Ist die Geschäftskontinuität nicht Teil der Sicherheit?
Andrea Covello
Oft genug und nicht ohne Grund wird festgestellt, dass der angemessen sichere Umgang mit rein geschäftlichen Informationen und Geschäftsunterlagen zu den anstrengenderen Kernthemen der Informationssicherheit zählt. Doch: Kein Unternehmen kann sich dieser Thematik mehr entziehen. Dies ergibt sich zum einen aus dem frappanten Wachstum der Datenmengen, mit denen Unternehmen konfrontiert sind, zum anderen werden diese Informationen mehrheitlich nur sehr unstrukturiert gehandhabt. Sodann ist der Inhalt geschäftlicher Informationen und Geschäftsunterlagen in hohem Mass schützenswert und schliesslich müssen Unternehmen rechtliche und regulatorische Vorgaben zur Aufbewahrung und Revisionssicherheit dieser Daten erfüllen.
Kurzer Exkurs: Auch wenn die folgenden Sätze höchstens am Rande von Bedeutung für das Hauptthema des Artikels sind, können wir daraus aber zumindest eine interessante Tatsache ableiten, welche die Abhandlung betrifft.
Eine von der IDC (International Data Corporation) erstellte Studie bemisst den jährlichen Datenzuwachs in Zahlen. Der Bericht für 2014 bietet auch einen Ausblick auf das digitale Universum im Jahr 2020. Dabei ist der Begriff Big Data bereits ein Fait accompli!
Doch dies – wie erwähnt – nur nebenbei…
Denn das grosse Problem für Unternehmen ist in unserem Kontext nicht direkt die extreme Datenmenge, sondern dass gemäss der Studie bis zu 80 Prozent der Datenbestände in Unternehmen in unstrukturierter Form vorliegen. (Quelle: IDC Studie)
Die Akkumulation von Informationen und Daten führt in Unternehmen zu folgender Ausgangslage:
Darüber hinaus:
In meinem Artikel möchte ich nun lediglich von relevanten geschäftlichen Informationen und Geschäftsunterlagen schreiben, mit der Prämisse, dass diese identifiziert bzw. ermittelt worden sind. Mir geht es hauptsächlich darum zu zeigen, wie diese geschäftlichen Informationen und Geschäftsunterlagen eine organisierte Handhabung innerhalb eines Daten-Lifecycle-Management-Konzepts erfahren können: Das heisst, der Fokus für die Handhabung sollte auf Security und Compliance gelegt werden. Dabei spielt die organisatorische Verankerung des Themas auf Governance-Ebene eine wichtige Rolle, um die Basis für die gesetzes- und ordnungsgemässe Behandlung und den angemessenen Schutz von geschäftlichen Informationen und Geschäftsunterlagen zu legen.
Die folgende Abhandlung soll nun eine einfache Übersicht geben, welche Basisthemen aus organisatorischer Sicht zum Schutz der Geschäftsunterlagen und -informationen bearbeitet werden sollten und welche Rahmenbedingungen im Allgemeinen anzutreffen sind
Kontext | Themen |
---|---|
Grundlagen des Informations-/Datenschutzes | Information Life Cycle und Informationssammlungen (bzw. deren Identifikation) |
Grundsätze des Schutzes von Daten, Informationen und Geschäftsunterlagen aus rechtlicher Sicht | |
Grundsätze und Schutzkonzepte der Daten- Informationssicherheit im elektronischen und physischen Umfeld | |
Aufgaben und Verantwortlichkeiten | Data Ownership |
Verwaltung der Geschäftsunterlagen | |
Aufgaben und Funktion der Archivierung |
In der Schweiz gibt es gesetzliche Vorgaben, die einen mehr oder weniger grossen Impact, bzw. direkten Bezug auf die Organisation der Informationen und Geschäftsunterlagen in einem Unternehmen haben können.
