Die sogenannte EU-Know-how-Richtlinie (Richtlinie (EU) 2016/943 [1]) sollte durch die EU-Mitgliedsstaaten bis zum 9. Juni 2018 in nationales Recht umgesetzt werden. Für Deutschland liegt bisher nur der Regierungsentwurf zum »Gesetz zum Schutz von Geschäftsgeheimnissen« [2] (GeschGehG) vor, so dass bis zur Verabschiedung dieses Gesetzes die Anforderungen der Richtlinie durch richtlinienkonforme Auslegung Anwendung im deutschen Recht finden werden. Absehbar ist, dass der bisher in §§ 17 ff. UWG enthaltene Schutz von Know-how durch eine eigene Rechtsvorschrift einen höheren Stellenwert erhalten wird. Die konkrete Umsetzung dürfte jedoch Unternehmen einiges an Kopfzerbrechen bereiten.
Die erstmalige gesetzliche Definition des Geschäftsgeheimnisses in § 2 Nr. 1 GeschGehG ist nahezu identisch mit den Vorgaben der EU-Richtlinie. Dadurch müssen drei Voraussetzungen erfüllt sein, damit eine Information als Geschäftsgeheimnis gilt (und damit die Schutz- und Reaktionsmöglichkeiten durch den Inhaber genutzt werden können):
Die Information
- darf nicht »den Personen in den Kreisen, die üblicherweise mit dieser Art von Informationen umgehen, allgemein bekannt« sein, sondern muss geheim sein,
- muss einen kommerziellen Wert aufgrund der Geheimhaltung besitzen und
- muss durch »angemessene Geheimhaltungsmaßnahmen« geschützt sein.
Insbesondere der letzte Punkt dürfte zukünftig für Kopfzerbrechen sorgen: Während in Ländern mit ähnlichen Regelungen wie beispielsweise Russland konkrete Maßnahmen zum Schutz vorgegeben werden, verlässt sich der Gesetzgeber hierzulande auf eine Auslegung durch Gerichte im jeweiligen Einzelfall. Dabei wird der »Angemessenheit« der Maßnahmen eine besondere Bedeutung zukommen, zumal die Beweislast dafür beim Inhaber des Geschäftsgeheimnisses liegt.
Um den Anforderungen an ein Geschäftsgeheimnis gerecht werden zu können, sollten sich Unternehmen drei Fragen stellen:
- Identifizieren: Welche Informationen werden im Unternehmen erzeugt und genutzt?
- Bewerten: Welche Informationen sind davon schützenswert, weil sie ein Alleinstellungsmerkmal darstellen oder eine (besondere) Bedeutung für die Geschäftsprozesse beziehungsweise die Zukunft des Unternehmens haben (können)?
- Schützen: Welche Maßnahmen sind »angemessen« zum Schutz dieses Know-hows?
Identifizieren. Ausgehend von den – nach Kritikalität priorisierten – Geschäftsprozessen sollten die entsprechenden Informationen identifiziert werden, die für den jeweiligen Geschäftserfolg bedeutsam sind. Dies kann in Form von Interviews beziehungsweise Workshops mit den jeweiligen Fach- und Prozessverantwortlichen erfolgen. Dabei ist es hilfreich, sich nicht an konkrete Datenmodelle oder Datenarten zu »klammern«, sondern vielmehr in einem ersten Schritt die Information abstrakt zu beschreiben. Gerade vor dem Hintergrund, dass Informationen in verschiedensten Arten (etwa als Inhalte einer E-Mail, auf einem Flipchart oder als CAD-Datei auf dem Abteilungslaufwerk) vorkommen (und dies meist auch parallel), sollte der Fokus auf einer inhaltlichen Beschreibung der Information liegen anstelle auf der technischen Repräsentation. Im Rahmen der Erhebung ist es ratsam, den Geschäftsprozess Schritt für Schritt durchzugehen, die Informationen inhaltlich zu beschreiben und auch Ursprung und gegebnenfalls Weitergabe der Informationen zu berücksichtigen. Gerade wenn der Ursprung außerhalb des Unternehmens liegt, ist besondere Vorsicht walten zu lassen, da durch eine rechtswidrige Erlangung der Rohinformation auch das »veredelte« Geschäftsgeheimnis damit »kontaminiert« wird.
