Raus aus der Policy – rein in die Köpfe! Erfolgreiche Einführung von Informationsklassifizierung im Unternehmen

Ordnungsmerkmale

erschienen in: <kes> 2011#6, Seite 12

Rubrik: Management und Wissen

Schlagwort: Informationsklassifizierung

Zusammenfassung: Informationen sind heute das wichtigste Gut eines Unternehmens – Entwicklungsdaten, Strategiepläne, unveröffentlichte Bilanzen et cetera müssen ihrem hohen Wert entsprechend geschützt werden. Doch dazu ist zunächst eine korrekte und durchgängig "gelebte" Klassifizierung notwendig.

Autor: Von Frank von Stetten und Andreas Schnitzer, Garching

Nicht jede Information hat den gleichen Wert: Ihre Bedeutung lässt sich anhand des Schadens definieren, den das Unternehmen erlitte, wenn die Information in falsche Hände gerät – je höher dieser potenzielle Schaden, desto stärkere Sicherheitsmaßnahmen sind gerechtfertigt beziehungsweise müssen auch ergriffen werden. Für Werbebroschüren im Internet sollte man sinnvollerweise einen anderen Schutzbedarf ansetzen und weniger Aufwand betreiben als für die neuesten Ergebnisse der Forschungsabteilung.

Um angemessene Risikobewertung und Sicherheitsmaßnahmen durchführen zu können, benötigt man zunächst eine Kategorisierung des Werts einer Information. In der Informationssicherheit erfolgt dies üblicherweise durch Vertraulichkeitsklassen – eine typische vierstufige Systematik für den Unternehmenseinsatz zeigt Tabelle 1.

Vertraulichkeitsklassen
Kategorie Öffentlich Intern Vertraulich Streng vertraulich
Potenzieller Schaden Das Bekanntwerden der Informationen hat keinen negativen Einfluss. Das Bekanntwerden der Informationen kann einen geringen bis mittelgroßen Schaden verursachen. Das Bekanntwerden der Informationen kann einen großen Schaden verursachen. Das Bekanntwerden der Informationen kann einen existenzgefährdenden Schaden verursachen.
Beispiel Publikationen, Broschüren Preislisten, Prozessbeschreibungen, Organigramme Personaldaten, Bilanzdaten Entwicklungsdaten, Unternehmensstrategie

Tabelle 1: Typische Vertraulichkeitsklassen in Unternehmen

Die Einteilung in Vertraulichkeitsklassen (Informationsklassifizierung) verdeutlicht zudem jedem Nutzer der Information, welcher Schaden dem Unternehmen bei sorgloser Handhabung beziehungsweise einem ungewünschten Bekanntwerden dieser Information droht. Damit verbunden sind im Allgemeinen auch Regelungen und Richtlinien (Policies) zur Handhabung klassifizierter Informationen, um das Risiko des unerwünschten Bekanntwerdens zu reduzieren.

Herausforderungen

[Illustration]
Abbildung 1: Problematik einer nicht "gelebten" Informationsklassifizierung

Doch solange Klassifizierungen und Regeln zur Handhabung von Informationen nur in den Policies, nicht aber in den Köpfen der Mitarbeiter präsent sind, bleiben hohe Risiken für einen unerwünschten Informationsabfluss (vgl. Abb. 1). Bei und nach der Einführung einer Informationsklassifizierung sehen sich die Verantwortlichen für Informationssicherheit in Unternehmen und anderen Organisationen mit drei wesentlichen Herausforderungen konfrontiert, die im Folgenden erläutert werden.

Klassifikation einer Information

Zunächst beurteilt der für eine Information Verantwortliche (meist eine Führungskraft), welcher Schaden entstehen kann, wenn die Information in falsche Hände gerät und erstellt entsprechend dem Schadenspotenzial Vorgaben für die Klassifizierung.

Für die tatsächliche Klassifizierung einer Information ist aber in der Regel der Ersteller einer Information gefordert – der jeweilige Mitarbeiter sollte bereits beim Schreiben einer E-Mail, Abspeichern von Konstruktionsdaten oder Erstellen einer Bilanz die Vertraulichkeitsklasse festlegen (nach Vorgaben des Informationsverantwortlichen).

