Informationssicherheit im Übersetzungsprozess

1

12.11.2014

RWS Group - www.rws-group.de

tekom Jahrestagung 2014 – Informationssicherheit im Übersetzungsprozess

2

12.11.2014



Die Frage nach Informationssicherheit wird spätestens seit der NSA-Affäre

auch in Unternehmen zunehmend öfter gestellt. Im Vortrag werden die sich

hieraus ergebenden Anforderungen für Übersetzungsdienstleister und ihre

Auftraggeber anhand der Vorgaben der ISO 27001 vorgestellt. Neben den

formalen Anforderungen im Bereich der Prozessgestaltung, Aspekten der

physischen Sicherheitseinrichtungen und der IT werden auch die speziellen

Besonderheiten beim Einsatz von Freelancern in gesicherten Prozessen

diskutiert und praxisnahe Lösungsansätze aufgezeigt.

12.11.2014

RWS Group - www.rws-group.de 3


Informationssicherheit betrifft jedes Unternehmen, dass im Wettbewerb steht.

An Informationen über geplante Produkte oder Dienstleistungen, über

Produktionsprozesse oder Kampagnen interessieren sich nicht nur große

Organisationen sondern auch Wettbewerber. Darüber hinaus gibt es

Informationen und Daten, für die es gesetzliche Vorschriften zum Bereich

Informationsschutz gibt.

Aus diesem Grund wenden sich immer mehr Unternehmen dem Thema

Informationssicherheit zu und erarbeiten bspw. auf Basis der ISO 27001

Konzepte zum Schutz der Informationssicherheit.

Unternehmen, die ihre Produkte oder Dienstleistungen global anbieten, oder

die über global aufgestellte Lieferantenbeziehungen verfügen, oder die selbst

international aufgestellt sind benötigen dann auch für die Übersetzung

vertraulicher oder geheim zuhaltender Informationen Konzepte zur

Informationssicherheit im Übersetzungsprozess.

12.11.2014



Um ein informationsgesicherte Übersetzungsprozesse zu gestalten bedarf es

immer zuerst einer Risikoanalyse. Hierbei werden die vorhandenen Prozesse

genau analysiert und Gefährdungen, Schadenswahrscheinlichkeit und die

Höhe des möglichen Schadens ausgewertet. Dabei sind nicht nur die internen

Prozesse zu berücksichtigen, sondern auch alle Prozesse bei externen

Dienstleistern und natürlich auch auf den verwendeten Übertragungswegen.

Entsprechend der ermittelten Risiken sind dann geeignete und wirtschaftlich

sinnvolle Maßnahmen zu planen und umzusetzen.

12.11.2014



12.11.2014



Informationssicherheit ist nicht nur IT-Sicherheit. Informationssicherheit

bezieht sich sowohl auf technische wir auch auf prozessuale Aspekte. Ziel ist

es, Informationen sowohl vor unbefugtem zugriff zu schützen als auch die

Informationen zu rechten Zeit am rechten Ort zur Verfügung stellen zu

können. Informationen, die so sicher geschützt sind, dass sie auch

berechtigte Stellen nicht mehr nutzen können sind wertlos.

Für die Betrachtung der Informationssicherheit lassen sich mehrere

Perspektiven definieren:

1. Datensicherheit

2. Ausspähschutz

3. Zugriffkontrolle

4. Datenübertragung

12.11.2014



Die Perspektive Datensicherheit bezieht sich auf den Schutz von Daten und

Informationen vor Verlust und somit auch auf die Verfügbarkeit von Daten.

12.11.2014



Ein Verlust von Daten kann sowohl durch Schäden in und an den IT-

Systemen ergeben. Beispiele hierfür sind das Löschen oder Überschreiben

von Daten. Hier gibt es eine Vielzahl von bewährten Lösungen für Backups,

die auch in den meisten Unternehmen bereits fest etabliert sind.

Neben den reinen Backups von Daten zu einem bestimmten Zeitpunkt bedarf

es auch einer Versionierung von Daten. Hierbei wird sichergestellt, dass man

überprüfen kann ob die verwendeten Daten auch dem gewünschten Stand

entsprechen. Sinnvollerweise werden daher die Daten sowohl mit einer

definierten Versionierung versehen und an definierten Orten gespeichert, so

dass jederzeit erkennbar ist, ob möglicherweise ein aktuelleres Dokument

vorhanden ist.

