Sicherheit + Datenschutz 20. Januar 2020 4 Min Lesezeit

Verwaltung von Informationsrechten: Was ist ein Information-Rights-Management-System?

Geschrieben von
Roger Klein
unterlagen miteinander teilen archivieren finden

Ein Information-Rights-Management-System (IRM) gibt Unternehmen die Kontrolle darüber, wer auf welche Informationen zugreifen darf. Der Inhalt einer Datei wird verschlüsselt, die Zugriffsrechte werden über ein Rollenkonzept definiert. So lassen sich Informationen unabhängig vom Übertragungsweg oder Speicherort absichern.

Viele Compliance-Vorgaben verlangen, dass Zugriffssteuerung und rollenbasierte Berechtigungen kombiniert werden. Konkret bedeutet das: Nutzungsaktivitäten müssen identifizierbaren Benutzern zugeordnet werden. Wer Daten von verschiedenen Plattformen verwaltet, muss unter Umständen auch mehrere Identitäten verknüpfen.

Jeder Benutzer sieht nur die Informationen, die er für seine Aufgaben braucht. Das verhindert unnötig breiten Zugriff auf Systeme und Netzwerke — und damit potenzielle Angriffsflächen.

Nutzungsregeln müssen plattformübergreifend einheitlich umgesetzt sein. Das senkt identitätsbasierte Risiken wie Datenlecks und Datenverlust, reduziert Ausfallzeiten und erleichtert die Erkennung interner Sicherheitsprobleme.

Wo wird Information-Rights-Management verwendet?

IRM codiert Dateien und versieht sie mit Metadaten. Dabei spielt es keine Rolle, ob es sich um Bilder, Dokumente, Grafiken oder E-Mails handelt — und ob sie lokal auf Offline-Geräten oder in der Cloud liegen. Sämtliche Dateien bleiben geschützt, unabhängig vom Speicherort.

Die Metadaten legen fest, wer auf welche Inhalte zugreifen, sie bearbeiten, kopieren oder weitergeben darf. Wie stark Informationen geschützt werden müssen, hängt von ihrer Bedeutung für das Unternehmen ab. Die Klassifizierung kann durch die Benutzer selbst erfolgen oder aus Unternehmensrichtlinien abgeleitet werden.

Diese Informationen können verschiedenen gesetzlichen Schutzbestimmungen unterliegen, zum Beispiel:

Betriebs- und Geschäftsgeheimnisse

Unternehmen legen selbst fest, welche Geschäftsdaten als geheim eingestuft werden. Über Klauseln in Arbeitsverträgen können sie Mitarbeitende zur Verschwiegenheit verpflichten. Geschäftsgeheimnisse umfassen sowohl technische als auch kommerzielle Aspekte.

Dazu zählen vertrauliche Informationen, die nur einem bestimmten Personenkreis bekannt sind und nicht nach aussen gelangen dürfen — etwa Kundenkataloge, Rezepturen, Herstellungsverfahren oder vertrauliches Know-how. Eingetragene Schutzrechte können ergänzend geltend gemacht werden.

Seit 2018 schützt die europäische Richtlinie 2016/943/EU Geschäftsgeheimnisse gesetzlich — auch dort, wo Patent- oder Markenschutz nicht greift oder nicht gewollt ist. Massgeblich ist, ob die Nutzung und Weitergabe der jeweiligen Informationen legal oder illegal erfolgt.

Geistiges Eigentum

Erfindungen, Verfahren, Marken, Kennzeichnungen und Geschmacksmuster lassen sich beim Patent- und Markenamt anmelden. Die Registrierung schafft die Grundlage, geistige Eigentumsrechte nachzuweisen und durchzusetzen.

Erfindungen können bis zu 20 Jahre patentiert werden, technologische Entwicklungen durch Gebrauchsmuster bis zu 10 Jahre. Erscheinungsformen und Farben sind als eingetragenes Design schützbar.

Copyright

Geistiges Eigentum lässt sich auch über Urheberrechte und verwandte Schutzrechte sichern. Ein geistiges Werk ist ab dem Moment des Entstehens geschützt. Mitarbeitende räumen ihren Arbeitgebern in der Regel umfassende Exklusivrechte für die im Rahmen des Arbeits- oder Dienstleistungsverhältnisses erstellten Werke ein.

Bei Software gilt eine Ausnahme: Das Urheberrecht geht davon aus, dass der Arbeitgeber alle Eigentumsrechte an Software hält, die ein Mitarbeitender im Rahmen eines Arbeitsvertrags entwickelt hat.

Persönliche Daten

Alle personenbezogenen Daten im Unternehmen unterliegen der DSGVO. Das betrifft medizinische Daten aus dem Betriebsarzt-Bereich, Informationen zur Personalentwicklung sowie Vertrags- und Abrechnungsdaten der Personalabteilung. Grundsätzlich sind auch alle Arbeitsprozesse geschützt, die bestimmten Personen zugeordnet werden können. Die Nutzung dieser Daten ist in Arbeits-, Tarif- oder Betriebsvereinbarungen geregelt oder gesetzlich festgelegt.