Allerdings werden in einem Großteil der Unternehmen Informationen nicht bei ihrer Erstellung klassifiziert, da den meisten Erstellern die Vertraulichkeitsklassen und deren Auswirkungen auf den Umgang mit der Information gar nicht bekannt sind. Solange die Klassifizierung nicht in den täglichen Arbeitsauflauf integriert ist, wird sie oft unterlassen oder schlicht vergessen.

Kennzeichnung einer Information

Als "Folgefehler" einer nicht oder nicht richtig erfolgten Klassifikation fehlt den meisten Informationen die Kennzeichnung gemäß ihrer Vertraulichkeitsklasse, obwohl Richtlinien dies zumeist vorsehen.

Handhabung einer Information

In der Konsequenz können weiterverarbeitende Stellen – selbst bei gutem Willen – nicht immer den Wert einer Information erkennen und gehen daher oftmals nicht richtlinienkonform damit um. In der Folge kann es passieren, dass die Information

Leider wird die Informationsklassifizierung in vielen Unternehmen nicht "gelebt" und die Informationen werden daher aus mangelnder Kenntnis ihres Wertes und der damit verbundenen Prozesse falsch und oft sicherheitsgefährdend gehandhabt.

Lerneffekte

Die Lösung dieser essenziellen Herausforderungen liegt in einem mehrstufigen Prozess, der in Anlehnung an das Lernmodell des Psychologen Alfred Bandura erläutert werden soll, nach dem Menschen vier unbewusste und bewusste Kompetenzebenen erreichen können, wie sie in Tabelle 2 aufgeführt und anhand von Beispielen erläutert sind.

Stufe Allgemeines Beispiel Für Informationsklassifizierung
Unbewusste Inkompetenz Sie wachsen im Urwald auf und wissen nicht, was ein Auto ist. Sie können nicht Autofahren, aber es stört sie auch nicht. Sie kennen die Informationsklassen im Unternehmen nicht. Das stört Sie auch nicht.
Bewusste Inkompetenz Sie kommen in die Stadt und sehen Autos. Sie wissen nun, dass Sie nicht Autofahren können. Sie wissen, dass es Informationsklassen gibt, Sie wissen aber nicht mit ihnen umzugehen.
Bewusste Kompetenz Sie besuchen eine Fahrschule und lernen fahren. Allerdings fällt Ihnen die Ausübung noch schwer. Sie lernen die Bedeutung der einzelnen Klassen und deren Handhabung. Im Alltag wenden Sie die Klassen aber nur selten bis nie an.
Unbewusste Kompetenz Sie sind erfahrener Autofahrer, der bei 180 km/h auf der Autobahn sicher fährt, ohne einen Unfall zu verursachen. Informationsklassifizierung ist in Ihrem Arbeitsalltag verankert und zum Automatismus geworden.

Tabelle 2: Kompetenzebenen nach Bandura mit Beispielen

Um die Informationsklassifizierung von Banduras Ebene der "unbewussten Inkompetenz" in die gewünschte Ebene der "unbewussten Kompetenz" zu bringen, gilt es unterschiedliche Maßnahmen in mehreren Stufen zu ergreifen. Denn eine reine Veröffentlichung der Informationssicherheitsrichtlinien erreicht in der Regel bei den Mitarbeitern nur die Stufe der unbewussten Inkompetenz: Sie bekommen oft gar nicht mit, dass eine neue Policy mit Vertraulichkeitsklassen existiert.

[Illustration]
Abbildung 2: Mehrstufige Maßnahmen zur Verankerung der Informationsklassen (in Anlehnung an das Lernmodell von A. Bandura)

Durch klassische Schulungsmaßnahmen aus dem Bereich der Security-Awareness (z. B. Präsenzschulungen, webbasierte Trainings, Flyer oder Poster) lernen Ersteller und Nutzer von Informationen (somit i. d. R. alle Mitarbeiter und Führungskräfte) die Vertraulichkeitsklassen und die damit verbundenen Auswirkungen auf den Umgang mit Informationen kennen und im Grundsatz verstehen: Sie wissen nun, dass "vertrauliche" Informationen besser geschützt werden müssen als "interne" und dass man aufpassen sollte, mit wem man welche Information teilt.