Im nächsten Schritt kann dann auf die entsprechenden Arten der unterliegenden Daten abgezielt werden. Hierbei gilt es insbesondere zu analysieren, ob die Daten in strukturierten Quellen (Datenbanken oder Applikationen) oder eher in unstrukturierten Quellen wie E-Mails, Kollaborationstools oder Filesystemen gespeichert beziehungsweise verarbeitet werden. Dabei sind auch Medienbrüche von Bedeutung, da hier regelmäßig einige Schwachstellen für den Schutz der Informationen lauern (360-Grad-Betrachtung).
Ziel dieser Phase sollte eine Gesamtschau auf alle relevanten Informationsflüsse im Unternehmen sein, um anhand des Aufkommens und der Zuordnung zu geschäftskritischen Prozessen eine Übersicht über die relevanten Informationen zu erhalten. Die Identifikation der konkreten Daten sollte im Anschluss mit Hilfe von Data-Discovery-Methoden erfolgen. Diesbezüglich bietet sich auch eine Zusammenarbeit mit dem Datenschutzbeauftragten an, da dadurch auch personenbezogene Daten im Unternehmen gefunden werden können – somit können zwei Fliegen mit einer Klappe geschlagen werden.
Bewerten. In dieser Phase sollen die Informationen mit Hilfe verschiedener Kriterien bewertet werden, so dass die schützenswerten Geschäftsgeheimnisse erkannt werden können. Dabei sind nicht nur die »Kronjuwelen« des Unternehmens von Bedeutung, also Informationen, die für das Unternehmen geschäftskritisch sind (wie etwa Rezepturen oder bestimmte Algorithmen), sondern auch die »Rohdiamanten«: Informationen, die die Grundlage für die »Kronjuwelen« darstellen oder zukünftig für das Unternehmen besondere Bedeutung erlangen können. Dabei sollte man daran denken, dass ein potenzieller Angreifer festlegt, was für ihn die »interessanten« Informationen (und damit Ziele) sind. Eine reine Beschränkung auf die »Kronjuwelen« greift dann häufig zu kurz, insbesondere bei Angriffsszenarien über längere Zeiträume, wie etwa bei Advanced Persistent Threats (APT).
Kriterien für eine Bewertung durch den jeweiligen Verantwortlichen zur Bewertung der Informationen können insbesondere sein:
- Reproduzierbarkeit der Information durch Dritte
- Auswirkungen bei Nichtverfügbarkeit beziehungsweise Fehlen der Information
- Resilienz des Geschäftsprozesses bei falschen / fehlerhaften Informationen
- Vorgaben durch Kunden beziehungsweise Lieferanten
- gesetzliche Anforderungen an die Geheimhaltung (beispielsweise bei Rüstungsgütern)
Dabei ist auch zu berücksichtigen, dass die Bewertung von Geschäftsgeheimnissen stets ein dynamischer Prozess ist, da die Einstufung der Informationen zeit- und personenabhängig zu verschiedenen Ergebnissen führen kann: ein bisher gering bewertetes Forschungsergebnis kann in Verbindung mit einer neuen Studie vielleicht zu einem Alleinstellungsmerkmal für das Unternehmen werden.
Die Klassifizierungsstufen (»vertraulich«, »geheim«, »streng geheim«) für die Informationen sollten zentral vorab festgelegt sein und mit entsprechenden Parametern hinterlegt werden. So kann eine effiziente und angemessene Ausgestaltung des Schutzes der Geschäftsgeheimnisse in Abhängigkeit von der jeweiligen Einstufung der Information erfolgen. Als Beispiel können die Kategorien für Verschlusssachen nach Geheimschutzhandbuch des BMWi dienen [3].
