ISO 27002 - Kapitel 6.6 Vertraulichkeits- oder Geheimhaltungsvereinbarungen

Wofür Vertraulichkeit?

Wie eingangs bereits kurz angesprochen, wird jede Organisation Informationen besitzen, die für das eigene Bestehen am Markt wesentlich sind und die nicht verbreitet werden sollen. Bestimmtes Know-how, die eigene Geschäftsstrategie, Daten aus der eigenen Forschung und Entwicklung – die Reihe lässt sich fast beliebig fortsetzen.

Daneben gibt es aber auch reichlich Informationen, bei denen Vertraulichkeit gesetzlich vorgeschrieben ist. An erster Stelle wird sicherlich der Datenschutz zu nennen sein. Aber auch an den Schutz von Privatgeheimnissen, das Amts- oder Dienstgeheimnis oder den Geheimschutz muss beispielsweise gedacht werden.

Die erste Hürde besteht darin, die Arten von Informationen zusammenzustellen, die vertraulich behandelt werden sollen oder vertraulich behandelt werden müssen. Organisationen müssen definieren, welche zu schützenden Informationen im eigenen Bereich vorliegen. Die Betrachtung muss umfassend erfolgen und darf keinesfalls nur erfassen, woran die Organisation ein eigenes Schutzinteresse hat. Es müssen auch vertragliche und gesetzliche Pflichten berücksichtigt werden.

Vertraulichkeit durch passende Vorgaben

Nach der Definition der schutzbedürftigen Informationen muss abhängig vom Grad der Vertraulichkeit, der zu gewährleisten ist, sowohl der Zugang zur Information an sich geregelt werden als auch der erlaubte Umgang mit der Information.

Technische bzw. tatsächliche Hürden können oft recht gut zur Steuerung des Zugangs eingesetzt werden. Spätestens aber der erlaubte Umgang muss (auch) organisatorisch sichergestellt werden. Personen, die Zugang zu Informationen erhalten, brauchen entsprechende Vorgaben. Mit diesen Vorgaben beschäftigt sich das hier relevante Kapitel 6.6 der Norm ISO 27002 schwerpunktmäßig.

In Bezug auf eigene Mitarbeitende der Organisation können die Vorgaben regelmäßig durch passende Arbeitsanweisungen gemacht werden. Mit externen Personen und Stellen, gegenüber denen kein arbeitsrechtliches Weisungsrecht besteht, muss die Beachtung von Vorgaben aber vereinbart werden. Externe müssen sich den entsprechenden Vorgaben also vertraglich unterwerfen.

In beiden Fällen sollten die Regelungen die folgenden Punkte berücksichtigen:

• Klare und zweifelsfreie Definition der Informationen, die von der Regelung erfasst werden
• Zuordnung der Inhaberschaft bzw. des Eigentums an den Informationen
• Beschreibung der Pflichten, die mit einem Zugang zu schutzwürdigen Informationen verbunden sind und welche Konsequenzen ein Verstoß gegen diese Pflichten haben kann; in diesem Zusammenhang ist insbesondere aufzeigen, was der Empfänger der Information selbst zu deren Schutz tun muss
• Beschreibung der zulässigen Verwendung der Informationen
• Meldung von Verstößen:
  • Kommt es – aus welchem Grund auch immer – zu einem Verstoß gegen die Verpflichtung zur Vertraulichkeit, muss dies der Organisation mitgeteilt werden, damit noch mögliche Gegenmaßnahmen oder wenigstens Maßnahmen zur Schadensbegrenzung ergriffen werden können.
  • Vorgaben hierzu sollten sowohl auf die zeitliche Komponente einer solchen Mitteilung eingehen als auch deren Mindestinhalt.
  • Ebenfalls sollte bereits im Vorfeld festgehalten sein, welche Mitwirkungspflichten gegebenenfalls bestehen, welche Maßnahmen ergriffen werden sollen bzw. können und was sonst für Konsequenzen möglich sind.
• Regelungen, wie die Einhaltung sämtlicher Vorgaben durch die Organisation gegebenenfalls auch überprüft werden kann
• Welche Dauer soll die Verpflichtung haben? Bestimmte Informationen werden nur über eine gewisse Zeit schutzbedürftig sein. Andere Pflichten zur Vertraulichkeit laufen unbegrenzt und auch über die Beendigung einer Zusammenarbeit hinaus.
• Regelung der Beendigung einer Zusammenarbeit: Wie erfolgt nach Gewährung des Zugangs zu einer Information die Rückabwicklung?

Welche Aufgaben haben Organisationen zusammenfassend zu bewältigen?

1. Definition der zu schützenden Informationen: Dieser erste Schritt kann mit der schwierigste sein, da eben nicht nur festzustellen ist, welche Informationen man schützen möchte, sondern auch externe Vorgaben zu beachten sind. Und selbst im Bereich der eigenen Geschäftsgeheimnisse fällt es vielen Organisationen schwer, ein vollständiges und korrektes Ergebnis zu erreichen.
2. Erstellung passender Regelungen und Vorgaben: Wie gut Informationen geschützt werden müssen bzw. wie stark der Umgang damit zu reglementieren ist, hängt vom Einzelfall ab. Damit Vorgaben im Ergebnis wirksam sind, wozu auch deren Akzeptanz durch den Adressaten gehört, müssen sie klar verständlich und angemessen sein. Wie bei der Erstellung anderer Regelungen auch, stehen Organisationen häufig vor dem Problem, einerseits präzise, andererseits verständliche Vorgaben zu machen.
3. In Kraftsetzen der Regelung, abhängig vom Adressatenkreis. Gegenüber eigenen Mitarbeitern können regelmäßig entsprechende Weisungen ergehen. Mit anderen Stellen und Personen müssen vertragliche Vereinbarungen geschlossen werden. In beiden Fällen muss ein Prozess eingerichtet werden, der sicherstellt, dass beides geschieht, und es müssen die passenden Texte in jeweils aktueller Version bereitstehen.
4. Letztlich muss auch in diesem Bereich überwacht werden, ob die Regelungen wie vorgesehen greifen oder ob Maßnahmen zur Sensibilisierung und Durchsetzung geboten sind. Auch ob die einmal erstellten Regelungen nach wie vor aktuell sind oder angepasst werden müssen, darf nicht aus dem Blick geraten.