Organisatorische Aspekte beim Schutz von geschäftlichen Informationen und Geschäftsunterlagen

Organisatorische Aspekte beim Schutz von geschäftlichen Informationen und Geschäftsunterlagen

Flavio Gerbino
von Flavio Gerbino
Lesezeit: 18 Minuten

Oft genug und nicht ohne Grund wird festgestellt, dass der angemessen sichere Umgang mit rein geschäftlichen Informationen und Geschäftsunterlagen zu den anstrengenderen Kernthemen der Informationssicherheit zählt. Doch: Kein Unternehmen kann sich dieser Thematik mehr entziehen. Dies ergibt sich zum einen aus dem frappanten Wachstum der Datenmengen, mit denen Unternehmen konfrontiert sind, zum anderen werden diese Informationen mehrheitlich nur sehr unstrukturiert gehandhabt. Sodann ist der Inhalt geschäftlicher Informationen und Geschäftsunterlagen in hohem Mass schützenswert und schliesslich müssen Unternehmen rechtliche und regulatorische Vorgaben zur Aufbewahrung und Revisionssicherheit dieser Daten erfüllen.

Kurzer Exkurs: Auch wenn die folgenden Sätze höchstens am Rande von Bedeutung für das Hauptthema des Artikels sind, können wir daraus aber zumindest eine interessante Tatsache ableiten, welche die Abhandlung betrifft.

Eine von der IDC (International Data Corporation) erstellte Studie bemisst den jährlichen Datenzuwachs in Zahlen. Der Bericht für 2014 bietet auch einen Ausblick auf das digitale Universum im Jahr 2020. Dabei ist der Begriff Big Data bereits ein Fait accompli!

Doch dies – wie erwähnt – nur nebenbei…

Denn das grosse Problem für Unternehmen ist in unserem Kontext nicht direkt die extreme Datenmenge, sondern dass gemäss der Studie bis zu 80 Prozent der Datenbestände in Unternehmen in unstrukturierter Form vorliegen. (Quelle: IDC Studie)

Ausgangslage

Die Akkumulation von Informationen und Daten führt in Unternehmen zu folgender Ausgangslage:

Darüber hinaus:

Gedanken und Grundlegende Aspekte zum Schutz von geschäftlichen Informationen und allg. Geschäftsunterlagen

In meinem Artikel möchte ich nun lediglich von relevanten geschäftlichen Informationen und Geschäftsunterlagen schreiben, mit der Prämisse, dass diese identifiziert bzw. ermittelt worden sind. Mir geht es hauptsächlich darum zu zeigen, wie diese geschäftlichen Informationen und Geschäftsunterlagen eine organisierte Handhabung innerhalb eines Daten-Lifecycle-Management-Konzepts erfahren können: Das heisst, der Fokus für die Handhabung sollte auf Security und Compliance gelegt werden. Dabei spielt die organisatorische Verankerung des Themas auf Governance-Ebene eine wichtige Rolle, um die Basis für die gesetzes- und ordnungsgemässe Behandlung und den angemessenen Schutz von geschäftlichen Informationen und Geschäftsunterlagen zu legen.

Die folgende Abhandlung soll nun eine einfache Übersicht geben, welche Basisthemen aus organisatorischer Sicht zum Schutz der Geschäftsunterlagen und -informationen bearbeitet werden sollten und welche Rahmenbedingungen im Allgemeinen anzutreffen sind

Kontext Themen
Grundlagen des Informations-/Datenschutzes Information Life Cycle und Informationssammlungen (bzw. deren Identifikation)
Grundsätze des Schutzes von Daten, Informationen und Geschäftsunterlagen aus rechtlicher Sicht
Grundsätze und Schutzkonzepte der Daten- Informationssicherheit im elektronischen und physischen Umfeld
Aufgaben und Verantwortlichkeiten Data Ownership
Verwaltung der Geschäftsunterlagen
Aufgaben und Funktion der Archivierung

Gesetzliche Rahmenbedingungen

In der Schweiz gibt es gesetzliche Vorgaben, die einen mehr oder weniger grossen Impact, bzw. direkten Bezug auf die Organisation der Informationen und Geschäftsunterlagen in einem Unternehmen haben können.

