Warum brauchen Unternehmen ein Information-Rights-Management-System?

Von Laura Schwarz am 26. September 2019

"Private"-Schild liegt auf einer Tastatur

Mit einem Information-Rights-Management-System (IRM) können Unternehmen den Zugriff auf ihre Informationen kontrollieren und steuern. Dafür werden Dateiinhalte verschlüsselt und über Rollenkonzepte Zugriffsrechte definiert. Damit ist eine Kontrolle von Informationen unabhängig von Übertragungsweg oder Speicherort möglich.

Viele Compliance-Regelungen verlangen von Unternehmen, eine Zugriffskontrolle mit rollenbasierten Privilegien zu verbinden. Hierfür müssen die nutzungsbasierten Aktivitäten mit identifizierbaren Anwendern verbunden werden. Werden die Daten von verschiedenen Plattformen aus genutzt, müssen auch mehrere Identitäten möglicherweise miteinander verbunden werden. Die Anwender selbst haben dann nur in dem Umfang einen Zugriff auf die Informationen, wie es für die Erfüllung ihrer Aufgaben notwendig ist. Auf diese Weise kann ein Unternehmen einen breiten und damit riskanten Zugriff auf Systeme und Netzwerke verhindern.

Letztlich müssen die Nutzungsregeln plattformübergreifend einheitlich umgesetzt werden. Auf diese Weise können identitätsbasierende Risiken wie Datenverluste und Datenlecks ebenso vermindert werden wie Ausfallszeiten von Anwendungen. Überdies können interne Sicherheitsprobleme besser erkannt und bereinigt werden.

Grafik-IRM

Risiken, denen Unternehmen mit einem gut aufgesetzten IRM-System begegnen
können:

  • Cybervorfälle: Cybervorfälle gehören gemeinsam mit Betriebsunterbrechungen zu den größten Geschäftsrisiken weltweit. Dies gaben jeweils 37 Prozent von über 2.400 befragten Risikoexperten aus 86 Ländern für das Risikobarometer 2019 des Versicherers Allianz an. Dabei sind die Risiken für Cybervorfälle und Betriebsunterbrechungen zunehmend miteinander verknüpft: Ransomware-Angriffe oder IT-Ausfälle sind die am meisten gefürchteten Auslöser von Betriebs- und Serviceunterbrechungen (50% der Antworten). Aus Sicht deutscher Unternehmen dominiert weiterhin das Risiko einer Betriebsunterbrechung (48%) knapp vor dem Risiko eines Cybervorfalls (44%). 
  • Compliance-Risiken: Die Unternehmens-IT muss zunehmend strengere Auflagen der Unternehmensführung und regulatorische Anforderungen erfüllen. Unter anderem müssen Unternehmen Cybervorfälle bzw. IT-Störungen rasch identifizieren können: Die neue europäische NIS-Richtlinie etwa verlangt eine „unverzügliche“ Meldung von IT-Störungen, die eine erhebliche Einschränkung tatsächlich verursachen oder auch nur möglicherweise verursachen können. Die europäische Datenschutz-Grundverordnung (DSGVO) verlangt für solche Fälle, dass die Unternehmen die Aufsichtsbehörden „unverzüglich und möglichst binnen 72 Stunden“ informieren. Auch müssen sie Betroffene „unverzüglich“ informieren. Bei versäumten Meldepflichten können die Behörden Bußgelder verhängen.

E-Book: Sicherer Dokumentenaustausch - Jetzt downloaden

  • Wirtschaftliche Schäden: Cyberkriminalität kostet heute nach Schätzungen des Center for Strategic and International Studies weltweit 600 Milliarden Dollar (520 Milliarden Euro) pro Jahr, gegenüber 445 Milliarden Dollar (385 Milliarden Euro) im Jahr 2014. Naturkatastrophen verursachen in den vergangenen zehn Jahren durchschnittlich hingegen einen Schaden von 208 Milliarden Dollar. Die Schäden, die aus digitalen Angriffen auf Unternehmen in Deutschland herrühren, können nur teilweise konkretisiert werden: Wenn durch Patentverletzungen und Plagiate Umsatzverluste eintreten und Gewinne entgehen, lässt sich der Schaden nur schwer zu beziffern. Kosten für Ermittlungs- und Ersatz- und Wiederherstellungsmaßnahmen oder Bußgelder hingegen sind in der Regel konkret darstellbar. Der durchschnittliche in Deutschland gemeldete Schaden beträgt laut dem Versicherer Allianz etwa zwei Mio. Euro.
  • Reputations- und Vertrauensverlust: Werden IT-Störungen öffentlich bekannt, müssen Unternehmen auch mit Reputationsverlusten rechnen, die aus negativer Medienberichterstattung herrühren können. Kunden wie Lieferanten nehmen möglicherweise Abstand zum Unternehmen. Möglicherweise verlassen auch Mitarbeiter in Folge das Unternehmen, weil sie das Vertrauen in die Geschäftsführung verlieren, die Probleme angemessen zu adressieren. Sie fürchten möglicherweise auch um ihr eigenes berufliches Ansehen und damit um ihre Karriere. Die aufgrund von Erpressung gezahlten Geldbeträge können vergleichsweise gering ausfallen gegenüber den Schäden, den aus einem Vertrauensverlust der Mitarbeiter entstehen können.
Informationssicherheit
Kostenlose Brainloop Demo: Jetzt Demo vereinbaren!

Das könnte Sie auch interessieren:

Information Security Management System @ Brainloop
Information Security Management System @ Brainloop

Ein allumfassendes Sicherheitskonzept fängt nicht erst bei der Software an, sondern fordert auch technische und organisatorische Maßnahmen im Unternehmen...

Weiterlesen
Cybersecurity bei Schweizer Unternehmen: Akuter Handlungsbedarf
Cybersecurity bei Schweizer Unternehmen: Akuter Handlungsbedarf

Nur die Hälfte der Schweizer Unternehmen verfügt über eine Informationsschutzstrategie. Und nur ein Bruchteil prüft sie auf Effektivität!

Weiterlesen
Modern Governance schafft einen neuen Ansatz in der Unternehmensführung
Modern Governance schafft einen neuen Ansatz in der Unternehmensführung

Die Digitalisierung verändert die Geschäftswelt und verlangt nicht nur im Tagesgeschäft, sondern auch auf Führungsebene ein Umdenken. Mit Modern Governance..

Weiterlesen
Wo ein Information-Rights-Management zum Einsatz kommen sollte
Wo ein Information-Rights-Management zum Einsatz kommen sollte

Systeme für ein Information-Rights-Management können sich online wie offline auf verschiedene Schutzgegenstände und Anwendungsbereiche beziehen.

Weiterlesen

Ihre Meinung zum Thema:

Brainloop Blog: Jetzt abonnieren
New call-to-action