Die Digitalisierung hat es ermöglicht, Einkaufsdaten schneller als je zuvor zu erfassen und zu analysieren, was Unternehmen einen erheblichen Vorteil verschaffen kann. Allerdings wächst mit der Datenmenge auch die Herausforderung, diese effektiv zu verwalten und zu schützen.
Daten sind nicht gleich Daten
Während einige Informationen in der Einkaufsabteilung ohne Bedenken veröffentlicht werden können, wie allgemeine Marktanalysen oder Produktbeschreibungen, gibt es andere, deren Offenlegung oder Verlust gravierende Auswirkungen haben könnte. Dazu zählen etwa exklusive Einkaufskonditionen oder unveröffentlichte Produktentwicklungen. Die Sensibilität dieser Informationen erfordert umfassende Sicherheitsmaßnahmen. Eine effektive Datenklassifizierung hilft Einkaufsteams, die Bedeutung von Informationen zu bewerten und entsprechende Schutzmaßnahmen zu ergreifen. Doch was bedeutet „Datenklassifizierung“?
Datenklassifizierung im Einkauf
Die Datenklassifizierung ist ein fortlaufender Prozess, durch den Informationen nach ihrer Vertraulichkeit kategorisiert werden. Dies ist entscheidend, um festzulegen, welche Teammitglieder oder externen Partner Zugang zu spezifischen Daten erhalten und wie diese Informationen während der Bearbeitung, Speicherung und Übermittlung zu schützen sind. Außerdem lassen sich durch die Datenklassifizierung potenzielle Schwachstellen im Sicherheitssystem aufdecken, was die Identifikation und Abwehr möglicher Risiken erleichtert.
Denn auf Basis dieser Einteilung lassen sich passende Zugriffsbeschränkungen und Überwachungsmethoden für jede Datenkategorie festlegen. Das vereinfacht nicht nur Handhabung von Informationen, sondern stärkt auch das Risikomanagement innerhalb der Einkaufsabteilung. Darüber hinaus ist die Datenklassifizierung essenziell, um die Transparenz zu wahren und die Compliance im Beschaffungswesen sicherzustellen.
Die vier Sicherheitsstufen der Datenklassifizierung
Die Klassifizierung von Daten folgt in der Regel vier Sicherheitsstufen:
1. Frei zugängliche Daten: Diese sind allgemein zugänglich und beinhalten keine sensiblen Informationen. Beispiele hierfür sind Werbematerialien oder Produktkataloge.
2. Eingeschränkt zugängliche Daten: Solche Informationen sind ausschließlich für das interne Team bestimmt und dürfen nicht öffentlich gemacht werden. Dazu gehören interne Kommunikation, Listen von Lieferanten oder Details zu Beschaffungsstrategien.
3. Vertrauliche Daten: Diese Kategorie umfasst Daten, die nur einem ausgewählten Personenkreis zugänglich sein dürfen, wie bestimmten Mitarbeitern oder autorisierten Partnern. Beispiele sind detaillierte Preislisten und Vertragskonditionen.
4. Streng vertrauliche Daten: Zu dieser höchsten Stufe der Vertraulichkeit zählen Daten, deren Offenlegung das Unternehmen oder seine Geschäftsbeziehungen ernsthaft schädigen könnte. Hierzu zählen beispielsweise exklusive Verhandlungsdetails. Zugang zu diesen Informationen haben nur besonders autorisierte Personen.
Dies macht deutlich, dass unsichere Cloud-Dienste oder E-Mails im Einkauf nicht immer das geeignete Kommunikationsmittel sind. Vielmehr kommt es auf den Informationsgehalt und das damit verbundene Risiko für das Unternehmen an, ob E-Mail & Co. angemessenen Schutz der Daten bieten oder weitere Vorkehrungen zu treffen sind.
Vielschichtiger Schutz für sensible Daten
Von der aktiven Verarbeitung sensibler Informationen bis hin zu ihrer Übertragung – jede Phase birgt besondere Risiken und Herausforderungen, für die es ebenfalls unterschiedliche Schutzmechanismen gibt.
1. Verschlüsselte Datenübertragung: Die Verschlüsselung der Daten während der Übertragung („Data in Transit“) verhindert, dass sensible Beschaffungsinformationen von Unbefugten eingesehen oder abgefangen werden können.
