Mit Sicherheit zum Dokumenten Management

Von Andre Hüttemann

Projekte aus dem Dokumenten oder Enterprise Content Management zeichnen sich in der Regel durch den Umgang mit sehr sensiblen Informationen aus. Rechnungen, Verträge, Konstruktionsunterlagen bis hin zu Personalunterlagen. In der Praxis steht bei der Auswahl des Projektpartners in der Regel die technische und organisatorische Lösung im Vordergrund, die Informationssicherheit wird auf wenige Vertragsklauseln reduziert. Dabei geht es gerade hierbei um die wichtigsten Werte im Unternehmen, zu dessen Schutz jedes Management verpflichtet ist.

Verträge schaffen zumindest Haftungssicherheit, vorausgesetzt es liegt eine ausreichende Beweiskraft vor. Die gelebte Praxis sieht in der Regel deutlich pragmatischer aus. Nach der Unterschrift wird das Thema Informationssicherheit höchstens noch beim Betriebshandbuch angesprochen. Und ehrlich gesagt gibt es meist aufgrund fehlender offensichtlicher Negativereignisse auch gar keinen Anlaß, dass Vertrauen in Frage zu stellen. Ein Glücksspiel - Glück, dass nichts passiert, oder wenn man den jüngsten Ereignissen Glauben schenken darf - Glück für die Verantwortlichen, dass der Schaden nie bekannt wird (nicht mal bei den Geschädigten selbst).

Wie sieht nun der Königsweg aus? Da in den meisten Fällen Lieferantenaudits zu aufwändig sein dürften und wenig praktikabel sind, können anerkannte Normen und Standards helfen. Die international anerkannte Norm ISO/IEC 27001 oder der vom Bundesamt für Sicherheit für Informationstechnik (BSI) herausgegebene Standard IT-Grundschutz bieten jedem Entscheider gute Indizien dafür, dass der Lieferant und Projektpartner die Informationssicherheit ernst nimmt. Ein entsprechendes Zertifikat bietet zwar auch keine restendliche Sicherheit, gewährleistet aber, dass sich das Management mit der Informationssicherheit aktiv beschäftigt, dass alle Mitarbeiter dauerhaft sensibilisert und geschult werden und dass es einen stetigen Überwachungs- und Verbesserungsprozess gibt. Die regelmäßige Überwachung erfolgt durch autorisierte Zertifizierungsstellen wie z.B. den TÜV und ist somit sehr aussagekräftig.

Ein zur ISO/IEC 27001 oder zum IT-Grundschutz konformes Informationssicherheitsmanagement bedeuted, dass der Lieferant lange vor dem Projekt und oft über Monate oder gar Jahre den Schutz und die Sicherheit der Kundendaten sowie seiner eigenen IT überwacht, bewertet und optimiert hat. Dieses Invest ist ein belastbares Indiz für einen Projektpartner, der die Sicherheit der Daten und Informationen ernst nimmt und zudem ein vom Auftraggeber sehr leicht zu prüfende Qualitätskriterium.

Bei der Auswahl des richtigen Partners kann das wichtige Kritierium der Informationssicherheit sehr einfach und aussagekräftig berücksichtigt werden, indem die Lieferanten auf eingehaltene Standards befragt werden. Sehr aussagekräftige Antworten sind dann übrigens Auflistungen gültiger Gesetze - Beruhigend, wenn die Geschäftsbeziehung rechtskonform geplant ist...

Tags: Allgemein - Alle Artikel in der Übersicht, Dokumentenmanagement, Compliance