Gesetz / Artikel | Thematik | Inhalt |
---|---|---|
OR 957a | Ordnungsmässige Rechnungslegung | |
OR 958 | Offenlegungspflicht | |
OR 717 | Sorgfalts- und Treupflicht | |
OR 957 ff. | Pflicht zur Führung und Aufbewahrung der Geschäftsbücher | |
Die vollständige, wahrheitsgetreue und systematische Erfassung der Geschäftsvorfälle und Sachverhalte | ||
Der Belegnachweis für die einzelnen Buchungsvorgänge | ||
Die Klarheit | ||
Die Zweckmässigkeit mit Blick auf die Art und Grösse des Unternehmens | ||
Die Nachprüfbarkeit | ||
OR 962 | Dauer der Aufbewahrungspflicht (während 10 Jahren) | Verletzung der ordnungsmässigen Führung und Aufbewahrung der Geschäftsbücher werden unter Artikel 325 Strafgesetzbuches (StGB) Ordnungswidrige Führung der Geschäftsbücher unter Strafe gesetzt. |
Die allgemeine Aufbewahrungsfrist von 10 Jahren ist als Minimalaufbewahrungsfrist zu verstehen, da es einerseits spezialgesetzliche Aufbewahrungsfristen (bspw. Art. 70 Abs. 3 MwStG, Art. 116 Abs. 3 UVV) gibt, die eine längere Aufbewahrungsfrist vorsehen, anderseits betriebliche Interessen vorhanden sein können, die eine längere Aufbewahrung rechtfertigen. | ||
OR 963 | Editionspflicht (elektronische Dokumente, als Beweismittel jederzeit lesbar) | |
DSG Artikel 7 | Pflicht, Datensammlungen, die besonders schützenswerte Personendaten enthalten, durch angemessene technische und organisatorische Massnahmen gegen unbefugten Zugriff und unbefugte Manipulation zu schützen. | |
VDSG Artikel 8 – 11 | Der 4. Abschnitt: Technische und organisatorische Massnahmen beschreibt, was unter angemessenen technischen und organisatorischen Massnahmen (des DSG) gemeint ist. | |
Geschäftsbücherverordnung; GeBüV | Verordnung über die Führung und Aufbewahrung der Geschäftsbücher (Geschäftsbücherverordnung; GeBüV) | |
Verordnung des EFD über elektronische Daten und Informationen EFD-I | Diese Verordnung regelt die technischen, organisatorischen und verfahrenstechnischen Anforderungen an die Beweiskraft und die Kontrolle von elektronisch oder in vergleichbarer Weise erzeugten Daten und Informationen (elektronische Daten) nach den Artikeln 122-124 MWSTV. | |
Art. 13 der Bundesverfassung | Legt fest, dass jede Person Anspruch auf Achtung ihres Privat- und Familienlebens, ihrer Wohnung sowie ihres Brief-, Post- und Fernmeldeverkehr sowie auf Schutz vor Missbrauch ihrer persönlichen Daten hat. | |
Spezialgesetze | Weitere gesetzliche Bestimmungen im Spezialfall: Bankengesetz, Geldwäscherei-Gesetz, Börsengesetz |
Dazu kommen diverse interne Regelwerke, die im Unternehmen etabliert sein sollten:
Es gibt verschiedene Data Lifecycle Modelle (DLM), es ergeben sich aber mindestens vier Phasen, die je nach Bedarf noch erweiterbar sind. Der Schutz von geschäftlichen Informationen und Geschäftsunterlagen, muss auf allen definierten Phasen des Data Lifecycles basieren. Das heisst, es müssen für jede Phase entsprechende Massnahmen und Verhaltensregeln festgelegt werden.