Wichtig ist es, die Funktionalität der eingesetzten Systeme auch für einen

möglichen Schadensfall zu testen. In der Praxis haben viele IT-Abteilungen

unerwartete viele Probleme Daten von Backupmedien wiederherzustellen.

12.11.2014



Ein weiteres Risiko besteht im Verlust oder in der Beschädigung der

physischen Datenträger. Dies betrifft sowohl elektronische Systeme als auch

bspw. Informationen auf Papier.

Die größten Risiken bestehen im Verlust durch Einbruch Diebstahl oder dem

verlieren bspw. von mobilen Geräten, der Beschädigung durch Feuer oder

andere äußerer Umwelteinflüsse wie bspw. Hochwasser oder Sturm.

Je nach Risikobewertung sind hier entsprechende Vorkehrungen zu treffen.

Beispiele sind:

• Feuersicherer Tresor für Backupdaten in einer anderen Brandschutzzone

• Verlegen des Serverraumes in höhergelegene Räumlichkeiten

• Installation von Schutzanlagen gegen Überspannungsschäden

• Installation von Alarmanlagen

• Verschlüsselung von Datenträgern, insb. bei mobilen Geräten.

Neben der Umsetzung technischer Schutzmaßnahmen empfiehlt es sich auch

geeignete Prozesse für das Verhalten im Schadensfall vorzusehen und mit

den betreffenden Personen einzuüben.

12.11.2014



In der zweiten Perspektive betrachten wir die Risiken hinsichtlich des

Ausspähens von Informationen.

12.11.2014



Informationen können heutzutage auch über große Entfernungen abgegriffen

werden. So ist es bspw. bereits möglich aus den Bewegungen von Blättern

von Grünpflanzen in einem Büro die dort gesprochenen Worte abzuhören.

Dementsprechend ist durch geeignete Maßnahmen, wie speziellen

Sichtschutzfolien dafür zu sorgen, dass keine Einsicht von Außen in

geschützte Bereiche möglich ist.

Auch innerhalb der Gebäude sollte zwischen Arbeitsplätzen ein Sichtschutz

angebracht werden, damit sichergestellt werden kann, dass der

Personenkreis, der Zugriff auf geschützte Informationen hat möglichst klein

bleibt. Neben einem Sichtschutz sind ggf. auch geeignete Maßnahmen gegen

unbeabsichtigtes Mithören zu treffen.

Besonders beim Arbeiten außer Haus sind besondere Vorkehrungen zu

treffen. Allzu oft sieht man auch ohne es zu beabsichtigen auf die Bildschirme

von arbeitenden Personen in Flugzeugen oder in der Bahn. Hier können

spezielle Schutzfolien Abhilfe schaffen. Besser ist es natürlich, zu schützende

Informationen nicht in öffentlichen Bereichen abzurufen.

12.11.2014



Die Einführung eines Besuchermanagements dient zum einen dazu einen

Überblick zu bekommen, welche betriebsfremden Personen anwesend sind

und zu welchen Bereichen Sie Zugang haben. Es ist selbstverständlich, dass

Besucher nicht in Bereiche gelangen sollen, in denen zu schützende

Informationen bearbeitet werden. Hier hilft ein entsprechendes Zonenkonzept

die öffentlichen und die zu schützenden Bereiche klar abzugrenzen.

Üblich ist ferner ein Fotografierverbot zumindest in den geschützten Zonen

und die Einschränkung der Nutzung elektronischer Geräte. Es sollte

selbstverständlich sein, dass Besucher keinen Zugriff auf das

Unternehmensnetzwerk erhalten sollten. Dies bedeutet aber auch, dass es

keine entsprechenden zugangspunkte wie offene Netzwerkdosen oder ein

ungesichertes WLAN geben sollte.

Allgemein wird die Umsetzung dieser Anforderungen zunehmend schwieriger,

denn immer kleinere und unauffälligere Geräte machen so manchen

Besucher zum gewollten oder auch ungewollten Spion.

12.11.2014



Die Speicherung von Daten erscheint gemeinhin als ein üblicher Angriffspunkt

für das Ausspähen von Daten. In der Presse liest man immer wieder davon,

dass Daten die bei Internet-Providern verschiedenster Art abgelegt sind, von

Dritten ausgespäht werden. Allgemein sollten daher keine zu schützenden

Informationen auf ungeschützten Cloud-Speichern abgelegt werden.

