Informationssicherheit in der Technischen Dokumentation

Schützen Sie Ihre Technische Dokumentation vor Spionage

Die Technische Dokumentation er­klärt Ihre in­no­va­ti­ven Produkte oder tech­ni­schen Anlagen bis ins kleins­te Detail. Gelangen diese Daten in die fal­schen Hände, lernen Konkurrenten, Produktpiraten oder Saboteure, wo lu­kra­ti­ve Angriffsziele liegen. Informationssicherheit schützt Ihr geis­ti­ges Eigentum vor diesen un­be­rech­tig­ten Zugriffen.

Informationssicherheit schützt vor Datenraub

Rund 55 Milliarden Euro pro Jahr be­trägt der Schaden für deut­sche Unternehmen, der durch Wirtschaftsspionage, Datendiebstahl oder Sabotage ent­steht. Das hat eine Studie des Bundesverbandes Informationswirtschaft, Telekommunikation und neue Medien e. V. (Bitkom) er­ge­ben. Sie wirft damit ein klares Schlaglicht auf die Bedeutung der Informationssicherheit.

Seit der letz­ten Umfrage ist diese Schadenssumme um wei­te­re 10 Prozent an­ge­schwol­len. In un­ge­si­cher­ten Unternehmen ist ein Datendiebstahl kin­der­leicht. Ohne deut­li­che Investitionen in die Informationssicherheit steht daher zu er­war­ten, dass die Schäden in Zukunft weiter zunehmen.

Jedes zweite deut­sche Unternehmen gab in der oben ge­nann­ten Studie an, in den letz­ten zwei Jahren selbst Opfer von Wirtschaftsspionage, Datendiebstahl oder gar Sabotage ge­we­sen zu sein. Die Gefahr, dass auch Ihre ver­trau­li­chen Daten oder Technik auf diesem Wege in un­be­fug­te Hände ge­ra­ten, ist somit groß. Ihre Technische Dokumentation ent­hält Ihr ge­ball­tes Know-how, das drin­gend be­wahrt werden muss.

Warum Informationssicherheit wichtig ist

Im glo­ba­len Wettbewerb werden die Produktzyklen immer kürzer. Mehr und mehr Wettbewerber drän­gen auf den Markt. Oft stam­men diese aus Regionen, wo ge­rin­ge­re umwelt- und ar­beits­recht­li­che Auflagen deut­lich preis­wer­te Produktionen zulassen.

Ihre Technische Dokumentation ist neben Planungen und Konzepten ein ent­schei­den­der Faktor zur Sicherung Ihrer Wettbewerbsfähigkeit. Für Produktpiraten und skru­pel­lo­se Konkurrenten ist es preis­wer­ter und ein­fa­cher, eine fremde Technische Dokumentation zu steh­len, als eine eigene Forschungsabteilung zu unterhalten.

Neben dem ur­ei­ge­nen Interesse an der ver­trau­li­chen Behandlung von Firmendaten schrei­ben auch zahl­rei­che Gesetze vor, dass Sie mit allen Daten sorg­sam um­ge­hen soll­ten. Vor allem mit sol­chen, die andere Ihnen über­las­sen. Der Datenschutz, das Haftungsrecht und sogar das Gesellschaftsrecht machen zahl­rei­che Vorgaben über die Art und Weise der Aufbewahrung und Vorhaltedauer ge­spei­cher­ter Daten.

Legen Sie bei jedem Bearbeitungsschritt großen Wert auf die Informationssicherheit. Das be­trifft Ihr ei­ge­nes Unternehmen, wie auch alle Dienstleister, die Sie bei Ihrer Arbeit unterstützen.

Vor welchen Risiken schützt die Informationssicherheit?

Billige Nachahmungsprodukte über­schwem­men den eu­ro­päi­schen Markt. Der Schaden durch Produktpiraterie ist dabei deut­lich größer, als die ent­gan­ge­nen Gewinne. Oft weiß ein Käufer gar nicht, dass er eine min­der­wer­ti­ge Kopie er­stan­den hat. Seine ne­ga­ti­ve Erfahrung bei einem Problem oder Ausfall führt er dann auf Ihr Unternehmen zurück. Eine Investition in Informationssicherheit ist somit auch eine Investition in Ihren guten Ruf.

Neben der Technischen Dokumentation und an­de­ren Produktdaten sind noch wei­te­re Gebiete in Gefahr. Headhunter suchen un­er­müd­lich nach Wegen, um Ihre besten Mitarbeiter zu kon­tak­tie­ren. Unternehmenskäufer wün­schen sich Einblicke in in­ter­ne Kalkulationen, die mehr ver­ra­ten, als Sie nach außen preis­ge­ben wollen. Ihre Investition in die Informationssicherheit min­dert das Risiko auf vielen Gebieten.