Phase | Kategorien | Bedeutung der Phase |
---|---|---|
Usage: Verarbeitung | Nutzung | Jede Beschaffung und Erschliessung eines Zuganges zu Informationen und Geschäftsunterlagen. |
Erhebung | ||
Input: Erstellung | Erfassung | Jede Form der aktiven Bearbeitung von Informationen und Geschäftsunterlagen, insbesondere auswerten/analysieren und verändern/veredeln. |
Verarbeitung | ||
Bearbeitung | ||
Weiterleitung | ||
Storage: Aufbewahrung | Speicherung | Jede Form der Aufbewahrung und Speicherung von Geschäftsunterlagen auf einem beliebigen Datenträger in der Phase der Bearbeitung |
Ablage | Jede Form der unveränderbaren Aufbewahrung von Geschäftsunterlagen auf einem Datenträger nach Abschluss der Bearbeitung bis zur Vernichtung. | |
Archivierung | ||
Vernichtung | ||
Output: Weiterleitung | Ausgabe | Jede Form der Offenlegung und Übertragung von Informationen und Geschäftsunterlagen an eine andere interne oder externe Person oder Stelle oder System. |
Vernichtung |
Damit eine Unterscheidung relevanter geschäftlicher Informationen und Geschäftsunterlagen von anderen Daten ermöglicht werden soll, müssen die Begriffe klar umrissen werden. Es gibt je nach Kontext unterschiedliche Definitionen von folgenden Begriffen, die unterschiedlich ausfallen, je nachdem, wo man sie nachschlägt. Daher ist es wichtig, aus dem eigenen Umfeld des Unternehmens heraus die Charakteristika hinein zu definieren, deren Ausprägung kontextrelevant sind. Hier ein vereinfachter Versuch einer Definition.
Begriff | Erklärung | Details |
---|---|---|
Daten | Daten werden in elektronischen Systemen durch binäre Werte repräsentiert | |
Als unstrukturierte, Objekte, wie z.B. Bilder aufgebaut durch einzelne Bildpunkte, oder als Zeichensatz mit einer durch eine Syntax definierten Form, z.B. ein Buchstabe oder Ziffer etc. | ||
Informationen | Abgeleitet von Daten sind Informationen in einem Kontext stehende Daten. | Zum Beispiel: Ein Datensatz ist strukturiert und kann in der Regel automatisch ausgewertet werden. Eine Textdatei ist oft nur schwach strukturiert. Ein Bild hingegen ist z.B. unstrukturiert und kann ohne weiteren Aufwand nicht automatisch ausgewertet werden. |
Das heisst: Aus Daten können Informationen gewonnen werden. Anhand gleicher Daten können Personen/Systeme durchaus sehr unterschiedliche Informationen gewinnen. | ||
Geschäftsinformationen und -unterlagen | Geschäftliche Informationen: sämtliche Mitteilungen und Daten, in denen Äusserungen und Angaben gemacht werden, die die geschäftliche Tätigkeit eines Unternehmens betreffen. | Geschäftsunterlagen oder -informationen dokumentieren rechtlich eine Vereinbarung oder ein Geschäft |
Geschäftsunterlagen- oder -informationen enthalten rechtlich eine wahre, unverfälschte Information | ||
Durch eine Unterschrift identifiziert eine Geschäftsunterlage oder -information den Verfasser und authentifiziert deren Inhalt | ||
Eine Geschäftsunterlage oder -information stellt einen Wert dar (Asset) | ||
Zu Geschäftsunterlagen und -informationen gehören: Geschäftsbücher, Buchungsbelege, Geschäftskorrespondenz sowie sämtliche Datenträger (Papier, Hard-Disks, USB-Stick, SD-Karten CD-ROM, DVD, etc.), in denen schriftliche, bildliche, akustische oder andere digitale Daten und Informationen aufgezeichnet sind, die im Rahmen der geschäftlichen Tätigkeit erhoben, bearbeitet, weitergeleitet und bekanntgegeben werden; insbesondere auch entsprechende E-Mails. |
Hat man die begrifflichen Definitionen und die Bedeutungen handfest definiert, wird schnell klar, dass solche geschäftlich relevanten Informationen überall im Unternehmen anzufinden sind. Das heisst: Die Pflichten im Zusammenhang mit dem grundlegenden Schutz solcher Informationen betreffen alle Mitarbeitenden auf allen Unternehmensstufen. Jeder Mitarbeitende eines Unternehmens sollte direkt für die richtige Behandlung und den Schutz von Informationen und Geschäftsunterlagen, die sich in seinem Einflussbereich befinden, verantwortlich sein.
Diese Tatsache kann nicht oft genug wiederholt werden: Sie sollte in den Unternehmensrichtlinien verankert sein und kontinuierlich geschult und entsprechend wieder aufgefrischt werden. Dabei ist es wichtig, möglichst viele konkrete Szenarien aus dem geschäftlichen Alltag aufzugreifen, sowie Anschauungsmaterial aus den Medien, wo quasi täglich über Zwischenfälle und Missbräuche kritischer Geschäftsinformationen gelesen werden kann.