Gesetz / Artikel Thematik Inhalt
OR 957a Ordnungsmässige Rechnungslegung
OR 958 Offenlegungspflicht
OR 717 Sorgfalts- und Treupflicht
OR 957 ff. Pflicht zur Führung und Aufbewahrung der Geschäftsbücher
Die vollständige, wahrheitsgetreue und systematische Erfassung der Geschäftsvorfälle und Sachverhalte
Der Belegnachweis für die einzelnen Buchungsvorgänge
Die Klarheit
Die Zweckmässigkeit mit Blick auf die Art und Grösse des Unternehmens
Die Nachprüfbarkeit
OR 962 Dauer der Aufbewahrungspflicht (während 10 Jahren) Verletzung der ordnungsmässigen Führung und Aufbewahrung der Geschäftsbücher werden unter Artikel 325 Strafgesetzbuches (StGB) Ordnungswidrige Führung der Geschäftsbücher unter Strafe gesetzt.
Die allgemeine Aufbewahrungsfrist von 10 Jahren ist als Minimalaufbewahrungsfrist zu verstehen, da es einerseits spezialgesetzliche Aufbewahrungsfristen (bspw. Art. 70 Abs. 3 MwStG, Art. 116 Abs. 3 UVV) gibt, die eine längere Aufbewahrungsfrist vorsehen, anderseits betriebliche Interessen vorhanden sein können, die eine längere Aufbewahrung rechtfertigen.
OR 963 Editionspflicht (elektronische Dokumente, als Beweismittel jederzeit lesbar)
DSG Artikel 7 Pflicht, Datensammlungen, die besonders schützenswerte Personendaten enthalten, durch angemessene technische und organisatorische Massnahmen gegen unbefugten Zugriff und unbefugte Manipulation zu schützen.
VDSG Artikel 8 – 11 Der 4. Abschnitt: Technische und organisatorische Massnahmen beschreibt, was unter angemessenen technischen und organisatorischen Massnahmen (des DSG) gemeint ist.
Geschäftsbücherverordnung; GeBüV Verordnung über die Führung und Aufbewahrung der Geschäftsbücher (Geschäftsbücherverordnung; GeBüV)
Verordnung des EFD über elektronische Daten und Informationen EFD-I Diese Verordnung regelt die technischen, organisatorischen und verfahrenstechnischen Anforderungen an die Beweiskraft und die Kontrolle von elektronisch oder in vergleichbarer Weise erzeugten Daten und Informationen (elektronische Daten) nach den Artikeln 122-124 MWSTV.
Art. 13 der Bundesverfassung Legt fest, dass jede Person Anspruch auf Achtung ihres Privat- und Familienlebens, ihrer Wohnung sowie ihres Brief-, Post- und Fernmeldeverkehr sowie auf Schutz vor Missbrauch ihrer persönlichen Daten hat.
Spezialgesetze Weitere gesetzliche Bestimmungen im Spezialfall: Bankengesetz, Geldwäscherei-Gesetz, Börsengesetz

Dazu kommen diverse interne Regelwerke, die im Unternehmen etabliert sein sollten:

Phasen eines Informationszyklus:

Es gibt verschiedene Data Lifecycle Modelle (DLM), es ergeben sich aber mindestens vier Phasen, die je nach Bedarf noch erweiterbar sind. Der Schutz von geschäftlichen Informationen und Geschäftsunterlagen, muss auf allen definierten Phasen des Data Lifecycles basieren. Das heisst, es müssen für jede Phase entsprechende Massnahmen und Verhaltensregeln festgelegt werden.

Phase Kategorien Bedeutung der Phase
Usage: Verarbeitung Nutzung Jede Beschaffung und Erschliessung eines Zuganges zu Informationen und Geschäftsunterlagen.
Erhebung
Input: Erstellung Erfassung Jede Form der aktiven Bearbeitung von Informationen und Geschäftsunterlagen, insbesondere auswerten/analysieren und verändern/veredeln.
Verarbeitung
Bearbeitung
Weiterleitung
Storage: Aufbewahrung Speicherung Jede Form der Aufbewahrung und Speicherung von Geschäftsunterlagen auf einem beliebigen Datenträger in der Phase der Bearbeitung
Ablage Jede Form der unveränderbaren Aufbewahrung von Geschäftsunterlagen auf einem Datenträger nach Abschluss der Bearbeitung bis zur Vernichtung.
Archivierung
Vernichtung
Output: Weiterleitung Ausgabe Jede Form der Offenlegung und Übertragung von Informationen und Geschäftsunterlagen an eine andere interne oder externe Person oder Stelle oder System.
Vernichtung