Die drei Schutzziele der Informationssicherheit

Die Informationssicherheit dient dem Schutz vor Gefahren und Bedrohungen und der Vermeidung von wirt­schaft­li­chen Schäden. Im ein­zel­nen werden fol­gen­de drei Schutzziele de­fi­niert: Vertraulichkeit, Verfügbarkeit und Integrität.

• Vertraulichkeit be­deu­tet, dass eine Information nur für einen ein­ge­schränk­ten Personenkreis zu­gäng­lich sein soll. Vertraulichkeit ist durch Rechtsnormen, wie etwa das Brief-, Beicht- oder Fernmeldegeheimnis ge­schützt. Im pri­vat­recht­li­chen Rahmen rei­chen diese nicht aus; hier treten straf­be­wehr­te Geheimhaltungsvereinbarungen hinzu. Daneben gibt es zahl­rei­che tech­ni­sche Methoden, etwa die Verschlüsselung, um Unbefugte von der Kenntnisnahme ver­trau­li­cher Dokumente abzuhalten.
• Verfügbarkeit be­schreibt, dass spe­zi­fi­sche Daten oder Systeme er­reich­bar sein sollen, wenn sie be­nö­tigt werden. Die Verfügbarkeit wird meist als Prozentzahl an­ge­ge­ben. Geplante und un­ge­plan­te Ausfälle senken die Verfügbarkeit unter den Maximalwert von 100 %. Je nach Budget und Bedarf liegen ty­pi­sche Verfügbarkeiten bei 90 %, 98 % oder gar 99,9 %.
• Integrität for­dert, dass eine Information un­mo­di­fi­ziert und kor­rekt vor­liegt, frei von mut­wil­li­ger oder un­be­ab­sich­tig­ter Veränderung. Sie be­nö­tigt eine hohe Kontrolle aller tech­ni­schen Faktoren, wie auch den Schutz vor Zugriffen durch un­be­fug­te Dritte.

Rechtliche Grundlagen der Informationssicherheit

Im deutsch­spra­chi­gen Bereich dienen die IT-Grundschutz-Kataloge des deut­schen Bundesamts für Sicherheit in der Informationstechnik (BSI) als erste Orientierung für ein Minimum an Informationssicherheit.

Innerhalb und au­ßer­halb von Europa hat sich die in­ter­na­tio­na­le Norm ISO/​IEC 27001 „IT-Sicherheitsverfahren – Informationssicherheits-Managementsysteme – Anforderungen“ durch­ge­setzt. Sie be­schreibt die Einrichtung, Umsetzung, Aufrechterhaltung und fort­lau­fen­de Verbesserung eines Systems zur Informationssicherheit.

Daneben gibt es Tipps, Handlungsleitfäden oder Vorgaben von Branchenverbänden. So stellt etwa der Verband der Automobilindustrie (VDA) ein ei­ge­nes Internetportal zur Verfügung. Vor der Aufnahme als ak­ti­ves Mitglied an der Austauschplattform (Trusted Information Security Assessment Exchange – TISAX) steht eine stren­ge Prüfung eines ak­kre­di­tier­ten Prüfunternehmens, wie etwa die TÜV Rheinland AG.

Seit 2016 ist unique ak­ti­ves TISAX Mitglied. Über diese Plattform kann jedes Unternehmen unsere Prüfergebnisse und Zuverlässigkeit ein­se­hen und nach­voll­zie­hen, das als pas­si­ves Mitglied an der Plattform teil­nimmt. Durch die Zusammenarbeit mit TISAX-Mitgliedern, die ihre Informationssicherheit extern über­prü­fen lassen, gehen Sie sorg­fäl­tig mit Daten um, die Ihnen an­ver­traut werden.

