Der Umgang mit Informationen im Unternehmen

Bevor es darum geht, welche Daten zu schützen sind, muss eine Firma klären, wie sie mit ihren Daten umgeht. Dies schlägt sich dann in entsprechenden Regeln nieder. Dabei ist etwa ein Punkt, welche Informationen ein Mitarbeiter überhaupt in Social-Networks veröffentlichen darf. Auf der anderen Seite werden Regeln im ersten Anlauf nicht immer zu den Abläufen passen. Dies kann ein schrittweises Herantasten sein.

So könnte die Regel lauten, dass Mitarbeiter keine Kundendaten per E-Mail außerhalb des Unternehmens verschicken dürfen. Nun müssen aber fünf Leute einer bestimmten Abteilung einmal im Monat bestimmte Datensätze an sieben Mitarbeiter eines Geschäftspartners senden. Zuvor muss eine Freigabe durch die Rechtsabteilung im Haus erfolgen. Diese Ausnahme muss sich dann auch so in der Regel wieder finden.

DLP-Systeme bringen meist auch vorgefertigte Policies mit, die etwa PCI (Payment-Card-Industries) bei Kreditkartenverarbeitung betreffen. Die meisten Regeln muss das Unternehmen aber selbst im System erstellen beziehungsweise auf seine Bedürfnisse anpassen. Es gibt zwar grafische Wizard-gesteuerte Tools bei den Herstellern, trotzdem kostet diese Aufgabe entsprechend Zeit.

Außerdem sind Regeln eine lebendige Sache: Sie müssen immer wieder an die Gelegenheiten angepasst werden. Es können neue gesetzliche oder interne Vorgaben auftauchen. Oder bisher nicht berücksichtigte Informationen müssen sich nun in den Regeln widerspiegeln.