Das Information-Rights-Management-System (IRM) ermöglicht es Unternehmen, den Zugriff auf ihre Informationen zu steuern und zu kontrollieren. Zu diesem Zweck wird der Inhalt der Datei verschlüsselt und die Zugriffsrechte über das Rollenkonzept festgelegt. Auf diese Weise können Informationen unabhängig von Übertragungsweg oder Speicherort überprüft werden.
Zahlreiche Compliance-Bestimmungen verlangen von Unternehmen, die Zugriffssteuerung mit rollenbasierten Berechtigungen zu kombinieren. Dazu müssen Sie nutzungsbasierte Aktivitäten mit identifizierbaren Benutzern verknüpfen. Wenn Unternehmen Daten von verschiedenen Plattformen verwenden, müssen sie möglicherweise auch mehrere Identitäten verknüpfen.
Die Benutzer selbst haben dann nur Zugriff auf die Informationen, die sie zur Ausführung ihrer Aufgaben benötigen. Auf diese Weise kann das Unternehmen den breiten Zugriff auf Systeme und Netzwerke, die riskant sein können, verhindern.
Letztendlich müssen Nutzungsregeln plattformübergreifend einheitlich implementiert werden. Dies reduziert identitätsbasierte Risiken wie Datenlecks und Datenverlust sowie Ausfallzeiten von Anwendungen. Darüber hinaus können interne Sicherheitsprobleme besser identifiziert und gelöst werden.
Wo wird Information-Rights-Management verwendet?
Das Information-Rights-Management (IRM) codiert Dateien und stellt dem Programm Metadaten zur Verfügung. Daten sind beispielsweise Bilder, Dokumente, Grafiken oder E-Mails. Es spielt keine Rolle, ob sie lokal nur auf Offline-Geräten oder virtuell in der Cloud gespeichert werden: Sämtliche Dateien sind geschützt, egal wo sie sich befinden.
Die Metadaten legen fest, wer auf welche Kanäle zugreifen, sie bearbeiten, kopieren und weiterverbreiten darf. Die Notwendigkeit, Informationen zu schützen, hängt von ihrer Bedeutung für das Unternehmen ab. Informationen können entsprechend der erforderlichen Privatsphäre gekennzeichnet und geschützt werden. Sie können von den Benutzern selbst kategorisiert werden oder den Unternehmensrichtlinien folgen.
Diese Informationen können verschiedenen gesetzlichen Schutzbestimmungen unterliegen, wie zum Beispiel:
Betriebs- und Geschäftsgeheimnisse
Unternehmen definieren, welche Geschäftsdaten sie als geheim einstufen möchten. Mit den Richtlinien in Arbeitsverträgen können Firmen Mitarbeiter dazu zwingen, das Unternehmen oder die Unternehmensgeheimnisse zu wahren. Geschäftsgeheimnisse umfassen sowohl technische als auch kommerzielle Aspekte.
Hierbei handelt es sich um vertrauliche Geschäftsinformationen, die nur bestimmten Mitarbeitern des Unternehmens bekannt sind und die niemals an die Außenwelt weitergegeben werden dürfen. Hierzu zählen beispielsweise Kundenkataloge, Rezepturen, bestimmte Herstellungsverfahren oder bestimmte Arten des Materialhandlings sowie vertrauliches Know-how. Eingetragene Schutzrechte können auch für bestimmte Geschäftsgeheimnisse wie Entwicklung und Prozesse geltend gemacht werden.
Seit 2018 sind Geschäftsgeheimnisse durch den Erlass der europäischen Richtlinie 2016/943 / EU gesetzlich geschützt. Dies bietet Rechtsbehelfe für die Sicherheit von Geschäftsgeheimnissen, die Firmen nicht durch Patent- oder Markenschutz absichern können oder wollen. Dies soll zu Ahndung unangemessener oder unehrlicher Veruntreuung oder Ausbeutung von Geschäftsgeheimnissen führen. Ausschlaggebend ist, ob der Gebrauch und die Weitergabe dieser Informationen legal oder illegal ist.
Geistiges Eigentum
Unternehmen können beispielsweise Erfindungen, Verfahren, Marken, Kennzeichnungen und Geschmacksmuster beim Patent- und Markenamt anmelden. Durch die Registrierung im Register können sie geistige Eigentumsrechte nachweisen und durchsetzen.
Erfindungen können für bis zu 20 Jahre patentiert und technologische Entwicklungen können durch Gebrauchsmuster für bis zu 10 Jahre geschützt werden. Erscheinungsformen und Farben lassen sich als eingetragenes Design anmelden.
