So geht sichere Zusammenarbeit

Wenn Mitarbeiter, Abteilungen und Unternehmen heute sicher zusammenarbeiten wollen, müssen vertrauliche Informationen geschützt und sicher verteilt werden. In der Praxis aber werden geschäftskritische Dokumente der Bequemlichkeit halber oft in Desktop-Anwendungen bearbeitet, gespeichert, verwaltet, vor allem aber auch sorglos verteilt. Hierzu zählen etwa Ausschreibungen, Kalkulationen für das Preismanagement, Konstruktionspläne, Kunden- und Finanzdaten oder sogar Vertragsunterlagen. Diese befinden sich auf lokalen Festplatten oder Servern, oft unverschlüsselt und frei zugänglich. Gängige Schutzmechanismen konzen­trieren sich bestenfalls auf eingeschränkte Zugriffsrechte, persönliche Verzeichnisse und die Verschlüsselung von Datenträgern.

Erhöhte Gefahr droht bei ungeschützten E-Mails, popu­lären Filesharing-Diensten und dem Einsatz mobiler Endgeräte. Dabei ist die sichere Zusammenarbeit und Verteilung von Dokumenten keine Hexerei, sondern mit einfachen organisatorischen und technischen Maßnahmen zu bewerkstelligen: Die teilweise unterschiedliche Bedeutung der Dokumente für einen Schadensfall beantwortet mit einer groben Klassifi­zierung die Frage, welche Dokumente tatsächlich geschützt werden müssen.

Die Definition der einzelnen Klassifizierungsstufen sollte in eine unternehmensweit gültige Richtlinie für Informations­sicherheit münden. Zu den organisatorischen Maßnahmen zählt, Mitarbeiter zu sensibilisieren. Oft halten Unternehmen sie dazu an, Informationen manuell zu klassifizieren, um die nötige Sensibilität für vertrauliche Informationen zu erreichen – etwa per Dateimerkmalen oder Kopf- und Fußzeilen innerhalb des Dokuments. Für die Klassifizierung ist also kein umfangreiches Projekt nötig.

Vielmehr geht es darum, ein Verständnis dafür zu schaffen, Informationen entsprechend ihres Schutzniveaus zu behandeln. Hierfür müssen Voraussetzungen für eine möglichst einfache Kategorisierung greifen: Geschulte Mitarbeiter sollten Kategorisierungen wie „vertraulich“ oder „streng vertraulich“ für Dokumente vergeben, um diese ohne großes Nachdenken mit mini­malem Aufwand verteilen zu können. Für die Zuweisung von Rechten und Regeln sowie die Behandlung der Informationen ist der Business-Bereich verantwortlich. IT- und Compliance-Verantwortliche schaffen dafür den notwendigen Rahmen.

Zu den technischen Maßnahmen gehören neben der Verschlüsselung dedizierte Lösungen für die sichere Aufbewahrung und Zusammenarbeit. Bewährt haben sich hochsichere Dokumentenmanagement- und Collaboration-Lösungen.

Vertrauliche Dokumente verbleiben dabei stets innerhalb einer geschützten, digitalen Arbeitsumgebung, können aber trotzdem sicher über Unternehmens- oder Abteilungsgrenzen hinweg verteilt werden. Idealerweise lässt sich eine Lösung an Geschäftsprozesse anpassen. Gleichzeitig muss die Plattform einfach zu bedienen sein, um Akzeptanz bei den Anwendern zu erreichen. Ihre vollen Stärken spielt eine solche Lösung beispielsweise in der Verwaltungsrats- und Geschäftsleitungskommunikation aus.

Hier sind die Anforderungen und der Umfang in der Informationsbeschaffung und Kommunikation in den letzten Jahren kontinuierlich gestiegen. Ein verändertes Arbeitsumfeld mit schnellen Informationszyklen und gestiegene Haftungsrisiken zwingen Mitglieder von Kontrollgremien dazu, die Effizienz ihrer Über­wachungsarbeit belegen zu können.