Schützen. Aufbauend auf den Ergebnissen der Vorphase sollten nun entsprechende »Blaupausen« für den Schutz der jeweiligen Geheimhaltungsstufen erstellt werden. Dabei ist der Dreiklang aus technischen, organisatorischen und vertraglichen Konzepten und Maßnahmen entscheidend: Für einen effektiven Schutz sollte stets darauf geachtet werden, dass Vorkehrungen aus zwei verschiedenen Kategorien komplementär zu einander sind und jede Maßnahme auch durch eine entsprechende Maßnahme aus einer anderen Kategorie überwacht wird. Häufig wird dies bei outgesourcten IT-Leistungen nicht ausreichend genug berücksichtigt, so dass sich hier regelmäßig hohe Risiken ergeben. Gleichzeitig sollten entsprechende Vertraulichkeitsvereinbarungen mit den eigenen Mitarbeitern abgeschlossen werden, um auch diese häufig offene Flanke zukünftig zu schützen.
Für einen angemessenen Schutz ist neben einer Differenzierung der Kritikalität (siehe Phase 2) auch die Orientierung am entsprechenden Stand der Technik notwendig, z. B. durch Nutzung von Standards (wie der ISO 27001), den Vorgaben des BSI oder von Verbänden wie TeleTrusT.
Gleichzeitig ist ein gewisser Grad an »Umdenken« notwendig: während bisher der Großteil der Schutzbedarfsanalyse durch den Asset-getriebenen Ansatz eher nach innen und in Bezug auf »greifbare« Systeme ausgerichtet ist, werden zukünftig informations(fluss)getriebene Ansätze vermehrt zum Einsatz kommen müssen, da Geschäftsgeheimnisse immer weniger an konkrete Assets gebunden sein werden. Dadurch bekommt eine Bewertung der Bedrohungslage eine höhere Relevanz, da die Schutzmaßnahmen angemessen sein sollen und nicht maximal wirksam.
Ausblick. Das Geschäftsgeheimnisgesetz kann und wird bei vielen Unternehmen zu Veränderungsprozessen in Bezug auf die Informationssicherheit und den Schutz der Geschäftsgeheimnisse führen, insbesondere hinsichtlich einer periodischen Betrachtung des vorhandenen und potenziell schützenswerten Know-hows. Dies ist umso bedeutsamer, als dass Unternehmen auch im Streitfall nachweisen müssen, dass entsprechende Vorkehrungen und Maßnahmen getroffen wurden. Ähnlich wie auch bei der Umstellung auf die DSGVO wird eine reine Bewertung des Schutzbedarfs der Assets zukünftig durch die Orientierung an der Bedrohungs- und Risikolage für die jeweiligen Informationen abgelöst werden. Hierfür entsprechende Ansätze, Methoden und (Regel-)Prozesse im Unternehmen zu etablieren und zu betreiben, wird in Bezug auf den Schutz von Geschäftsgeheimnissen vorrangiges Ziel sein.
Marcus Schwertz,
Senior Manager, Datenschutz,
Informationssicherheit & Compliance,
LEXTA GmbH
www.lexta.com
[1] Richtlinie (EU) 2016/943 des Europäischen Parlaments und des Rates vom 8. Juni 2016 über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung
[2] Gesetz zur Umsetzung der Richtlinie (EU) 2016/943 zum Schutz von Geschäftsgeheimnissen vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung (Regierungsentwurf v. 18. Juli 2018) (https://www.bmjv.de/SharedDocs/Gesetzgebungsverfahren/DE/GeschGehG.html)
[3] https://bmwi-sicherheitsforum.de/handbuch/text/
Illustration: © etraveler/shutterstock.com
Unternehmen in der Cloud – und wo bleibt der Know-how-Schutz?
Tipps gegen Bedrohungssituation durch Hackergruppen aus dem Ausland
Abwehr von Insider-Bedrohungen mit User and Entity Behavior Analysis auf Basis von Machine Learning