Copyright
Geistiges Eigentum kann ebenfalls durch Urheberrechte und verwandte Schutzrechte wie Namensrechte geschützt werden. Ist ein geistiges Werk entstanden, wird es sofort eingetragen. Die Mitarbeiter gewähren den Arbeitgebern in der Regel umfassende Exklusivrechte für ihre Arbeits- oder Dienstleistungsverträge. Dadurch erhält der Arbeitgeber das Recht, die zur Vertragserfüllung geschaffenen Arbeiten für betriebliche oder behördliche Zwecke zu nutzen.
Bei Software gibt es eine Ausnahme: Das Urheberrecht geht hier davon aus, dass der Arbeitgeber alle Eigentumsrechte an der Software besitzt, die von einem Mitarbeiter im Rahmen eines Arbeitsvertrags erstellt wurde.
Persönliche Daten
Alle persönlichen Daten im Unternehmen unterliegen der allgemeinen europäischen Datenschutzverordnung. Hierzu zählen unter anderem medizinische Daten zu Betriebsärzten und Informationen zur Personalentwicklung sowie Vertrags- und Abrechnungsdaten aus der Personalabteilung. Grundsätzlich sind aber auch alle Prozesse am Arbeitsplatz geschützt, die bestimmten Mitarbeitern zugeordnet werden können. Die Verwendung dieser Daten ist in Arbeitsverträgen, Tarifverträgen oder Betriebs- oder Dienstleistungsverträgen geregelt oder bereits gesetzlich festgelegt.
Welche Risiken können Unternehmen mit einem IRM-System begegnen?
Cyber-Vorfälle
Cyber-Vorfälle und Betriebsstörungen sind eines der größten Geschäftsrisiken weltweit. 37 Prozent von mehr als 2.400 Risikoexperten aus 86 Ländern gaben dies bei einer Umfrage des Risikobarometers der Allianz für 2019 an.
Cyber-Vorfälle und das Risiko von Geschäftsunterbrechungen werden dabei immer enger miteinander verknüpft: Ransomware-Angriffe oder IT-Ausfälle sind die besorgniserregendsten Auslöser von Geschäfts- und Dienstunterbrechungen (50 Prozent der Antworten). Aus Sicht der deutschen Unternehmen liegt das Risiko von Geschäftsstörungen (48 Prozent) weiterhin unmittelbar vor dem Risiko eines Cyber-Vorfalls (44 Prozent).
Compliance-Risiken
Die Unternehmens-IT muss immer strengeren Management- und behördlichen Anforderungen gerecht werden. Unter anderem müssen Unternehmen in der Lage sein, Cyber-Vorfälle oder IT-Ausfälle schnell zu erkennen. So schreibt die neue europäische NIS-Richtlinie beispielsweise vor, dass es „Sofortmeldungen“ zu tatsächlichen IT-Ausfällen braucht, die erhebliche Einschränkungen verursachen können.
In solchen Fällen schreibt die europäische Datenschutz-Grundverordnung (DSGVO) vor, dass Unternehmen die Aufsichtsbehörden unverzüglich innerhalb von 72 Stunden benachrichtigen müssen. Sie müssen die Betroffenen ebenfalls unverzüglich benachrichtigen. Wird die Meldepflicht nicht erfüllt, können die Behörden eine Geldstrafe verhängen.
Wirtschaftliche Verluste
Nach Schätzungen des Zentrums für strategische und internationale Studien belaufen sich die weltweiten jährlichen Kosten für Cyberkriminalität heute auf 600 Milliarden US-Dollar, verglichen mit 445 Milliarden US-Dollar im Jahr 2014. Im Gegensatz dazu haben Naturkatastrophen im letzten Jahrzehnt durchschnittlich einen Schaden von 208 Milliarden US-Dollar angerichtet.
Der durch digitale Angriffe auf deutsche Unternehmen verursachte Schaden lässt sich nur teilweise erklären: Wenn Patentverluste und Produktfälschungen zu Umsatz- und Gewinneinbußen führen, ist es schwierig, die Verluste zu quantifizieren. Andererseits können häufig die Kosten oder Geldbußen für Ermittlungs-, Ersatz- und Wiederherstellungsmaßnahmen angegeben werden. Der durchschnittliche Verlust in Deutschland liegt laut Allianz bei rund zwei Millionen Euro.
Vertrauens- und Reputationsverlust
Wenn IT-Störungen öffentlich bekannt werden, müssen Unternehmen auch den Ruf berücksichtigen, zu dem eine negative Berichterstattung in den Medien führen kann. Sowohl Kunden als auch Lieferanten können sich vom Unternehmen distanzieren.
Mitarbeiter können das Unternehmen ebenfalls verlassen, weil sie das Vertrauen in das Management verloren haben, dass das Problem angemessen lösen sollte. Sie können sich auch Sorgen um ihren beruflichen Ruf und damit um ihre Karriere machen. Der Betrag, der für die Erpressung gezahlt wird, kann relativ gering sein im Vergleich zu dem Schaden, der durch den Vertrauensverlust unter den Arbeitnehmern verursacht wird.