Allgemein bedeutet dies, dass Mitarbeiter nur Cloud-Dienste einsetzen

dürfen, die zuvor vom Unternehmen geprüft und deren Verwendung explizit

zugelassen wurde.

Interessant sind hierbei die zunehmenden Tendenzen gerade auch im

Übersetzungsbereich, immer mehr Dienste in „die Cloud“ zu verlagern. Es ist

jedoch zu bedenken, dass bspw. beim Einsatz eines internetbasierten

maschinellen Übersetzungsdienstes die dort hingeschickten Informationen

schnell wieder zu nahezu kompletten Dokumenten zusammengefügt werden

können. Oft können Mitarbeiter kaum noch unterschieden, welche Dienste

lokal im unternehmensnetz verfügbar sind und welche ggf. direkt mit externen

Diensten verknüpft sind.

Um bei einem Verlust mobiler Geräte die dort gespeicherten Daten zu

schützen, müssen alle entsprechenden Datenspeicher mit einer ausreichend

starken Verschlüsselung versehen sein. Dies betrifft bspw. auch Smartphones

auf denen E-Mails mit zu schützenden Informationen zwischengespeichert

sind.

12.11.2014



In der Presse liest man immer wieder von Aktenfunden verschiedenster Art.

Um dieses zu verhindern empfiehlt es sich grundsätzlich die Zahl

anzufertigender Ausdrucke zu minimieren. Dies schont sowohl den

Geldbeutel als auch die Umwelt. Vor allem reduziert es aber den Aufwand für

eine gesicherte Entsorgung. Datenträger, sowohl physische als auch

elektronische sind so zu entsorgen, dass eine Wiederherstellung der Daten

unmöglich ist.

Dies kann man bei Papier durch entsprechendes sicheres Häckseln

erreichen.

Aber auch elektronische Datenträger wie Disketten, USB-Sticks oder

Festplatten sind vor der Entsorgung unbrauchbar zu machen.

12.11.2014



Zugriffskontrolle umfasst alle Maßnahmen mit denen man Sicherstellen kann,

dass

1. nur berechtigte Personen Zugriff auf geschützter Informationen erhalten

2. der Personenkreis, der auf geschützte Informationen tatsächlich Zugriff

erhält klein und nachvollziehbar ist.

12.11.2014



Zutrittskontrolle ist die Basis um sicherzustellen, dass unbefugte Personen

keinen Zutritt zu Bereichen erhalten, wo geschützte Informationen verfügbar

sind.

Zur Umsetzung empfiehlt die Einführung eines Zonenkonzeptes bspw mit

folgenden Zonen:

Grüne Zone: Hier gibt es keine speziellen Sicherheitsanforderungen. Es

dürfen keine vertraulichen oder geheimen Dokumente bearbeitet werden.

Gelbe Zone: Hier gibt es spezielle Sicherheitsanforderungen. Es dürfen

vertrauliche Dokumente bearbeitet werden.

Rote Zone: Hier gibt es strenge Sicherheitsanforderungen. Es dürfen

geheime Dokumente bearbeitet werden.

Jeder Wechsel von Personen, Geräten oder Datenträgern (bspw. auch

Ausdrucke) unterliegt den Anforderungen des

Informationssicherheitskonzeptes. Beispielsweise könnte dies bedeuten, dass

Ausdrucke nur in entsprechend gesicherten Transportbehältern über einen

Zonenwechsel transportiert werden dürfen.

Für den Zutritt zu einer gesicherten Zone (gelb oder rot) wird eine

entsprechende personenbezogene Zutrittssicherung eingesetzt.

Viele der in diesem Bereich einzusetzenden Prozesse und Technologien sind

in Deutschland mitbestimmungspflichtig, d.h. hier muss ggf. auch der

12.11.2014



Betriebsrat in den unternehmen einbezogen werden.


12.11.2014


Zusätzlich zur Sicherung der Bereiche müssen natürlich auch die IT-Systeme

und ggf. auch die Lager gesichert werden.