Prinzip/Thema | Empfehlung |
---|---|
Need to know und Zugriffsberechtigungen | Informationen und Geschäftsunterlagen sollten immer nur denjenigen Stellen, Personen und Systemen weitergeleitet oder offengelegt werden, welche diese für ihre geschäftliche Tätigkeit und aufgrund ihrer Funktion und Zuständigkeit auch tatsächlich benötigen. |
Der Zugriff auf Informationssammlungen, Ablagen und Archiven sollte immer durch geeignete Massnahmen (z.B. Zertifikate, Schlüssel, Passwörter, etc.) nur berechtigten Personen ermöglicht werden. | |
Notwendigkeit und Zweckbindung | Informationen und Geschäftsunterlagen sollten nur in dem Umfang und in der Weise erhoben, bearbeitet, weitergeleitet oder auch bekanntgegeben, sowie abgelegt und archiviert werden, wie es nötig ist, um den geschäftlichen Zweck zu erfüllen. |
Klassifizierung | Klassifizierung von Informationen bezüglich deren Vertraulichkeit, Integrität, Verfügbarkeit und Verbindlichkeit |
Richtigkeit und Vollständigkeit | Es ist besonders darauf zu achten, dass Informationen und Geschäftsunterlagen richtig und vollständig sind. Richtigkeit und Vollständigkeit bedeuten, dass die Informationen und Geschäftsunterlagen im Zeitpunkt der Bearbeitung der Wahrheit entsprechen und diese – soweit geschäftlich adäquat – umfassend wiedergeben wird. Sodann sollte auch bei wiederholter Bearbeitung die Richtigkeit und Vollständigkeit überprüft und allfällige eingetretene Änderungen entsprechend berücksichtigt werden. |
Angemessene Verwaltung der Geschäftsunterlagen | Geschäftsunterlagen sollten jederzeit systematisch verwaltet werden, d.h. aufbewahrt, archiviert und vernichtet bzw. gelöscht. D.h. gemäss DLM. Es ist auch besonderes ratsam (Bei erheblichem Datenwachstum) sicherzustellen, dass die Informationen im Anschluss an eine Erhebung und Bearbeitung wieder aufgefunden werden können (z.B. über Metadaten / Flags / Tags mittels eines Dokumentenverwaltungssystems). |
Verbindliche Originale | Originale von Verträgen sind in einem sicheren Archiv aufzubewahren. Originale von Verträgen sollte mit einem Status versehen werden, um Missverständnisse zu verhindern. Status 1: In Kraft / Vertragsdauer Status 2: Ausser Kraft / Dauer der Aufbewahrung / Datum der Vernichtung etc. |
Aufbewahrung und Archivierung | Geschäftsunterlagen, die nicht mehr aktiv bearbeitet werden, sollten von den produktiven Daten und Unterlagen getrennt werden. D.h. in ein Archiv gelegt oder unmittelbar vernichtet werden. Dabei sind die Anweisungen allfälliger Data-Owner zu berücksichtigen. |
Die Aufbewahrungsfristen der einzelnen Geschäftsunterlagen sollten sich entweder nach Gesetz oder Vertrag (falls nötig auch unter Berücksichtigung internationaler Verhältnisse) bestimmen oder – wo keine Vorschriften bestehen – durch Entscheid des entsprechenden Data-Owners. | |
Geschäftsbücher, Buchungsbelege und Geschäftskorrespondenz müssen ja von Gesetzes wegen während zehn Jahren aufbewahrt werden (OR 962). |
Für jede identifizierte Informationssammlung sollte ein Data-Owner bestimmt werden. Insgesamt sollte auch ein entsprechender Archiv-Owner festgelegt werden. Unter einer Informationssammlung ist in diesem Kontext ein Bestand von geschäftlichen Informationen und Geschäftsunterlagen, der nach bestimmten Kriterien abgrenz- und darstellbar ist sowie in der Regel systematisch (zum Beispiel nach Zeitablauf) geordnet werden kann zu verstehen.