Welche Risiken können Unternehmen mit einem IRM-System begegnen?

Cyber-Vorfälle

Cyber-Vorfälle und Betriebsstörungen gehören zu den grössten Geschäftsrisiken weltweit. Im Risikobarometer der Allianz für 2019 nannten 37 Prozent von mehr als 2.400 Risikoexperten aus 86 Ländern Cyber-Vorfälle als Hauptrisiko.

Ransomware-Angriffe und IT-Ausfälle gelten dabei als die besorgniserregendsten Auslöser von Geschäftsunterbrechungen — 50 Prozent der Befragten sehen das so. Für deutsche Unternehmen liegt das Risiko von Geschäftsstörungen (48 Prozent) knapp vor dem Risiko eines Cyber-Vorfalls (44 Prozent).

Compliance-Risiken

Die Unternehmens-IT muss zunehmend strengeren regulatorischen Anforderungen genügen. Unternehmen müssen Cyber-Vorfälle und IT-Ausfälle schnell erkennen und melden können. Die europäische NIS-Richtlinie schreibt «Sofortmeldungen» bei tatsächlichen IT-Ausfällen vor, die erhebliche Einschränkungen verursachen können.

Die DSGVO verlangt ausserdem, dass Aufsichtsbehörden innerhalb von 72 Stunden nach Bekanntwerden eines Vorfalls informiert werden — ebenso die Betroffenen. Wer die Meldepflicht nicht erfüllt, riskiert empfindliche Bussgelder.

Wirtschaftliche Verluste

Das Zentrum für strategische und internationale Studien schätzte die weltweiten jährlichen Kosten der Cyberkriminalität zuletzt auf 600 Milliarden US-Dollar — gegenüber 445 Milliarden im Jahr 2014. Zum Vergleich: Naturkatastrophen richteten im gleichen Jahrzehnt durchschnittlich 208 Milliarden US-Dollar Schaden an.

Der Schaden durch Angriffe auf deutsche Unternehmen ist schwer vollständig zu beziffern. Patentverluste und Produktfälschungen führen zu Umsatz- und Gewinneinbussen, die sich kaum quantifizieren lassen. Was sich oft beziffern lässt: Kosten und Bussen für Ermittlung, Ersatz und Wiederherstellung. Laut Allianz liegt der durchschnittliche Verlust in Deutschland bei rund zwei Millionen Euro.

Vertrauens- und Reputationsverlust

Wenn IT-Störungen öffentlich werden, folgt regelmässig negative Medienberichterstattung. Kunden und Lieferanten distanzieren sich — manchmal dauerhaft.

Auch intern entstehen Folgeprobleme: Mitarbeitende verlassen das Unternehmen, wenn das Vertrauen ins Management schwindet. Dazu kommen Sorgen um den eigenen beruflichen Ruf. Die Erpressungssumme selbst ist oft gering im Vergleich zu dem Schaden, den der Vertrauensverlust unter den Mitarbeitenden anrichtet.

Über die Autor:in

Roger Klein

Geschäftsführer dataloft GmbH. WordPress seit Version 3, Frauenfeld. Verantwortet bei dataloft Strategie, Architektur und KI-Integration. Baut mit Mattes und Elena rundum.dog, die grösste deutschsprachige Hunde-Wissensplattform.

→ Wir

Hat dich der Artikel ins Grübeln gebracht?

Wir besprechen sowas gerne im Erstgespräch — schreib uns oder ruf an. Unverbindlich, persönlich, in der Regel innerhalb von 24 Stunden werktags.

→ Direkt zum Kontakt

Wenn du gleich noch was Grösseres anschauen willst

rundum.dog — unsere Hunde-Wissensplattform.

Die grösste deutschsprachige Hunde-Wissensplattform. Unser Eigenprojekt, unser Live-Beweis. Mit ca. einer Million Sessions pro Monat, eigenem KI-Plugin auf Anthropic-API und 17 Custom Post Types.

→ rundum.dog ansehen
Mehr zum Thema Sicherheit + Datenschutz

Drei verwandte Beiträge.

2023-09-13 Privacy Shield 2.0: Ein neuer Hoffnungsschimmer für den Datenschutz? 2019-06-06 Google bekennt: Datenleck in der G Suite-Version Business 2018-05-12 Datenschutzgrundverordnung (DSGVO)

Schreib uns oder ruf an.
Wir antworten in der Regel innerhalb von 24 Stunden werktags.

Roger Klein
Geschäftsführer
E-Mail
info@dataloft.ch
Telefon
+41 52 511 05 05
Adresse
dataloft GmbH · Rietweg 1 · 8506 Lanzenneunforn TG