Geschäftsgeheimnisse: Geschäftsgeheimnisse wieder sicher machen

Unternehmen müssen ihre Geschäftsgeheimnisse seit 2019 professionell schützen. Mithilfe von Managementsystemen können wirksame Maßnahmen ergriffen werden.
Allen Unternehmen in Deutschland wurde im April 2019 die Pflicht auferlegt, sich mit dem Thema Informationssicherheit zu befassen. Unterlässt das Unternehmen dies, verfügt es über keine Geschäftsgeheimnisse mehr. Früher galten auch Informationen als Geheimnisse, die nur kraft Natur der Sache geheimhaltungsbedürftig waren. Dies ist durch § 2 GeschGehG (Gesetz zum Schutz von Geschäftsgeheimnissen) nun ausgeschlossen. Als Geheimnis kann eine Information nur dann gelten, wenn sie vom Unternehmen mit Geheimhaltungsmaßnahmen geschützt wird – bzw. im Streitfall zum fraglichen Zeitpunkt geschützt wurde. Wer Geheimhaltungsmaßnahmen etablieren will, beginnt mit einer Bestandsaufnahme (Klassifizierung von Informationen): Welche Informationen im Unternehmen sollen überhaupt geheim sein? Der bewährte Ansatz hierfür ist, ein Managementsystem für die Informationssicherheit zu etablieren, um auf Ebene der Geschäftsführung ein wirksames Steuerungsinstrument für regulatorische und nicht-funktionale Anforderungen zur Verfügung zu haben. Grundsätzlich besteht Wahlfreiheit, nach welcher fachlichen Methodik das Informationssicherheitsmanagementsystem (ISMS) aufzubauen ist. International etabliert ist hierfür die ISO/IEC 27001; speziell für mittelständische Unternehmen gibt es aber alternative Lösungsansätze. Ein Managementsystem ist zudem nicht statisch: Kontinuierlich wandelt sich das Umfeld und der Kontext, in dem sich eine Organisation bewegt. Daher muss sich das Managementsystem im gleichen Maße weiterentwickeln, um nicht nur operativ, sondern auch strategisch mit diesem Wandel Schritt zu halten.

In zwölf Schritten zur IT-Sicherheit

Der Bayerische IT-Sicherheitscluster e.V. hat ein pragmatisches Vorgehensmodell speziell für die Anforderungen von kleinen und mittelgroßen Organisationen und Unternehmen (KMU) konzipiert. ISIS12 liefert einen handlichen Methodenbaukasten, der schnell sichtbare Ergebnisse liefert und durch eine externe Prüfstelle zertifiziert werden kann. Als weiterer Mehrwert ist hier zudem ein Modul für die Konformität zu Datenschutzanforderungen integriert. Das Vorgehensmodell ist in zwölf aufeinander aufbauende Schritte und drei Phasen gegliedert. Dadurch erhält der Anwender fachliche Orientierung, welche Aufgaben noch zu erledigen sind. In der Initialisierungsphase wird die Leitlinie erstellt und die Mitarbeiter werden für das Thema Informationssicherheit und Datenschutz sensibilisiert. In der zweiten Phase wird in drei weiteren Schritten die Aufbau- und Ablauforganisation definiert und dokumentiert: Das Informationssicherheitsteam wird aufgebaut, die IT-Dokumentationsstruktur festgelegt und das IT-Servicemanagement eingeführt. Nachdem diese Vorarbeiten abschlossen sind, startet mit der dritten Phase die Implementierung. Es werden die für den jeweiligen Geschäftsbetrieb kritischen Applikationen identifiziert, die vorhandene IT-Struktur analysiert, geeignete Sicherheitsmaßnahmen modelliert, ein Ist/Soll-Vergleich durchgeführt sowie Maßnahmen geplant und umgesetzt. Abschließend erfolgt in den Schritten elf und zwölf ein internes Audit und die Revision des ISMS startet im entsprechenden PDCA-Zyklus (Plan, Do, Check, Act) mindestens einmal im Jahr und ermöglicht kontinuierliche Verbesserungen. Das Vorgehensmodell erfordert einen weitaus geringeren Implementierungsaufwand und kann häufig bereits in wenigen Monaten zertifizierungsreif sein. Allerdings ist auch bei diesem Vorgehensmodell der Reifegrad und die Aktualität der bereits vorhandenen Dokumentation ein wesentliches Kriterium für die Umsetzungsgeschwindigkeit. Als Ergebnis bekommt insbesondere das Management des Anwenderunternehmens ein methodisch ausgereiftes Vorgehensmodell. Darin sind steuerbare Maßnahmen und eine Orientierung enthalten, um regulatorische Anforderungen zur Informationssicherheit umzusetzen und auch den neuen Anforderungen durch das Gesetz zum Schutz von Geschäftsgeheimnissen gerecht zu werden.

Fotostrecke

Ausgabe 01/2020