Whitepaper des VDA: Harmonisierung der Klassifizierungsstufen von Informationen
Die Erreichung eines bedarfsgerechten Informationssicherheitsniveaus hängt im Wesentlichen von der Informationsklassifizierung und der Kennzeichnung von Informationen ab. Diese Maßnahmen zählen zum Thema „Informationsschutz“ und haben den Zweck, Informationen abhängig vom Wert für ein Unternehmen in verschiedene Klassifizierungsstufen einzuordnen.
In vielen Unternehmen sind bereits Klassifizierungsstufen implementiert worden, indem ein Schema für die Informationsklassifizierung definiert und dieses durch entsprechende Richtlinien in der Geschäftspraxis etabliert wird. Laut einem Vergleich innerhalb der Automobilindustrie gibt es jedoch sowohl bei der Anzahl als auch bei der Bezeichnung der Klassifizierungsstufen Unterschiede zwischen den Unternehmen. Diese Unterschiede können – gerade beim Informationsaustausch – zu Unklarheiten und daraus resultierenden Unsicherheiten führen.
Aus diesem Grund hat der Arbeitskreis Informationssicherheit des Verbands der Automobilindustrie in den letzten Monaten ein einheitliches Schema zur Informationsklassifizierung entwickelt und kürzlich als Whitepaper veröffentlicht. Dieses trägt in Verbindung mit den Anforderungen des VDA ISA (Information Security Assessment) dazu bei, Missverständnissen und Risiken beim Informationsaustausch vorzubeugen und damit einen angemessenen Umgang mit Informationen zu ermöglichen.
Hintergründe: Zentrale Fragen beim Informationsschutz
Unternehmen müssen angesichts der immer breiteren und schnelleren Verteilung von Geschäftsdaten einen permanenten und überall verfügbaren Schutz für Informationen etablieren – ganz gleich, wohin sie übermittelt werden. Entsprechend lauten die zentralen Fragen: Haben Sie für Ihr Unternehmen eine Strategie, um sensible oder vertrauliche Informationen zu schützen und zu klassifizieren? Haben Sie Kontrolle über Ihre Daten, während diese innerhalb und außerhalb Ihrer Organisation übertragen werden? Zum Beispiel, wenn diese mit Kunden oder Geschäftspartnern per E-Mail oder über SharePoint-Websites oder andere Onlinedienste ausgetauscht werden?
Informationsschutz, einfach erklärt
Die empfohlene Vorgehensweise lautet, sensible oder vertrauliche Informationen zuverlässig zu identifizieren und eindeutig zu klassifizieren. Mit integrierten Lösungen für den Informationsschutz können Unternehmen typische Herausforderungen im alltäglichen Datenmanagement effektiv angehen:
- Sicherstellung der Datenhoheit und Kontrolle über Geschäftsdaten
- Verhinderung von unangemessenen Datenfreigaben
- Verschlüsselung von Daten und Dateien, die vom internen SharePoint, einem Networkshare oder anderen Unternehmensressourcen heruntergeladen werden
- Überwachung des Netzwerk- und Datenzugriffs sowie der Datenfreigabe für firmenfremde Anwendungen und mobile Apps
- Vermeidung von Datenlecks und anderweitigem Verlust von Geschäftsdaten auf sämtlichen Endgeräten
- Vermeidung von Frust bei den Anwendern, da keine restriktiven Datenverwaltungsrichtlinien eingesetzt werden müssen
Der Ansatz von und bei Microsoft
Microsoft bietet mit Azure Information Protection eine ideale Plattform an, mit der Unternehmen in der Automobilindustrie die Empfehlung des VDA umsetzen können. Dokumente können automatisch oder durch den Nutzer klassifiziert und mit einem Label versehen werden. Nachgelagerte Systeme können diese Informationen auswerten und darauf reagieren. Eine sichere Verschlüsselung der Dokumente kann Azure Information Protection direkt selbst übernehmen.
Auf diese Weise können Sie E-Mails, Dokumente und vertrauliche Daten, die Sie außerhalb Ihres Unternehmens freigeben, zuverlässig steuern und sichern. Von der einfachen Klassifizierung bis hin zu integrierten Bezeichnungen und Berechtigungen erweitert Azure Information Protection den Datenschutz zu jeder Zeit – unabhängig davon, wo die Daten gespeichert sind und für wen sie freigegeben werden.
Der VDA empfiehlt seinen Mitgliedsunternehmen, sich an den im Whitepaper veröffentlichten Ergebnissen zu orientieren und das beschriebene Schema zur Informationsklassifizierung umzusetzen. Microsoft hat selbst intern das System umgesetzt und ist mit seiner Implementierung sehr nahe an der VDA-Empfehlung.
User Group für die Automobilindustrie
Der Microsoft Automotive Sector in Deutschland betreibt eine „Enterprise Rights Management User Group“, in der die technische Umsetzung der VDA-Empfehlung diskutiert wird. Aktuell nehmen an dieser User Group die deutschen Automobilhersteller sowie zahlreiche Zulieferer teil. Die User Group ist offen für weitere Teilnehmer und ist bereits auch um Firmen aus der Fertigungsindustrie und Chemieindustrie ergänzt und erweitert worden.
Wenn Sie ebenfalls Interesse an einem engen Dialog über sicheren Dokumenten- und Informationsaustausch haben und sich an der User Group beteiligen möchten, wenden Sie sich einfach direkt an Uwe Falkenberg.
Mehr erfahren
- Laden Sie hier das Whitepaper des VDA herunter.
- Entdecken Sie die Microsoft-Lösungen für den Informationsschutz.