Bei der Ausgestaltung sind geeignete Identifikationslösungen bspw. über

Zwei-Faktor-Authentifizierung vorzusehen, die zum einen einen

ausreichenden Schutz gegen Angreifer bieten, auf der anderen Seie aber

auch das Verhalten der Anwender berücksichtigen. Eine Passwortrichtlinie,

die so sichere Passwörter vorsieht, die dann auch noch oft zu wechseln sind,

führt oft dazu, dass die Passwörter dann an ungesicherten Stellen notiert

werden.

Zum Schutz gegen unbefugte Zugriffe gehört aber auch die kontinuierliche

Aktualisierung der eingesetzten Systeme. Dies betrifft sowohl Updates gegen

Sicherheitslücken in Betriebssystem und Anwendungsprogrammen wie auch

die entsprechenden Updates bspw. in Routern und Firewalls.

Hilfreich ist es, die Anzahl der eingesetzten Anwendungen zu begrenzen und

insb. die Installation durch Anwender einzuschränken. Damit dies auch von

den Anwendern akzeptiert wird, empfiehlt es sich, die Ausstattung mit

Anwendungen stark an den Bedürfnissen der Anwender zu orientieren.

12.11.2014



Genau wie ein Zonenkonzept im Büro die vertraulichen und geheimen

Informationen sichern soll, braucht es auch eine Separation des Netzwerkes.

Datentransfer zwischen den Zonen darf nur auf definierten Schnittstellen

erfolgen.

12.11.2014



Oft ist es erforderlich auch vertrauliche Daten zwischen Unternehmen oder zu

einzelnen Personen zu übertragen. Grundsätzlich dürfen vertrauliche oder

geheime Daten nur verschlüsselt übertragen werden.

12.11.2014



Die einzusetzende Verschlüsselung muss den jeweils aktuellen Standards

entsprechen. Im Laufe der Zeit verlieren bestehende Lösungen ggf. durch

immer leistungsfähigere Hard- und Software ihre Schutzwirkung. Zur

Datenübertragung gehört auch die Verschlüsselung physischer Datenträger

wie bspw. USB-Sticks oder die Festplatten mobiler Geräte.

12.11.2014



Der Einsatz von Webservices gewinnt im Unternehmensalltag zunehmend an

Bedeutung. Aus Sicht der Informationssicherheit dürfen in gesicherten

Bereichen nur Webservices eingesetzt werden, die explizit als „sicher“

eingestuft werden. Die Sicherheitseinstufung dieser Dienste ist regelmäßig zu

überprüfen. Alle anderes Webservices sollten gesperrt werden.

12.11.2014



Bei einer physischen Datenübertragung bspw. über Ausdrucke sind diese in

speziell gesicherten Transportbehältern zu sichern. Zusätzlich empfiehlt sich

die Kennzeichnung vertraulicher und geheimer Informationen um den

Mitarbeitern den Status dieser Dokumente transparent zu machen.

12.11.2014



Alle im Zuge eines Informationssicherheitskonzeptes umzusetzenden

Maßnahmen basieren sowohl auf dem Einsatz von Technologien als auch auf

der Umsetzung der beteiligten Personen. Dies erfordert eine verständliche

und umsetzbare Dokumentation der von den Personen einzuhaltenden

Verhaltensregeln. Neben der Dokumentation bedarf es aber auch der

kontinuierlichen Schulung um die Aufmerksamkeit bei den Personen wach zu

halten. Trotzdem ist davon auszugehen, dass die meisten Menschen sich

allzu leicht von entsprechend geschulten Angreifern überrumpeln lassen. Dies

sollte bei der Konzeption von Sicherheitsmaßnahmen stets bedacht werden.

12.11.2014



Übersetzungsprozesse sind in vielen Unternehmen geprägt durch den

Einsatz von Übersetzungsdienstleistern und in der Folge wesentlich durch

den Einsatz freiberuflicher Übersetzer geprägt. Daraus ergeben sich

besondere Herausforderungen für die Umsetzung von Informationssicherheit.

Für die Bearbeitung von vertraulichen oder geheimen Dokumenten in diesem

Umfeld bedarf es neben der Umsetzung von technischen Lösungen zur

Datenübertragung und Speicherung vor allem auch einer genauen Festlegung

des Ablaufs der gesamten Bearbeitungskette und der steten Aufmerksamkeit

aller beteiligten Personen.

