Den Geschäftsgeheimnisschutz richtig angehen

Klassifizierung der Informationen

Sind die Geschäftsgeheimnisse im Unternehmen erfasst, gilt es abzuwägen, wie relevant und schützenswert die Informationen sind. Dabei werden die Informationsarten nach dem Grad ihrer Vertraulichkeit in bestimmte Schutzklassen eingeteilt, die den Schutzbedarf widerspiegeln. Entscheidend für die Schutzbedarfsermittlung ist dabei die Frage, ob und in welchem Ausmaß ein Schaden entstehen könnte, sollten bestimmte Informationen unbefugt offengelegt oder genutzt werden.

In der Praxis hat es sich bewährt, zunächst eine vorläufige Einstufung aus dem Bauch heraus vorzunehmen, um die Organisation des Geschäftsgeheimnisschutzes zügig voranzutreiben. Diese erste, intuitiv vorgenommene Einschätzung des Schutzbedarfs wird im weiteren Verlauf – jedenfalls bevor konkrete Geheimnisschutzmaßnahmen ergriffen werden – um eine systematische Risikobeurteilung ergänzt und präzisiert.

Matchmaker+ Anbieter zum Thema

zu Matchmaker+

Systematische Risikobeurteilung

Für Unternehmen, die bislang wenig Berührungspunkte mit Risikobeurteilungsmethoden hatten, empfiehlt sich an dieser Stelle eine einfache Kalkulation, die wie folgt aussehen kann:

Eintrittswahrscheinlichkeit x Schadensausmaß = Risikograd

Viele der Informationen, die benötigt werden, um die Eintrittswahrscheinlichkeit und das Schadensausmaß zu beurteilen, lassen sich unmittelbar aus dem Verzeichnis der Geschäftsgeheimnisse entnehmen. Im Anschluss werden die Eintrittswahrscheinlichkeit und das Schadensausmaß mit konkreten Werten verknüpft (zum Beispiel 1 = niedrig, 2 = mittel, 3 = hoch, 4 = sehr hoch). Aus der Multiplikation dieser beiden Werte ergibt sich ein Risikograd, der natürlich erst dann echte Aussagekraft erhält, wenn festgelegt wurde, wie das Ergebnis zu interpretieren ist (zum Beispiel 1-3 = niedrig, 4-8 = mittel, 9-16 = hoch).

Im letzten Schritt werden die bereits bestehenden risikomindernden Maßnahmen als Faktor (beispielsweise 0,25 = sehr stark, 0,5 = stark, 1 = schwach risikomindernd) mit dem Brutto-Risikograd verrechnet, um zum Netto-Risikograd zu gelangen. Dieser gibt Aufschluss darüber, ob die bestehenden Maßnahmen ausreichenden Schutz bieten oder weitere Maßnahmen erforderlich sind.

Obwohl das Verfahren denkbar einfach ist, ist es keineswegs objektiv. Das Projektteam, das die Risikobeurteilung durchführt, sollte immer im Hinterkopf behalten, dass diese nicht dazu dient, die Risikolage weichzuzeichnen – sie ist vielmehr ein Hilfsmittel auf dem Weg zu einem wirksamen Geheimnisschutz.

Auswahl angemessener Maßnahmen

Basierend auf den definierten Schutzklassen und den Ergebnissen der Risikobeurteilung gilt es für das Projektteam im nächsten Schritt, einen Katalog konkreter technischer und organisatorischer Maßnahmen zur Geheimhaltung zu entwickeln. Die Art des Geschäftsgeheimnisses und seiner Nutzung hat dabei maßgeblichen Einfluss darauf, wie adäquate Maßnahmen im Einzelfall konkret aussehen. Zur Wahrung der Vertraulichkeit, beispielsweise, wird in der Regel der Zugang zu Räumlichkeiten sowie der Zugriff auf Systeme, Applikationen, Dokumente und Datensätze begrenzt.

Einmal mehr stellen hier die Organisation des Datenschutzes und, sofern zutreffend, die Umsetzung von ISO 27001 hilfreiche Bezugspunkte dar: Sowohl die Auswahlkriterien als auch die daraus resultierenden technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten lassen sich häufig ohne Reibungsverluste auf die identifizierten Geschäftsgeheimnisse, die keine personenbezogenen Daten sind, projizieren.

Eine zu bewältigende Aufgabe

Zweifelsohne stellt das GeschGehG neue Herausforderungen an den Schutz von Geschäftsgeheimnissen. Die gesetzlichen Anforderungen wirken jedoch nur auf den ersten Blick wie ein erheblicher Mehraufwand. Denn auf Grundlage bereits bestehender Systematiken und organisatorischer Strukturen für den Datenschutz lassen sich die neuen gesetzlichen Vorgaben angemessen meistern. Ähnlich wie der Datenschutz lässt sich auch der Geschäftsgeheimnisschutz reibungslos in bestehende Managementsysteme nach ISO 9001 oder ISO 27001 integrieren.

1. Den Geschäftsgeheimnisschutz richtig angehen
2. Klassifizierung der Informationen

Lesen Sie mehr zum Thema

Weitere Artikel zu connect professional

Digitale Souveränität in Europa

Der neue Wettlauf um Kontrolle, Kompetenz und Kooperation

Pflegepersonalbemessungsverordnung

Nicht mehr exceln bis der Arzt kommt

Open statt ausgeliefert

Wie das ZenDiS Alternativen zur IT-Abhängigkeit etablieren will

Embraceable AI

Die nachvollziehbare KI

Tierisch langweilig

Roboter bringt Affen zum Gähnen

Weitere Artikel zu Viren-/Malware-Schutz

94 Prozent mehr Netzwerk-Malware

Krypto-Miner, Zero-Day-Malware und Linux-Bedrohungen legen zu

Malware in raubkopierter Software  

Jamf Threat: Hintertür in raubkopierten macOS-Anwendungen

Sicherheits-Lücke bei Google

Malware-Entwickler reaktivieren abgelaufene Google-Cookies

Trend Micro: Gefahr durch Infostealer

Auf diese Daten haben es Hacker am meisten abgesehen

Banking-Malware, Stealer und Ransomware

Crimeware-Report von Kaspersky zeigt drei neue Bedrohungen

Weitere Artikel zu Mobile Security

Advertorial

Wie Unternehmen ihre mobile Kommunikation schützen

Cyan Guard 360

Cybersecurity für den Mittelstand

Videoüberwachung und LivEye

Mobile Videosicherheit als Dienstleistung

Unternehmen im Fadenkreuz

Cyberangriffe auf Rekordniveau

Onlinebetrug vorbeugen

o2 Telefónica mit neuer Identifizierungslösung für Händler

Weitere Artikel zu Sicherheit

Human Risk Management

Mimecast übernimmt Elevate Security

Adventskalender von Exclusive Networks

„All I want for christmas“-Gadgets bis Weihnachten

Spezialist für IT-Sceurity

BOLL Engineering baut Distributionsportfolio kräftig aus

Security-Lösungen für Service Provider

SonicWall übernimmt Solutions Granted

OT-Sicherheit

TXOne Networks nun VDMA-Mitglied