Definitionen

Damit eine Unterscheidung relevanter geschäftlicher Informationen und Geschäftsunterlagen von anderen Daten ermöglicht werden soll, müssen die Begriffe klar umrissen werden. Es gibt je nach Kontext unterschiedliche Definitionen von folgenden Begriffen, die unterschiedlich ausfallen, je nachdem, wo man sie nachschlägt. Daher ist es wichtig, aus dem eigenen Umfeld des Unternehmens heraus die Charakteristika hinein zu definieren, deren Ausprägung kontextrelevant sind. Hier ein vereinfachter Versuch einer Definition.

Begriff Erklärung Details
Daten Daten werden in elektronischen Systemen durch binäre Werte repräsentiert
Als unstrukturierte, Objekte, wie z.B. Bilder aufgebaut durch einzelne Bildpunkte, oder als Zeichensatz mit einer durch eine Syntax definierten Form, z.B. ein Buchstabe oder Ziffer etc.
Informationen Abgeleitet von Daten sind Informationen in einem Kontext stehende Daten. Zum Beispiel: Ein Datensatz ist strukturiert und kann in der Regel automatisch ausgewertet werden. Eine Textdatei ist oft nur schwach strukturiert. Ein Bild hingegen ist z.B. unstrukturiert und kann ohne weiteren Aufwand nicht automatisch ausgewertet werden.
Das heisst: Aus Daten können Informationen gewonnen werden. Anhand gleicher Daten können Personen/Systeme durchaus sehr unterschiedliche Informationen gewinnen.
Geschäftsinformationen und unterlagen Geschäftliche Informationen: sämtliche Mitteilungen und Daten, in denen Äusserungen und Angaben gemacht werden, die die geschäftliche Tätigkeit eines Unternehmens betreffen. Geschäftsunterlagen oder -informationen dokumentieren rechtlich eine Vereinbarung oder ein Geschäft
Geschäftsunterlagen oder -informationen enthalten rechtlich eine wahre, unverfälschte Information
Durch eine Unterschrift identifiziert eine Geschäftsunterlage oder -information den Verfasser und authentifiziert deren Inhalt
Eine Geschäftsunterlage oder -information stellt einen Wert dar (Asset)
Zu Geschäftsunterlagen und -informationen gehören: Geschäftsbücher, Buchungsbelege, Geschäftskorrespondenz sowie sämtliche Datenträger (Papier, Hard-Disks, USB-Stick, SD-Karten CD-ROM, DVD, etc.), in denen schriftliche, bildliche, akustische oder andere digitale Daten und Informationen aufgezeichnet sind, die im Rahmen der geschäftlichen Tätigkeit erhoben, bearbeitet, weitergeleitet und bekanntgegeben werden; insbesondere auch entsprechende E-Mails.

Allgemeine Verantwortlichkeiten

Hat man die begrifflichen Definitionen und die Bedeutungen handfest definiert, wird schnell klar, dass solche geschäftlich relevanten Informationen überall im Unternehmen anzufinden sind. Das heisst: Die Pflichten im Zusammenhang mit dem grundlegenden Schutz solcher Informationen betreffen alle Mitarbeitenden auf allen Unternehmensstufen. Jeder Mitarbeitende eines Unternehmens sollte direkt für die richtige Behandlung und den Schutz von Informationen und Geschäftsunterlagen, die sich in seinem Einflussbereich befinden, verantwortlich sein.

Diese Tatsache kann nicht oft genug wiederholt werden: Sie sollte in den Unternehmensrichtlinien verankert sein und kontinuierlich geschult und entsprechend wieder aufgefrischt werden. Dabei ist es wichtig, möglichst viele konkrete Szenarien aus dem geschäftlichen Alltag aufzugreifen, sowie Anschauungsmaterial aus den Medien, wo quasi täglich über Zwischenfälle und Missbräuche kritischer Geschäftsinformationen gelesen werden kann.