Obwohl diese "allgemeinen Maßnahmen" zur grundsätzlichen Sensibilisierung gut geeignet sind, reichen sie dennoch in aller Regel nicht aus, um Mitarbeiter zur aktiven Klassifizierung von Informationen zu bewegen: Der Umgang wurde noch nicht geübt, das zugehörige Verständnis für das eigene Arbeitsumfeld ist noch sehr generisch.

Als dritten Schritt können von der Sicherheitsabteilung "Workshops zur Informationsklassifizierung" in den Fachbereichen der Informationsverantwortlichen angeboten werden. In solchen zirka zweistündigen Workshops teilen dann beispielsweise die Mitarbeiter der Personalabteilung ihre wichtigsten Informationen in die definierten Vertraulichkeitsklassen ein und diskutieren unter Anleitung des Abteilungsleiters und moderiert durch den Sicherheitsbeauftragten die unterschiedlichen Sichtweisen auf den Wert dieser Informationen.

Eine derartige aktive Auseinandersetzung mit der Informationsklassifizierung sorgt bei den Workshop-Teilnehmern zumeist für eine hohe Betroffenheit und schafft Verständnis für die Anwendung der Klassen im eigenen Bereich.

Nachhaltigkeit

Mit diesen Schritten sind im Prinzip alle wichtigen Maßnahmen erfolgt, um die Informationsklassifizierung in die Köpfe der Mitarbeiter zu bringen. Die größte Herausforderung ist jedoch, dieses Wissen in den Köpfen präsent zu halten und im Arbeitsalltag zu verankern! Hört man sich bei Informationssicherheitsverantwortlichen um, so wird deutlich, dass dies in den meisten Fällen nicht gelingt: Anfänglich klassifizieren Mitarbeiter die Informationen und achten auf die korrekte Handhabung, aber innerhalb weniger Wochen verfallen sie dann doch wieder in die alten Gewohnheiten.

An dieser Stelle können Tools zur Informationsklassifizierung helfen: Mittlerweile sind am Markt Softwaretools verschiedener Anbieter verfügbar, welche die Klassifizierung und Kennzeichnung von Dokumenten und E-Mails direkt bei ihrer Erstellung unterstützen. Dabei handelt es sich meist um Plug-ins für die vier Hauptanwendungen von Microsoft Office: Word, Excel, Powerpoint und Outlook. Denn Microsoft Office ist de facto weltweit die Standardanwendung in den meisten Unternehmen und stellt somit ein zentrales Element im Information-Lifecycle-Management dar – mit Outlook-E-Mails, Word-Dokumenten, Excel-Tabellen und Powerpoint-Präsentationen wird ein Großteil der Informationen in Unternehmen verarbeitet.

Die Tools integrieren sich in die Office-Programme und ermöglichen so eine "geführte" Klassifikation durch die Anwender und eine stetige Erinnerung an deren Notwendigkeit. Hilfreiche Tools begegnen dazu am einfachsten den drei bereits beschriebenen Herausforderungen, indem

[Illustration]
Abbildung 3: Klassifizierungs-Tools leiten Mitarbeiter an, Informationen bereits bei ihrer Erstellung zu klassifizieren, zu kennzeichnen und entsprechend zu behandeln (im Bild: Outlook-Plug-in von HvS-Consulting).

Selbst wenn Office-Plug-ins nicht alle Informationen eines Unternehmens erfassen, zeigen doch Erfahrungen mit Anwendern, dass durch die kontinuierliche Verankerung der Klassifikation im Arbeitsalltag auch andere Dokumentenarten (z. B. SAP-Berichte oder CAD-Zeichnungen) dann zumeist aktiv klassifiziert und gekennzeichnet werden.

Fazit

Die Einführung einer funktionierenden Informationsklassifizierung im Unternehmen ist eine "harte Nuss", die nur durch die Kombination verschiedener Maßnahmen geknackt werden kann. Ein Mix aus Security-Awareness-Maßnahmen und Workshops kann das nötige Wissen und Verständnis vermitteln, Software-Tools können helfen, dieses Wissen im Alltag dauerhaft zu verankern.

Frank von Stetten ist Gründer und Vorstand der HvS-Consulting AG. Andreas Schnitzer ist ISO-27001-Leadauditor und BS-25999-Auditor sowie Vorstand der HvS-Consulting AG ([externer Link] www.hvs-consulting.de).