Gleichzeitig müssen Entscheidungen schneller getroffen, vertrauliche Daten sicher ausgetauscht und Abstimmungen vertraulich durchgeführt werden. So erlaubt es eine Lösung für den sicheren Austausch von Informationen konkret, Dokumente wesentlich rascher anzufordern und schneller fundierte Entscheidungen zu treffen. Ebenso gilt es, die volle Einhaltung der Vertraulichkeit, Integrität und Authentizität von Informationen im Rahmen von Governance-Richtlinien zu gewährleisten.

Doch auch bei Unternehmensübernahmen, beim Know-how-Schutz, im Ein- und Verkauf, der Produktion, der Lieferanten- und Kundenkommunikation, der Kommunikation mit Behörden oder im Rahmen interner Revisionen gilt es, höhere Sicherheitsanforderungen zu erfüllen. Unabhängig von Industriesegment und Unternehmensgröße, Positionen und Zuständigkeiten steht fest: Um die Wettbewerbsfähigkeit zu erhalten, müssen sensible Geschäftsinformationen schnell, sicher und transparent mit internen oder externen Personen ausgetauscht werden können. Stets muss dabei eine Lösung verwendet werden, die vertrauliche Dokumente bei der Weiterleitung und Speicherung garantiert vor unerlaubtem Zugriff schützt.

Darüber hinaus sollte die Plattform über Funktionen verfügen, mit denen sich individuelle Zugriffsrechte für Einzelpersonen oder Teams definieren lassen und die minutiös dokumentieren, wer wann auf welches Dokument zugegriffen hat. Hinzu kommen Anforderungen an individuelle Benutzerrechte, Unterstützung mobiler Endgeräte sowie eine möglichst anwenderfreundliche Bedienoberfläche.

Zu den wesentlichen Sicherheitsmerkmalen zählt das Information Rights Management: Spezielle Sicherheitsrichtlinien für Dokumente, etwa beim Verändern, Drucken oder Weiterleiten an andere Nutzer, lassen sich zentral auf dem Server definieren. Erlischt eine Berechtigung für ein Dokument, weil sie vom Teilenden widerrufen wird, darf der Empfänger nicht mehr darauf zugreifen können. Das gilt auch, wenn eine Berechtigung zeitlich befristet ist.

Ebenso zählen Sicherheits-Features wie digitale Wasserzeichen oder die Verwendung von Dokumenten-IDs zum Funktionsumfang. Ein weiterer zentraler Bestandteil einer Collaboration-Lösung ist die durchgängige Verschlüsselung. Daten sollten nicht erst im Rechenzentrum des Anbieters, sondern beim Speichern in der cloudbasierten Umgebung, beim Transfer und auf mobilen Endgeräten verschlüsselt sein. Unumgänglich für den mobilen Einsatz ist eine Remote-Wipe-Funktion: Geht ein Gerät verloren, lassen sich die Informationen darauf per Fernzugriff löschen. Doch auch das automatische Löschen von Inhalten ohne Online-Anbindung lässt sich realisieren, wenn ein Passwort dreimal falsch eingegeben wurde.

Unumgänglich ist eine Zugriffskontrolle, beispielsweise per Zweifaktor-Authentifizierung. Hinzu kommt, dass Berechtigungen für eine Datei in unterschiedlichen Stufen vorliegen müssen. Dazu gehören unter anderen das Lesen und Editieren. Eine Lösung muss ferner einen lückenlosen Nachweis darüber liefern, welcher Nutzer was mit den Daten getan und an wen wann ein Anwender welche Dateien mit welchen Berech­tigungen verschickt hat.

Auch für Administratoren sollten Sicherheitsvorkehrungen wie „Administrator-Shielding“ gegeben sein. Damit lässt sich technisch festlegen, dass ein Administrator keinen Zugriff auf die Daten hat.

Weiter muss ein Zugriff vom Rechenzentrumsbetreiber und Lösungsanbieter auf die Daten des Unternehmens jederzeit ausgeschlossen sein. Essenziell ist es zudem, dass der Betrieb sowie das Rechenzentrum des Anbieters nach ISO 27001 zertifiziert ist. Weitere Bedeutung bei der Wahl einer Lösung kommt der Integrationsfähigkeit, den vorhandenen Collaboration-Features und der Benutzerfreundlichkeit zu. Außerdem sollte die Lösung plattformunabhängig, also unabhängig von den Geräten sein, auf denen sie eingesetzt wird.