Risk Consultancy Business Enablement Compliance & Security Sicherheitslagebild Deutschland März 2016 Berlin, den 01. März 2016 Hotline Fax E-Mail Internet +49 30 63967027-0 +49 30 63967027-99 [email protected] gbp-security.com Schutz von Geheimnissen – die neue Europäische Richtlinie Die langfristigen finanziellen Schäden für betroffene Unternehmen, durch Umsatzeinbußen und Imageverlust, übersteigen die Kosten für die Einführung geeigneter technischer Schutzmaßnahmen, laut einer aktuellen Studie des Wirtschaftsberatungsunternehmens KPMG, dramatisch. Deutschen Firmen entstehen durch ungewollten Informationsabfluss jedes Jahr Schäden von etwa 100 Milliarden Euro pro Jahr, mit steigender Tendenz. Auch wenn die Risikoperzeption von Unternehmen, selbst Ziel von datenbezogenen Delikten werden zu können, laut KPMG mit 87% als sehr hoch eingeschätzt wird, fehlt es dennoch insbesondere mittelständischen Unternehmen oft an geeigneten Abwehrmaßnahmen. Die Attacken auf Unternehmen sind dabei nicht nur technischer Natur, Informationsverlust erfolgt auch durch eigene Mitarbeiter, die von solchen Informationen bei einem Arbeitsplatzwechsel bei dem neuen Arbeitgeber punkten möchten oder auch solche Mitarbeiter, die im Auftrag anderer Informationen gegen Geld weitergeben. Es darf als Verdienst der Europäischen Union angesehen wird, dass wir nun kurz vor der Verabschiedung eine Richtlinie stehen, die auf eine effektive Abschreckung von Industriespionage zielt. Kernstück der Richtlinie ist die Definition des Geschäftsgeheimnisses. Verglichen mit der bisherigen Rechtsprechung wird nur noch dann ein Geschäftsgeheimnis geschützt sein, wenn der Inhaber angemessene Geheimhaltungsmaßnahmen ergriffen hat, um seine Geheimnisse zu schützen. Bei einem Informationsverlust muss also künftig in einem Verfahren der Besitzer von Geheimnissen nachweisen können, dass konkrete Schritte unternommen wurden, um einen Informationsverlust zu verhindern. Es besteht also Grund genug für Unternehmen, das Informationsmanagement zu überprüfen. Spätestens wenn das Parlament am 8. März für den Richtlinienentwurf stimmt, gehört der Schutz vertraulicher Firmeninformationen zur unternehmerischen Compliance. Nicht alle Informationen sind von gleicher Bedeutung. Im ersten Schritt muss also entschieden werden, ob die Information schützenswert ist. Unternehmen müssen wissen welchen Wert diese Informationen darstellen, und wie schwierig ihre Wiederherstellung bei Verlust oder Beschädigung wäre. Unternehmen müssen auch wissen, wer über einen berechtigten Zugriff auf die Informationen verfügt und auf welche Weise die betroffenen Personen die Informationen verwenden dürfen. Diese Regeln klingen recht einfach, ihre Umsetzung stellt viele Unternehmen jedoch vor echte Herausforderungen. Erst wenn diese aufgeführten Grundarbeiten erfolgt sind, kann ein Unternehmen die geeigneten Sicherheitsmaßnahmen ergreifen, um vertrauliche Daten zu schützen. Unternehmen machen oft den Fehler, alle Informationen zu schützen – dies ist wenig hilfreich, da dadurch Arbeitsabläufe gestört werden. In den meisten Unternehmen ist nur ein Bruchteil der Informationen tatsächlich Schützenswert, auf den Schutz dieser Informationen sollte man sich konzentrieren. Disclaimer: Beurteilungen von Sicherheitslagen beruhen auf den zum angegebenen Zeitpunkt verfügbaren und als vertrauenswürdig eingeschätzten Informationen der German Business Protection (GBP). Obwohl bei der Zusammenstellung der Informationen größte Sorgfalt angewandt wurde, kann GBP für die Aktualität, Richtigkeit oder Vollständigkeit keine Gewähr übernehmen. In keinem Fall kann GBP für etwaige Schäden irgendwelcher Art verantwortlich gemacht werden, die durch die Verwendung der hier bereitgestellten Informationen entstehen, seien es direkte oder indirekte Schäden bzw. Folgeschäden einschließlich entgangenen Gewinns. Gefahrenlagen sind oft unübersichtlich und können sich rasch ändern. Stand:2016-02-29 Seite 2 von 2