Von Mira Martz
Ein gutes System für Datenkategorisierung ist insbesondere für mittelständische und größere Unternehmen wichtig, um neben der Datensicherheit eine effiziente Verarbeitung zu gewährleisten. Daten können einheitlich nach ihrer Geschäftsfunktion, Geheimhaltungsstufe, ihrem Thema oder Archivierungstyp sortiert und somit besser identifiziert und schneller zugreifbar gemacht werden. Unternehmen sollten Daten in einer Hierarchie anordnen und zusätzlich in kodierbaren Kategorien wie „öffentlich“, „vertraulich“ und „geheim“ einteilen. Damit lassen sich besonders empfindliche Daten durch Kategorisierung einfach für zuständige Personen auffindbar machen und gleichzeitig vor unberechtigten Zugriffen schützen. Geschäftsgeheimnisse, die besonders oft von unautorisierten Zugriffen und Datenlecks bedroht sind, können somit besser gesichert werden.
Unternehmensgeheimnisse und Mitarbeiter
Nach dem Wettbewerbsrecht dürfen Angestellte eines Unternehmens, die durch das Dienstverhältnis an Unternehmensgeheimnisse oder geheime Informationen gelangen, diese über die Dauer des Arbeitsverhältnisses hinweg nicht unbefugt an Dritte weitergeben (§ 17 UWG). Dies ist in Zusammenhang mit der Absicht dem Unternehmen Schaden zufügen zu wollen oder dem Versuch unlauter Geheimnisse unbefugt zu verwerten mit einer Freiheitsstrafe von bis zu drei Jahren oder einer Geldstrafe verbunden. Der Verrat von Geschäftsgeheimnissen gilt als Grund zur fristlosen Kündigung.
Unternehmen sollten auf Grund datenschutzrechtlicher Bestimmungen darauf achten, sensible Daten wie beispielsweise Angaben zu Herkunft, Religion, politischer Meinung, Gesundheit oder Gewerkschaftszugehörigkeit als geheim einzustufen. Auch Daten zum Know-how oder einer Produktionsmethode, die wichtig für den Fortbestand des Unternehmens sind, sollten als geheim eingestuft werden. Die ausführliche Identifizierung der schutzbedürftigen Daten im Unternehmen ist eine unbedingte Voraussetzung für Unternehmen, um Informationsverlust durch Datenlecks vorzubeugen und das Unternehmen vor finanziellen, geschäftlichen und rechtlichen Risiken zu wahren.
Schutz vor internem Datendiebstahl
Für eine erfolgreiche Datenkategorisierung gibt es mittlerweile Softwareprogramme, die zur automatischen Generierung und Vorsortierung von großen Datensätzen beitragen können. Bisher beschränkten sich zahlreiche IT-Sicherheitsmaßnahmen darauf, externe Angreifer aus den Unternehmen fern zu halten. Seit ein paar Jahren geht es der Sicherheitsbranche mit „Data Loss Prevention- Data Leakage Prevention-Systemen“ auch darum, Datendiebstahl durch interne Mitarbeiter (autorisierte Mitarbeiter) entgegenzuwirken. Das sogenannte „Data Leakage Prevention System“ soll verhindern, dass eine Person, die legitimen Zugriff auf vertrauliche Daten im Unternehmen hat, diese Daten unerlaubt weitergeben kann.
Fünf Fakten über Data-Leakage-Prevention (DLP) durch Kategorisierung:
1. Umfangreiche Identifizierung der schutzbedürftigen (geheimen) Daten im Unternehmen ist der Schlüsselfaktor.
2. Geschäftliche Kontexte von Informationen können zur Eingrenzung bei der Identifizierung schutzbedürftiger Daten helfen.
3. Durch Datenklassifizierung werden Daten nach spezifischen Wirtschaftseinheiten und Dokumentenart geordnet. Es kann unabhängig von Speicherort, Dateiname oder -format auf sie zugegriffen werden.
4. Die Einteilung von Firmendaten in die Kategorien öffentlich, vertraulich und geheim ist ein hilfreiches Werkzeug, um unter anderem Datenverlust oder Spionage vorzubeugen.
5. Verwenden Unternehmen Bring-Your-Own-Device (BYOD)-Management-Systeme, sollten diese durch einen Administrator überwacht und regelmäßig auf ihre Sicherheit überprüft werden.
Über die Autorin:
Mira Martz ist Volljuristin und war in der Unternehmenskommunikation von Agenturen und Verbänden tätig. Derzeit arbeitet sie als Referentin für Datenschutz und Kommunikation für die Isico Datenschutz GmbH.