2. Verschlüsselte Speicherung: Um Daten im Ruhezustand („Data at Rest“) zu schützen, ist ihre Verschlüsselung unerlässlich. Besonders sicher ist es, wenn jede Datei individuell verschlüsselt wird. Selbst bei Zugriff auf die Daten wäre es für Unbefugte äußerst aufwendig, jede Datei separat zu entschlüsseln.
3. Versiegelte Verwaltung: Die versiegelte Verwaltung dient dem Schutz der Daten während der Verarbeitung („Data in Use“). Hier greifen mehrere Mechanismen ineinander:
- Beim Systemstart wird die Hardware auf Integrität überprüft, um sicherzustellen, dass nur vertrauenswürdige Komponenten verwendet werden.
- Es gibt keinen Key Ring oder Master Key, mit dem sämtliche Daten entschlüsselt werden können. Zugriffsrechte sind individuell geregelt.
- Ein individuelles Tracking findet nicht statt.
4. Versiegelte Verarbeitung: Die versiegelte Verarbeitung dient ebenfalls dem Schutz der Daten während der Verarbeitung. Dafür werden mehrere Vorkehrungen getroffen:
- Sowohl Serviceanbieter als auch Administratoren sind von den Daten ausgeschlossen, was hard- und softwareseitig sichergestellt wird.
- Bei Anzeichen eines Sicherheitsvorfalls fährt das System automatisch herunter.
- Beim Abschalten des Systems werden alle Daten unwiderruflich von den flüchtigen Speichern gelöscht.
- Die Sicherheit der verwendeten Software-Komponenten wird bereits beim Systemstart gewährleistet, um Manipulationen zu unterbinden.
Es ist sinnvoll, auf eine Technologie wie die Sealed Cloud von idgard zu setzen, die alle vier Stufen abdeckt und zu jedem Zeitpunkt für die Sicherheit der Daten sorgt – sei es im Ruhezustand, bei der Übertragung oder während der Nutzung. Eine solche Lösung genügt höchsten Anforderungen und verhindert unautorisierte Zugriffe mit technischen Mitteln. Für den Bereich der Beschaffung ist eine derartig umfassende Absicherung unerlässlich, um den Schutz sensibler Daten zu gewährleisten.
Datenklassifizierung ist unverzichtbar
Eine gezielte Datenklassifizierung ist fundamental für die Absicherung kritischer Einkaufs- und Beschaffungsinformationen. Sie ermöglicht die gezielte Implementierung von Schutzmaßnahmen, um die Sicherheit unternehmenskritischer Daten zu gewährleisten. Eine Klassifizierung allein bietet zwar keinen Schutz vor Cyberangriffen und löst auch nicht jede rechtliche Herausforderung, sie ist jedoch eine gute Grundlage für eine robuste Datensicherheitsstrategie. Eine sorgfältige Kategorisierung von Informationen ist somit ein Muss für jede Organisation, die den Schutz ihrer geschäftskritischen Daten ernst nimmt.
Sichere Cloud-Speicherlösungen
Mit Fokus auf Datenschutz:
Idgard: hochsichere Cloud-Dienste & virtuelle Datenräume vom TÜV Süd
Tresorit: Schweizer Unternehmen, das Zero-Knowledge-Verschlüsselung und DSGVO-Konformität anbietet.
ProtonDrive: Schweizer Unternehmen mit Fokus auf Sicherheit und Privatsphäre.
Sync.com: Kanadisches Unternehmen mit Zero-Knowledge-Verschlüsselung und Open-Source-Code.
SpiderOak: US-amerikanisches Unternehmen mit Zero-Knowledge-Verschlüsselung und Open-Source-Code.
Boxcryptor: Deutsches Unternehmen mit Zero-Knowledge-Verschlüsselung für verschiedene Cloud-Anbieter.
Mit Fokus auf deutsche Compliance:
IONOS Cloud: Deutsches Unternehmen mit deutschem Rechenzentrum und TÜV-Zertifizierung.
PlusServer Cloud: Deutsches Unternehmen mit deutschem Rechenzentrum und DSGVO-Konformität.
Open Telekom Cloud: Deutsche Telekom-Tochter mit deutschem Rechenzentrum und ISO/IEC 27001-Zertifizierung.
(Redaktionelle Auswahl erhebt keinen Anspruch auf Vollständigkeit.)