Prinzip/Thema Empfehlung
Need to know und Zugriffsberechtigungen Informationen und Geschäftsunterlagen sollten immer nur denjenigen Stellen, Personen und Systemen weitergeleitet oder offengelegt werden, welche diese für ihre geschäftliche Tätigkeit und aufgrund ihrer Funktion und Zuständigkeit auch tatsächlich benötigen.
Der Zugriff auf Informationssammlungen, Ablagen und Archiven sollte immer durch geeignete Massnahmen (z.B. Zertifikate, Schlüssel, Passwörter, etc.) nur berechtigten Personen ermöglicht werden.
Notwendigkeit und Zweckbindung Informationen und Geschäftsunterlagen sollten nur in dem Umfang und in der Weise erhoben, bearbeitet, weitergeleitet oder auch bekanntgegeben, sowie abgelegt und archiviert werden, wie es nötig ist, um den geschäftlichen Zweck zu erfüllen.
Klassifizierung Klassifizierung von Informationen bezüglich deren Vertraulichkeit, Integrität, Verfügbarkeit und Verbindlichkeit
Richtigkeit und Vollständigkeit Es ist besonders darauf zu achten, dass Informationen und Geschäftsunterlagen richtig und vollständig sind. Richtigkeit und Vollständigkeit bedeuten, dass die Informationen und Geschäftsunterlagen im Zeitpunkt der Bearbeitung der Wahrheit entsprechen und diese – soweit geschäftlich adäquat – umfassend wiedergeben wird. Sodann sollte auch bei wiederholter Bearbeitung die Richtigkeit und Vollständigkeit überprüft und allfällige eingetretene Änderungen entsprechend berücksichtigt werden.
Angemessene Verwaltung der Geschäftsunterlagen Geschäftsunterlagen sollten jederzeit systematisch verwaltet werden, d.h. aufbewahrt, archiviert und vernichtet bzw. gelöscht. D.h. gemäss DLM. Es ist auch besonderes ratsam (Bei erheblichem Datenwachstum) sicherzustellen, dass die Informationen im Anschluss an eine Erhebung und Bearbeitung wieder aufgefunden werden können (z.B. über Metadaten / Flags / Tags mittels eines Dokumentenverwaltungssystems).
Verbindliche Originale Originale von Verträgen sind in einem sicheren Archiv aufzubewahren. Originale von Verträgen sollte mit einem Status versehen werden, um Missverständnisse zu verhindern.
Status 1: In Kraft / Vertragsdauer
Status 2: Ausser Kraft / Dauer der Aufbewahrung / Datum der Vernichtung etc.
Aufbewahrung und Archivierung Geschäftsunterlagen, die nicht mehr aktiv bearbeitet werden, sollten von den produktiven Daten und Unterlagen getrennt werden. D.h. in ein Archiv gelegt oder unmittelbar vernichtet werden. Dabei sind die Anweisungen allfälliger Data-Owner zu berücksichtigen.
Die Aufbewahrungsfristen der einzelnen Geschäftsunterlagen sollten sich entweder nach Gesetz oder Vertrag (falls nötig auch unter Berücksichtigung internationaler Verhältnisse) bestimmen oder – wo keine Vorschriften bestehen – durch Entscheid des entsprechenden Data-Owners.
Geschäftsbücher, Buchungsbelege und Geschäftskorrespondenz müssen ja von Gesetzes wegen während zehn Jahren aufbewahrt werden (OR 962).

Ernennung von Data-Ownern

Für jede identifizierte Informationssammlung sollte ein Data-Owner bestimmt werden. Insgesamt sollte auch ein entsprechender Archiv-Owner festgelegt werden. Unter einer Informationssammlung ist in diesem Kontext ein Bestand von geschäftlichen Informationen und Geschäftsunterlagen, der nach bestimmten Kriterien abgrenz- und darstellbar ist sowie in der Regel systematisch (zum Beispiel nach Zeitablauf) geordnet werden kann zu verstehen.

Verantwortlichkeiten des Data- und Archiv Owners

Der Data-Owner sollte für die Behandlung und den Schutz der Informationen und Geschäftsunterlagen, welche der ihm anvertrauten Informationssammlung angehören, verantwortlich sein. Das heisst, für die organisatorischen und technischen Belange der Verwaltung von Geschäftsunterlagen, welche in das ihm anvertraute Archiv eingestellt werden.

