ISF warnt: Die Klassifizierung von Informationen ist unumgänglich

Aktuelle Studie über Datenverluste rückt die Zuordnung und Sicherheit von Daten in den Vordergrund

(05.02.08) - Spätestens seit den international bekannt gewordenen gravierenden Datenverlusten in Großbritannien ist die Notwendigkeit einer höheren Datensicherheit nicht mehr von der Hand zu weisen. Eine Studie des Information Security Forum (ISF) weist in diesem Zusammenhang darauf hin, dass eine umfassende Informationssicherheit auf sinnvollen Verfahrensregeln für sensible und vertrauliche Daten basiert.

Laut ISF haben sich die bisherigen Methoden für die Klassifizierung von Daten als zu komplex und wenig sinnvoll erwiesen. Allzu oft würden Unternehmen die richtige Zuordnung von Informationen schlichtweg ignorie-ren. Das ISF ist ein gemeinnütziger, internationaler Verband, an dem sich über 300 führende Großunternehmen beteiligen. Ziel ist es, relevante und sensible Firmendaten zu schützen. Die aktuelle Studie mit dem Titel "Information Leakage" kann direkt auf der ISF-Website unter https://www.securityforum.org heruntergeladen werden.

"Früher wurden sensible und geheime Daten - wie in den James-Bond-Filmen - mit 'TopSecret-Stempeln' versehen", sagt Reinhard Bertram, Leiter des Center of Competence Security bei Siemens IT Solutions and Services und Mitglied des ISF Executives. "Doch heutzutage existieren Informationen in weitaus vielschichtigeren Formen: vom Papierdokument über das persönliche Gespräch bis hin zu Unmengen an elektronischen Daten, die gespeichert, übermittelt und bearbeitet werden. Leider schrecken dabei aber viele Unternehmen davor zurück, konzerninterne wirksame Programme für die Sicherung der Informationen einzuführen. Allerdings kann es sich mittlerweile kaum noch ein Unternehmen erlauben, notwendige Maßnahmen gegen einen empfindlichen Datenverlust zu ignorieren."

Die Klassifizierung von Informationen verlangt einen systematischen und fortlaufenden Prozess. Dieser beinhalte zum einen die Einführung von all-gemein gültigen Standards für die Vertraulichkeit der Daten. Im selben Maße aber auch die Entwicklung und den Einsatz von wirksamen Techno-logien und sinnvollen Methoden, um die Sicherheit der Daten gewährleisten zu können.

Der Vorteil erfolgreicher Informationsklassifizierung ist laut ISF beachtlich: Sie bewahrt Unter-nehmen nicht nur vor Datenverlusten, sondern verhindert gleichzeitig sowohl zu lasche als auch zu hohe Kontrollmechanismen. Dadurch reduzieren sich betriebliche Mehrausgaben und ein unnötiger Verlust von finanziellen und personellen Ressourcen. Die korrekte Einteilung von Daten kann auch hilfreich dabei sein, effektivere Regeln für die Zugangsberechtigungen aufzustellen. Darüber hinaus wird dadurch die Einhaltung der rechtlichen Vorgaben für den Datenschutz und die Privatsphäre dokumentiert.

Die ISF-Studie betont ausdrücklich, dass die zu ergreifenden Maßnahmen nur dann erfolgreich umgesetzt werden können, wenn sich nahezu alle Bereiche eines Unternehmens - vom Personal-wesen und der Rechtsabteilung über die IT bis hin zur Vorstandsebene - aktiv an dem Prozess beteiligen. "Führungskräfte mit einer gemeinsamen strategischen Vorstellung sowie einem Verständnis und einer Wertschätzung für die Datenklassifizierung können entscheidende Vorteile in der Budgetplanung und in der Organisation des Unternehmens bewirken", erklärt Reinhard Bertram.

Über das ISF

Das Information Security Forum wurde 1989 gegründet und ist ein gemeinnütziger, internationaler Verband, an dem sich über 300 führende Unternehmen beteiligen. Die Mitglieder arbeiten zusammen und fördern so die Entwicklung von praktischen und geschäftsorientierten Lösungen für Informationssicherheit und Probleme im Risikomanagement. Das ISF verpflichtet sich heraus-ragenden Forschungsprogrammen und hat bereits mehr als 100 Millionen US-Dollar investiert, um eine Sammlung von über 200 hochwertigen Berichten inklusive Methoden und Werkzeuge zur Risikoinformation zu erstellen. Diese Darstellungen sind für Mitglieder des Forums kostenfrei zugänglich. Darüber hinaus wurde der "ISF Standard für Good Practice in der Informationssicherheit 2007" kürzlich veröffentlicht, den auch Nicht-Mitglieder unter www.isfstandard.com kostenlos downloaden können. (ISF: ra)