Informationssicherheit in der IT

Die größte Gefahr für Ihre Informationssicherheit liegt darin, dass ein Dritter sich Zugriff zu Ihren Konzepten, Ihrer Technischen Dokumentation oder Ihren in­ter­nen Geschäftsdaten ver­schafft. Sprechen Sie Ihren IT-Spezialisten darauf an fol­gen­de Punkte für Ihr Unternehmen umzusetzen:

• re­gel­mä­ßi­ge Backups
• ge­eig­ne­tes Rechte- und Gruppenmanagement sinn­vol­le Passwortrichtlinien
• 2-Faktor-Authenthifizierung für Anmeldeprozesse zu kri­ti­schen Systemen
• Netzwerkseparation
• Firewall auf­set­zen und ge­eig­net konfigurieren
• starke Verschlüsselung ge­schäfts­kri­ti­scher Daten
• Deaktivierung un­ge­si­cher­ter Schnittstellen (USB etc.)
• si­che­re Entsorgung von Datenträgern und Ausdrucken

Bauliche Maßnahmen für die Informationssicherheit

Je nach Umfeld und Art Ihrer Daten sind bau­li­che Maßnahmen für die Informationssicherheit sinn­voll oder not­wen­dig. Gerade wenn Sie neue Räumlichkeiten planen, sind ein­fa­che Maßnahmen, wie ein Sichtschutz zwi­schen Arbeitsbereichen, ohne großen Mehraufwand rea­li­sier­bar. Ein an­ge­mes­se­ner Einbruchschutz ist in nahezu jedem Unternehmen selbst­ver­ständ­lich, dar­über hinaus bietet eine zu­sätz­li­che Zutrittskontrolle Schutz bei hö­he­rem Sicherungsbedarf.

Verhalten im Umgang mit vertraulichen Informationen

Neben tech­ni­schen und bau­li­chen Maßnahmen ist die Sensibilisierung Ihrer Mitarbeiter und Dienstleister für das Thema Informationssicherheit ein ent­schei­den­der Erfolgsfaktor. Folgende bei­spiel­haf­ten Punkte brin­gen Sie auf den rich­ti­gen Weg.

– Fotografieverbot in aus­ge­wie­se­nen, ge­si­cher­ten Bereichen
– Versionierung von Dokumenten zum Schutz vor ver­al­te­ten Informationen
– Zertifizierung von Dokumenten zum Aufdecken un­be­merk­ter Veränderungen
– Archivierungsregeln zum Verhindern von Verlusten
– Strenge Regelungen für die Nutzung von Cloud-Services
– Sicherheits-Mindestanforderungen an ex­ter­ne Dienstleister
– Schulung und Sensibilisierung der Mitarbeiter

Besonders im Überlappungsbereich zwi­schen Arbeit und Freizeit kommt es häufig zu Gefahrensituationen. Trägt ein Mitarbeiter ver­trau­li­che Informationen auf seinem Laptop mit sich herum, be­steht Diebstahlsgefahr.

Wenn er in der Bahn oder im Flugzeug an einer Präsentation ar­bei­tet, sehen ihm die Nachbarn wo­mög­lich auf den Bildschirm. Arbeitet ein Mitarbeiter häufig mobil, lohnt sich mög­li­cher­wei­se die Anschaffung spe­zi­el­ler Blickschutz-Bildschirme, die nur aus einem sehr ge­rin­gen Winkelbereich ein­seh­bar sind.

Auch in vielen an­de­ren Bereichen des Arbeitsalltages bieten sich Gelegenheiten, die Informationssicherheit mit klei­nen Anpassungen stark zu ver­bes­sern. Unsere ge­schul­ten IT-Sicherheitsfachkräfte un­ter­stüt­zen Sie gern mit Sachkenntnis und Begeisterung dabei, solche Stellen in Ihrem Unternehmen aufzuspüren.

Schutz vor Verlust – Kompetentes Backup

Neben dem Schutz vor un­be­rech­tig­tem Zugriff Dritter ist der Schutz gegen Verlust eine wich­ti­ge Komponente der Informationssicherheit. Vor allem, da viele Geschäftsdaten ge­setz­li­chen Aufbewahrungsfristen unterliegen.

Backups an min­des­tens drei un­ab­hän­gi­gen Orten schüt­zen vor Einbruch, Feuer und an­de­ren Beschädigungen. Achten Sie darauf, dass Sie die Daten aus dem er­stell­ten Backup auch wieder zu­rück­spie­len können. Testen Sie die Wiederherstellung re­gel­mä­ßig, dann haben Sie die Sicherheit, dass Ihre Daten im Bedarfsfall ver­füg­bar sind. Eine starke Verschlüsselung des Backups ver­hin­dert zudem einen un­be­fug­ten Zugriff wäh­rend der Lagerung.

Brandmelde- und Brandschutzanlagen über­wa­chen und si­chern Büro- und Serverräume. Wählen Sie ge­eig­ne­te Löschmittel aus, mit denen sowohl Ihre Backup-Daten, wie auch Ihre Mitarbeiter vor einem Feuer ge­ret­tet werden.