Zuständigkeit/Regelung Verantwortlichkeiten
Data-Owner Bestimmung der Klassifikation
Implementierung von höheren Sicherheitsbestimmungen bezüglich der Informationssammlung
Erlass der Löschung
Zugriffsrechte basierend auf dem _Need-to-Know_-Prinzip
Erlass der Handhabungsanweisung Vademecum bzw. Regelung der Einzelheiten der Verwaltung der Geschäftsunterlagen für die jeweilige Informationssammlung) in Absprache mit CISO und Compliance
Handhabungsanweisung Definition der Arten der Geschäftsunterlagen der betreffenden Informationssammlung
Einsichts- und Zugriffsberechtigung auf die Arten der Daten (physisch oder elektronisch)
Art der Speicherung (elektronisch oder physisch)
Klassifikation der Vertraulichkeit sowie allenfalls erhöhte Anforderungen an die Verfügbarkeit und Integrität der einzelnen Arten, die Dauer der Aufbewahrung sowie der Ort der Archivierung für jede einzelne Art
Jährliche Überprüfung der Handhabungsanweisung bezüglich ihrer Aktualität
Archive Owner Koordination und Überwachung der physischen und/oder elektronischen Archivierung der Geschäftsunterlagen
Gewährleistung der Wiederauffindbarkeit (Editionspflicht) der Geschäftsunterlagen (z.B. thematisch oder chronologisch)
Systematik des Archivs inkl. Inventar
Prozess über das Einliefern und das Ausleihen von Dokumenten aus dem Archiv
Regelung, wie Archivzutritte und –zugriffe aufgezeichnet werden. Diese Logs unterliegen übrigens denselben Aufbewahrungsfristen wie die Geschäftsunterlage (siehe GeBüV Art. 8)
Bei Bedarf die Vernichtung bzw. Löschung der archivierten Geschäftsunterlagen nach Ablauf der Aufbewahrungsfristen

Fazit

Damit wäre die organisatorische Basis für den grundsätzlichen Schutz von geschäftlichen Informationen und Geschäftsunterlagen – jedenfalls im Abstrakten – gelegt. Natürlich würde es den Rahmen dieses Artikels bei weitem sprengen, alle konkreten Schritte auszuarbeiten, die de facto nötig sind, um von dieser Übersicht schliesslich zu einer etablierten Kultur zu gelangen, die einen sicheren Umgang mit relevanten Geschäftsinformationen autonom aus sich heraus lebt. Mein Anspruch war es lediglich, einige Rahmenbedingungen, Aspekte, Themen und mögliche Ansatzpunkte zu erörtern und auch Denkanstösse zur organisatorischen Sicht des Schutzes sehr spezifischer Geschäftsinformationen zu geben.

Dennoch bleibt es eine grosse Herausforderung, diejenigen Daten und Informationen, die eine geschäftliche Relevanz haben und allenfalls rechtlichen oder regulatorischen Vorgaben unterliegen, vom – nennen wir es zur Vereinfachung despektierlich – Daten-Müll zu unterscheiden.

Man könnte so weit gehen und sich tatsächlich überlegen, ob wir im Sicherheitsumfeld bereits die Rolle eines Data-Waste-Officers (Datenmüllbeautragten) ins Leben rufen müssen, der uns _Digital Mdesorganisierte zwanghafte Datenhorten zu systematisieren und im Unternehmen konkrete Vorschläge, Massnahmen zur Eindämmung, Reduzierung und Strukturierung der Datenflut etabliert, damit der Versuch, schützenswerte Informationsassets entsprechend zu identifizieren, abzusichern und zu organisieren, reüssiert

Über den Autor

Flavio Gerbino

Flavio Gerbino ist seit Ende der 1990er Jahre im Bereich der Informationssicherheit tätig. Seine Schwerpunkte liegen im Bereich der strategischen Ausrichtung und des Managements der Sicherheit eines Unternehmens.

Links

Herausforderung Datenschutz-Grundverordnung DSGVO?

Unsere Spezialisten kontaktieren Sie gern!

×
Konkrete Kritik an CVSSv4

Konkrete Kritik an CVSSv4

Marc Ruef

Das neue NIST Cybersecurity Framework

Das neue NIST Cybersecurity Framework

Tomaso Vasella

Angriffsmöglichkeiten gegen Generative AI

Angriffsmöglichkeiten gegen Generative AI

Andrea Hauser

iOS Mobile Application Testing

iOS Mobile Application Testing

Ian Boschung

Sie wollen mehr?

Weitere Artikel im Archiv

Sie brauchen Unterstützung bei einem solchen Projekt?

Unsere Spezialisten kontaktieren Sie gern!

Sie wollen mehr?

Weitere Artikel im Archiv