Neues EU-Gesetz für Schutz von Geschäftsgeheimnisse: So setzten Sie es um in Microsoft-Umgebungen
Betriebliches Knowhow hat eine enorme wirtschaftliche Bedeutung, doch anders als Patente und andere Formen des geistigen Eigentums gab es dafür bisher kaum Schutzmöglichkeiten. Damit zukünftig geschäftliche Geheimnisse sicherer werden, hat die EU ein neues Gesetz geschaffen, das Geschäftsgeheimnis-Gesetz (GeschGehG). Die folgende Übersicht zeigt die Problemstellungen und mögliche Lösungen in Microsoft-Umgebungen.
Neue Definition von Geschäftsgeheimnissen
Wie definiert sich überhaupt ein Geschäftsgeheimnis? Gemäß dem neuen GeschGehG reicht dafür aus, dass eine geheime Tatsache von kommerziellem Wert nach dem erkennbaren subjektiven Willen des Inhabers geheim gehalten werden soll. Eine Information ist dann ein Geschäftsgeheimnis, wenn sie
- geheim ist
- einen kommerziellen Wert hat, weil sie geheim ist,
- Gegenstand angemessener Geheimhaltungsmaßnahmen ist und
- bei der ein berechtigtes Interesse an der Geheimhaltung besteht.
Angemessene Geheimhaltungsmaßnahmen gefordert
Aufgrund dieser Definition bringt das neue GeschGehG eine wesentliche Verschärfung gegenüber der alten Rechtslage. Jetzt ist nämlich nicht mehr nur das subjektive Kriterium „Geheimhaltungswille“ maßgeblich, sondern vielmehr objektive Kriterien – nämlich angemessene Geheimhaltungsmaßnahmen. Aus diesem Grund sind Unternehmen gehalten, möglichst rechtzeitig damit zu beginnen, Schutzkonzepte zu erarbeiten. Denn ohne angemessene Geheimhaltungsmaßnahmen bleibt ihnen der Schutz nach dem GeschGehG verwehrt.
Praktische Überlegungen zu einem Schutzkonzept
Ein geeignetes Schutzkonzept zeichnet sich dadurch aus, dass es technische und organisatorische Maßnahmen zum umfassenden Schutz von Geschäftsgeheimnissen gewährleisten kann. Von der technischen Seite her bedeutet das, dass kein ungeschützter Zugang zu vertraulichen oder kritischen Daten von nicht befugten Personen auf die Server möglich ist. Zudem müssen Personen, die mit geschützten Geschäftsgeheimnissen in Berührung kommen, durch Geheimhaltungsvereinbarungen und Wettbewerbsverbote an der Weitergabe von Geschäftsgeheimnissen gehindert werden.
Weitere Details zu den rechtlichen Aspekten erfahren Sie hier: https://www.luther-lawfirm.com/kompetenz/know-how-geheimnisschutz/das-neue-gesetz-zum-schutz-von-geschaeftsgeheimnissen.html
Microsoft Information Protection und das GeschGehG
Microsoft bietet schon seit längerem Funktionen zum Schutz von Dokumenten und E-Mails an, zum Beispiel mit der Information Protection. Dessen Grundfunktionen sind Klassifizieren und Definieren von Labels mit Regeln und Bedingungen. Labels können entweder automatisiert oder manuell von den Benutzern vergeben werden. Möglich sind auch Kombinationen, indem etwa die Benutzer Vorschläge zur Klassifizierung erhalten.
Anwendungsfälle
- Vertrauliche Daten (automatisch) erkennen und schützen
- Klassifikation von Daten anhand ihres Vertraulichkeitsgrads (auf Wunsch automatisch)
- Schutz von Daten unabhängig vom Speicherort
- Individuelle Sicherheitsrichtlinien
- Transparente Zugriffskontrolle
- Sichere Zusammenarbeit mit Dritten
- Flexible Bereitstellung und Verwaltung von Daten einschließlich Bring Your Own Key (BYOK), Hold Your Own Key (HYOK) oder Microsoft Information Protection Key
Dokumentenschutz unabhängig vom Ablageort
Der Infrastrukturdienst hinter Microsoft Information Protection ist Azure Rights Management. Diese Technologie kann auch mit anderen Anwendungen wie Office 365 kombiniert werden. Die eingesetzten Verschlüsselungs-, Identitäts- und Autorisierungsrichtlinien wie auch die Labels werden immer in die zu schützenden Dokumente und E-Mails integriert. Es besteht also keine Abhängigkeit vom Ablageort, egal ob das innerhalb oder außerhalb der IT-Organisation, der Netzwerke, der Dateiserver und der Anwendungen geschieht. Auf diese Weise bleibt die Kontrolle über die Daten auch bei Weitergabe sie an andere Personen sichergestellt.
