im allgemeinen und Datensicherheitsrichtlinien im speziellen gemacht werden sind europaweit die gleichen. Dabei kann die Richlinienflut in Unternehmen durch die Berücksichtigung einfacher Vorgehensweisen drastisch eingeschränkt werden.
Empfehlungen
So ist es nicht empfehlenswert bestehende Richtlinien durch eine neue Richtlinie zu erweitern oder zu ersetzen. Im Hinblick auf die Bekanntheit von Richtlinien in einem Unternehmen wäre es sinnvoll immer die gleiche Richtlinien-Nummer oder den Richtlinien-Namen beizubehalten und die bestehende Richtlinie durch Ergänzung an neue Gegebenheiten anzupassen. Damit würde im Laufe der Zeit sichergestellt, daß der Anwender die Richtlinien-Nummer/Name immer mit einem gewissen Inhalt in Verbindung bringt. In der Praxis führt dies zu einer Art von unverwechselbarer Richtlinien-Identität.
Darüber hinaus sollte es dem Anwender möglich sein, Richtlinien, welche alle das gleiche oder ähnliche Thema behandeln, unter einem prägnanten und allgemein bekannten Schlagwort zu finden. Für den Bereich der Datensicherheit ist die unternehmensweite Einführung einer allgemeinen Datensicherheitsrichtlinie unter dem Suchbegriff "Datensicherheit" und die Zusammenfassung aller entprechender Richtlinien zu einer einzigen Richtlinie, die auch im Intranet unter dem Suchwort "Datensicherheit" oder der feststehenden Richtliniennummer gefunden werden kann sehr empfehlenswert. Die einzige sinnvolle Aufteilung in zwei Richtlinien wäre dann gegeben, wenn man eine einfache Sicherheitsrichtlinie für Endanwender und eine entsprechend technisch und organisatorisch orientierte Richtlinie für Systemadministratoren und Management erstellt.
Dokumentenrichtlinien und Informationsklassifizierung
Auffällig ist die Tatsache, daß es in Unternehmen sehr oft keinerlei Richtlinie zur Klassifizierung von Dokumentinhalten und entsprechende Kennzeichnung von Dokumenten gibt. Durch eine fehlende Dokumentenklassifizierung ist es dem Anwender nicht möglich zu erkennen, in welchem Umfang der Verteilerkreis für ein Dokument eingeschränkt ist.
Als Empfehlung kann hier nur gelten eine unternehmensweite Richtlinie zur Klassifizierung von Dokumenteninhalten und einen entsprechenden Dokumenten-Code auszuarbeiten. Aus dem Dokumentencode, der auf jedem Dokument angebracht wird muß ersichtlich sein, wer der Verfasser des Dokuments ist, welcher Abteilung der Verfasser angehört, wann das Dokument verfasst wurde und welchem Personenkreis oder welcher Anwendergruppe das Dokument zugänglich sein darf. Optional kann auch noch eine Versionsnummer angegeben werden, aus der hervorgeht wie oft das Dokument seit der Erstellung verändert oder überarbeitet wurde. Durch diese Dokumentenrichtlinie kann ebenfalls ein festes Datumsformat vorgegeben werden. Der Verfasser des Dokuments ist für die Dokumentenklassifizierung verantwortlich.
Durch solche Maßnahmen kann in einem absehbaren Zeitraum eine Informationsklassifizierung eingeführt werden um eine unternehmensweite Informationstransparenz schaffen zu können ohne daß dabei Sicherheitsprobleme für bestimmte Geschäftsbereiche entstehen. Ohne eine solche Maßnahme können keine sinnvollen Zugriffsrestriktionen auf unternehmenswichtige Informationen eingeführt werden.
Zuerst muß Anhand einer Klassifizierung bekannt sein, wo sensible Informationen entstehen, wo diese gespeichert sind und wer diese sensiblen Unternehmensinformationen nutzen darf, bevor entsprechende Sicherheitsmaßnahmen sinnvoll implementiert werden können.
Wie man an diesen Empfehlungen sieht, es muß nicht sonderlich schwer und kompliziert sein, den firmeninternen Papierkrieg auf ein Minimum zu reduzieren. Man muß es nur wollen.
Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Autors unzulässig und strafbar.
Copyright (C) 04/1999 by Howard Fuhs