Zusätzliche Gefahren bei Übersetzungen

Für eine kor­rek­te und ein­heit­li­che Übersetzung von Technischer Dokumentation und an­de­rer wie­der­keh­ren­der Dokumente ist ein Translation Memory nahezu un­er­läss­lich. Diese Software spei­chert wie­der­keh­ren­de Textteile und ge­währ­leis­tet eine dau­er­haft hohe Übersetzungsqualität.

Vom Standpunkt der Informationssicherheit ist hier das Risiko ge­ge­ben, dass wich­ti­ge Textteile und tech­ni­sche Daten in einer ex­ter­nen Datenbank mit mög­li­cher­wei­se nied­ri­gem Schutzniveau vor­ge­hal­ten werden. Hinzu kommt, dass im Translation Memory ge­spei­chert ist, wann Textkomponenten an­ge­legt wurden und in wel­chen Dokumenten diese Textteile ver­wen­det werden. Gelangte ein Angreifer an diese Daten, könnte er daraus wert­vol­le Schlüsse ziehen.

Problematisch kann eine ma­schi­nel­le Übersetzung sein, vor allem wenn sie mit­tels kos­ten­frei­er Internet-Dienste ge­schieht. In ge­si­cher­ten Bereichen sollte diese Art der ma­schi­nel­len Übersetzung grund­sätz­lich ver­bo­ten sein. Noch besser ist es, wenn Sie den Zugriff auf der­ar­ti­ge Dienste tech­no­lo­gisch un­ter­bin­den. So schüt­zen Sie die Informationssicherheit auch in un­be­dach­ten Momenten.

Voraussetzungen für Ihre Informationssicherheit

Am Beginn Ihrer Informationssicherheit steht die rea­lis­ti­sche Einschätzung mög­li­cher Gefahren. Eine hun­dert­pro­zen­ti­ge Sicherheit kann es nie­mals geben, jedoch lassen sich Risiken mi­ni­mie­ren. Angriffe, die mehr kosten, als sie ein­brin­gen, blei­ben damit aus. Je höher die Ansprüche an die Informationssicherheit sind, desto höher sind die damit ver­bun­de­nen Aufwände und Kosten. Daher gilt es, vor­han­de­ne Ressourcen dort ein­zu­set­zen, wo sie den größ­ten Nutzen erzielen.

Neben den ei­ge­nen Risiken sind die Ansprüche Ihrer Kunden an die Informationssicherheit zu schüt­zen. Denn un­ab­hän­gig von Ihrer ei­ge­nen Gefahrenlage, müssen Sie die Anforderungen Ihrer Kunden ab­de­cken, damit Sie deren Geschäft er­hal­ten. Aus der Kombination der Kundenanforderungen mit Ihrer ei­ge­nen Risikoanalyse stel­len Sie Ihr Informationssicherheitskonzept zusammen.

Im Konzept sind die Prozessanforderungen für die Bearbeitung, Speicherung und Weitergabe von Informationen ent­hal­ten. Planen Sie früh­zei­tig und ver­bind­lich alle not­wen­di­gen Voraussetzungen, ins­be­son­de­re in der Zusammenarbeit mit Dienstleistern. unique hat zu diesem Zweck schon 2012 das Leistungsfeld IT-Sicherheit auf­ge­baut. Mit ihm stehen wir Ihnen bei diesem Thema kom­pe­tent und um­fas­send zur Seite.

Informationssicherheit bei der Datenübergabe

Vereinbaren Sie mit Ihrem Dienstleister früh­zei­tig, welche Verfahren und Technologien sie für die si­che­re Übertragung von Informationen und Dokumenten ver­wen­den. Im Bereich der Technischen Dokumentation und Technischen Übersetzung be­trifft das vor allem:

• Vereinbarung des Formates für Ausgangstexte und Ergebnisse (Text, Word-Dokument, PDF, ..)
• Ablage der Dokumente in ver­schlüs­sel­ten Bereichen auf einem Server bei Ihnen oder beim Dienstleister
• Festlegung, welche Personen Berechtigung zum Zugriff auf die Dokumente bekommen
• Anforderungen an den Einsatz frei­be­ruf­li­che Übersetzer für sel­te­ne Sprachrichtungen
• Einsatz ver­schlüs­sel­ter E-Mail-Kommunikation.

Als ak­ti­ves TISAX-Mitglied, das nach VDA 27001 tes­tiert ist, bietet z.B. die unique ihren Kunden eine hohe, je­der­zeit prüf­ba­re Informationssicherheit.