Ihre Pläne sind ausschließlich auf Papier festgehalten? Gibt es Kopien oder elektronische Scans? Liegen diese Daten also auf elektronischen Datenträgern oder sogar in der Cloud? Haben Sie Passwörter auf Papier aufgeschrieben?

Unterwegs oder gespeichert?

Überlegen Sie wo genau Ihre vertraulichen Informationen überall verteilt sind. Rezepte haben Sie eventuell im Kopf und müssen sich keine Gedanken über den Verlust machen. Wurden sie aufgeschrieben bzw. aufgezeichnet dann ist es sinnvoll zu überlegen wo diese liegen.

Konstruktionspläne liegen meist als Dokumente auf Servern oder werden über Netzwerke übertragen. Sofern Sie sogar Services auslagern finden sich Ihre Rezepte und Pläne möglicherweise auf unbekannten Servern.

Mindestmaßnahme: Verschlüsselung

Papierpläne (oder auch so genannte Masterpasswörter) lassen sich möglicherweise einfach durch das Wegschließen in einen Tresor sichern. Sofern diese Pläne durch ein 4-Augenprinzip abgesichert werden sollen (also mit mindestens einer Person die darüber Bescheid weiß wenn eine andere Zugang benötigt) dann müsste der Tresor zwei verschiedene Schlüssel zum Öffnen haben. Alternativ wird der Schlüssel bei einer anderen Person hinterlegt, die diesen nach Protokollierung heraus gibt.

Elektronische Dokumente die das Unternehmen nicht verlassen dürfen können einzeln in verschlüsselte Dateien gesichert werden. Sofern die Pläne sehr vertraulich sind, sie auch auf Servern nicht für jeden einsehbar sein sollen, müssten sie einzeln verschlüsselt werden sodass nur diejenige Person die Dokumente einsehen kann die wiederum diesen Schlüssel kennt.

Wenn ein Server- bzw. Computer-Diebstahl im Bereich des Wahrscheinlichen liegt dann müssen die Dokumente sogar auf verschlüsselten Festplatten gespeichert werden. Dieses gilt besonders beim Einsatz von Laptops oder allgemein mobilen Datenträgern. Die Wahrscheinlichkeit des Diebstahls oder Verlusts dieser mobilen Geräte liegt weit höher.

Wer Dokumente in der Cloud speichert, um sie dort leichter zugänglich zu machen, nutzt in der Regel bereits einen Dokumentenverschlüsselungs-Mechanismus des Anbieters.

Sofern Informationen per Email ausgetauscht werden kann es notwendig sein den Übertragungsweg zu überprüfen. Ist die Nachricht „nur“ Unternehmens-Vertraulich und wird sie nur im Firmennetz versendet, so ist Email-Verschlüsselung möglicherweise nicht notwendig. Bei höherer Vertraulichkeitsstufe oder Versand durch das Internet müssen die Emails verschlüsselt werden. Dazu benutzt man entweder ein separates Verschlüsselungsprogramm oder einen in die Email-Anwendung integrierten Mechanismus. Alternativ nutzen Unternehmen ein zentrales Verschlüsselungs-Gateway welches die Klartext Emails im Auftrag des Senders verschlüsselt bevor sie durch das Internet gesendet wird. Es kümmert sich im Gegenzug auch bei Empfang von verschlüsselten Nachrichten um die Entschlüsselung vor Auslieferung an den internen Empfänger.

Richtige Parameter für Verschlüsselung wählen

Die Wahl der Verschlüsselungsmethode sowie der Schlüsselstärke hängt maßgeblich von Ihrem Anspruch nach Sicherheit ab. Dazu überlegt man wie einfach Verschlüsselungsprogramme benutzbar sein sollten und wägt dieses gegen die Zeit ab, die ein Angreifer oder Dieb benötigt um Ihre Daten zu entschlüsseln. Das ist vergleichbar mit der Absicherung eines Wohnhauses: die Mechanik, welche eine Tür absichert, hält Einbruchversuchen nur eine gewisse Zeit stand. Würde ein Einbruch länger als eine Minute dauern ziehen die meisten Einbrecher weiter. Geht es aber einfacher und schneller, dann wird versucht die Tür auszuhebeln. Schwerer zu knackende Methoden benötigen etwas mehr Verständnis und damit Zeit für die Verschlüsselung. In der Analogie zur Informationstechnik verwendet man also komplexere Verschlüsselungsmethoden oder längere Schlüssel.

Ein anderer Beitrag wird sich mit Verschlüsselungsmethoden und Schlüsselstärken beschäftigen.