Zu den weiteren Charakteristika zählt, dass ein Dokument zum Beispiel nur von Personen im Unternehmen geöffnet werden kann. Außerdem lässt sich festlegen, ob die Bearbeitung eines Dokuments erlaubt wird oder nicht, ob es schreibgeschützt ist und ob es gedruckt werden darf. Dasselbe gilt für E-Mails, so dass verhindert werden kann, dass sie weitergeleitet oder manipuliert werden.
Technische Möglichkeiten mit Information Protection
- Manuelle Kennzeichnung
- Automatische Kennzeichnung (Vorschläge durch Microsoft Information Protection)
- Massendatenauswertung (Kennzeichnung)
- Automatische Kennzeichnung beim Mail-Versand
Automatische Erkennung basierend auf „Sensitive Information Types“
Microsoft stellt Vorlagen zur Verfügung, die dabei helfen, Muster von bekannten schützenswerten Informationen wie beispielsweise Kreditkartennummern automatisch zu erkennen. Solche Vorlagen lassen sich auch individuell erstellen, so dass im Unternehmen auch individuelle Informationsmuster wie Auftragsnummer, Vertragsnummern und dergleichen erkannt und mit einem Label versehen werden können. Solche Bedingungen gelten für den Haupttext von Dokumenten und E-Mails, außerdem für Kopf- und Fußzeilen.
Diese automatische Klassifizierung erfolgt sowohl beim Speichern von Dokumenten wie beim Senden von E-Mails in Outlook, oder auch beim Scannen von vorhandenen Datenbeständen. Microsoft Information Protection bietet außerdem die Möglichkeit, Dokumente und Dateien dann zu klassifizieren, wenn sie an einem bestimmten Speicherort abgelegt werden.
Message Encryption schützt Daten via Mail
Message Encryption ermöglicht den Schutz von E-Mails, ohne die Anwender zu beeinträchtigen. Und zwar unabhängig davon, mit welchem Gerät, welcher Anwendung oder welcher Identität die Mails gesendet und empfangen werden. Die automatische Verschlüsselung erfolgt dann, wenn bestimmte Schlüsselwörter in der Betreffzeile oder im Text der Nachricht erkannt werden. Ebenso können Anwender ad-hoc verschlüsselte Nachrichten versenden.
Schutz von Inhalten basierend auf Labels und Policies
Label enthalten Informationen über Berechtigungsstufen und individuelle Nutzungsrechte wie zum Beispiel das Lesen, Drucken oder Weiterleiten von Dokumenten. Diese lassen sich auf E-Mails, Dokumente und Dateien anwenden. Policies werden einem Benutzer oder einer Gruppe zugeordnet und beinhalten Labels. So können für verschiedene Abteilungen und Anwendungsfälle unterschiedliche Einstellungen vorgenommen werden.
Berichte über Zugriffe und Verwendungen
Information Protection verfügt auch über Analysefunktionen für das Erstellen von Berichten. Die Reportingfunktion gliedert sich in folgende Bereiche:
Usage Reports:
- Welche Labels wurden vergeben?
- Wie viele Dokumente und E-Mails wurden geschützt?
- Wie viele Benutzer und wie viele Geräte nutzen Information Protection?
- Welche Anwendungen werden dafür genutzt?
Activity Logs:
- Welche Labels wurden von einem bestimmten Benutzer angewendet?
- Welche Labels wurden von einem bestimmten Gerät aus genutzt?
- Welche Benutzer haben auf ein bestimmtes geschütztes Dokument zugegriffen?
- Welche Labels wurden für einen bestimmten Speicherort angewendet?
Bring Your Own Key / Hold Your Own Key für besonders sensible Daten
Das Rechtemanagement von Microsoft bietet auch die Möglichkeit für „Bring your own Key“ (BYOK), und zwar nach einem Modell, das als Kunden-verwalteter Mandantenschlüssel bezeichnet wird. Zu diesem Zweck erstellt ein Kunde einen Schlüssel und exportiert ihn dann in das Microsoft-Rechenzentrum. Im abgewandelten Szenario Hold your own Key (HYOK) bleibt der Schlüssel beim Kunden. Für jede Ver- und Entschlüsselung ist dann ein Zugriff in das Rechenzentrum des Kunden notwendig.
Falls Sie an weiteren Informationen und an Hilfe bei der Umsetzung benötigen, könnte Sie folgender Workshop interessieren:
- Mit dem Security Copilot führt Microsoft einen KI-Assistenten für IT-Sicherheit ein - 30. März 2023
- Mehr Datenschutz für Microsoft 365-Berichte: So anonymisieren sie persönliche Benutzerdaten - 2. März 2023
- Wie datenschutzwidrig ist Microsoft 365? Eine Analyse der aktuellen Vorwürfe – und wie es weitergeht - 3. Januar 2023