Der Data-Owner sollte für die Behandlung und den Schutz der Informationen und Geschäftsunterlagen, welche der ihm anvertrauten Informationssammlung angehören, verantwortlich sein. Das heisst, für die organisatorischen und technischen Belange der Verwaltung von Geschäftsunterlagen, welche in das ihm anvertraute Archiv eingestellt werden.
Zuständigkeit/Regelung | Verantwortlichkeiten |
---|---|
Data-Owner | Bestimmung der Klassifikation |
Implementierung von höheren Sicherheitsbestimmungen bezüglich der Informationssammlung | |
Erlass der Löschung | |
Zugriffsrechte basierend auf dem _Need-to-Know_-Prinzip | |
Erlass der Handhabungsanweisung Vademecum bzw. Regelung der Einzelheiten der Verwaltung der Geschäftsunterlagen für die jeweilige Informationssammlung) in Absprache mit CISO und Compliance | |
Handhabungsanweisung | Definition der Arten der Geschäftsunterlagen der betreffenden Informationssammlung |
Einsichts- und Zugriffsberechtigung auf die Arten der Daten (physisch oder elektronisch) | |
Art der Speicherung (elektronisch oder physisch) | |
Klassifikation der Vertraulichkeit sowie allenfalls erhöhte Anforderungen an die Verfügbarkeit und Integrität der einzelnen Arten, die Dauer der Aufbewahrung sowie der Ort der Archivierung für jede einzelne Art | |
Jährliche Überprüfung der Handhabungsanweisung bezüglich ihrer Aktualität | |
Archive Owner | Koordination und Überwachung der physischen und/oder elektronischen Archivierung der Geschäftsunterlagen |
Gewährleistung der Wiederauffindbarkeit (Editionspflicht) der Geschäftsunterlagen (z.B. thematisch oder chronologisch) | |
Systematik des Archivs inkl. Inventar | |
Prozess über das Einliefern und das Ausleihen von Dokumenten aus dem Archiv | |
Regelung, wie Archivzutritte und –zugriffe aufgezeichnet werden. Diese Logs unterliegen übrigens denselben Aufbewahrungsfristen wie die Geschäftsunterlage (siehe GeBüV Art. 8) | |
Bei Bedarf die Vernichtung bzw. Löschung der archivierten Geschäftsunterlagen nach Ablauf der Aufbewahrungsfristen |
Damit wäre die organisatorische Basis für den grundsätzlichen Schutz von geschäftlichen Informationen und Geschäftsunterlagen – jedenfalls im Abstrakten – gelegt. Natürlich würde es den Rahmen dieses Artikels bei weitem sprengen, alle konkreten Schritte auszuarbeiten, die de facto nötig sind, um von dieser Übersicht schliesslich zu einer etablierten Kultur zu gelangen, die einen sicheren Umgang mit relevanten Geschäftsinformationen autonom aus sich heraus lebt. Mein Anspruch war es lediglich, einige Rahmenbedingungen, Aspekte, Themen und mögliche Ansatzpunkte zu erörtern und auch Denkanstösse zur organisatorischen Sicht des Schutzes sehr spezifischer Geschäftsinformationen zu geben.
Dennoch bleibt es eine grosse Herausforderung, diejenigen Daten und Informationen, die eine geschäftliche Relevanz haben und allenfalls rechtlichen oder regulatorischen Vorgaben unterliegen, vom – nennen wir es zur Vereinfachung despektierlich – Daten-Müll zu unterscheiden.
Man könnte so weit gehen und sich tatsächlich überlegen, ob wir im Sicherheitsumfeld bereits die Rolle eines Data-Waste-Officers (Datenmüllbeautragten) ins Leben rufen müssen, der uns _Digital Mdesorganisierte zwanghafte Datenhorten zu systematisieren und im Unternehmen konkrete Vorschläge, Massnahmen zur Eindämmung, Reduzierung und Strukturierung der Datenflut etabliert, damit der Versuch, schützenswerte Informationsassets entsprechend zu identifizieren, abzusichern und zu organisieren, reüssiert
Unsere Spezialisten kontaktieren Sie gern!
Andrea Covello
Michèle Trebo
Lucie Hoffmann
Yann Santschi
Unsere Spezialisten kontaktieren Sie gern!