12.11.2014



Im ersten Schritt ist es der Auftraggeber, der die umzusetzenden

Anforderungen für alle weiteren Maßnahmen zur Einhaltung der

Informationssicherheit definiert. Hierzu gehört auch, dass er die Dokumente

entsprechend des Grades der Vertraulichkeit klassifiziert. Darauf aufbauend

ist dann eine entsprechende Vereinbarung mit dem Übersetzungsdienstleister

abzuschließen, in der die Maßnahmen zur Informationssicherheit festgelegt

werden. Es obliegt zudem dem Auftraggeber die Einhaltung der Maßnahmen

zu überprüfen.

Dies gilt sowohl für den Einsatz externer Übersetzungsdienstleister als auch

beim Einsatz einer internen Übersetzungsabteilung.

Auf Seiten des Übersetzungsdienstleisters ist dann ein Konzept zur

Informationssicherheit zu erstellen und umzusetzen, dass den Anforderungen

der Vereinbarung mit dem Auftraggeber genügt.

12.11.2014



Hierzu muss der Übersetzungsdienstleister in einer Vielzahl von Bereichen

technische und prozessuale Lösungen anbieten.

Bereits zwischen Auftraggeber und Übersetzungsdienstleister muss eine

sichere Datenübertragung eingerichtet werden. Je nach spezifischer

Anforderung beinhaltet dies neben dem Transfer von Dateien auch eine

Verschlüsselung bspw. von Telefonaten.

Im Innenbereich muss der Übersetzungsdienstleister für eine sichere IT-

Umgebung und eine angemessene Arbeitsumgebung bspw. durch die

Umsetzung eines Zonenkonzeptes Sorge tragen. Alle Prozesse, die mit der

Bearbeitung vertraulicher Informationen zu tun haben, sind zu dokumentieren

und die Mitarbeiter sind in der Umsetzung dieser Prozesse kontinuierlich zu

schulen. Es ist von besonderer Bedeutung, dass sich die Mitarbeiter stets

ihrer Verantwortung für die Wahrung der Informationssicherheit bewusst sind.

Verantwortung bedeutet jedoch auch, dass das Unternehmen, vertreten durch

die Unternehmensleistung, seine Prozesse so gestaltet, dass die Einhaltung

der Informationssicherheit wahrscheinlich ist. Dies umfasst insb. auch die

Auswahl der Mitarbeiter und Lieferanten. Mitarbeiter oder Lieferanten, die sich

in einer wirtschaftlich ungenügenden Situation befinden, unterliegen

möglicherweise einer zu großen Versuchung. Dies betrifft sowohl einen

möglichen Geheimnisverrat wie auch einfach der Weigerung zusätzlichen

Aufwand für die Wahrung der Informationssicherheit zu betreiben.

12.11.2014



Bei der Auswahl der Mitarbeiter oder Lieferanten bedarf es daher eines

strukturierten Prozesses. Da diese Prozesse oft einen relevanten Zeitaufwand

bedeuten, muss der Übersetzungsdienstleister hier bereits vor der Erteilung

von konkreten Aufträgen für die Bereitstellung der erforderlichen Ressourcen

sorgen. Hierzu benötigt er die entsprechende Unterstützung durch den

Auftraggeber, der ihn über seinen zu erwartenden Bedarf rechtzeitig

informiert. Es ist davon auszugehen, dass nur ein kleinerer Kreis von

Übersetzern für die Bearbeitung von vertraulichen oder geheimen

Dokumenten ad hoc zur Verfügung steht. Dies ist vor allem bei der zeitlichen

Planung von Übersetzungen durch den Auftraggeber zu berücksichtigen.

Entsprechend der Anforderungen zwischen Auftraggeber und

Übersetzungsdienstleister sind auch zwischen Übersetzungsdienstleister und

Lieferanten die erforderlichen Rahmenbedingungen in Bezug auf

Datenübertragung und sichere Arbeitsumgebung umzusetzen und zu

kontrollieren.

12.11.2014



Je nach den spezifischen Anforderungen entsprechend der Klassifizierung

der zu bearbeitenden Dokumente erhalten Mitarbeiter oder Lieferanten nach

Prüfung entsprechende Freigaben. Üblicherweise werden als unterste Ebene

einfache NDAs abgeschlossen. Für die Bearbeitung vertraulicher Dokumente

empfiehlt es sich darüber hinaus detailliertere Sicherheitsvereinbarungen mit

konkreten Verhaltensregeln abzuschließen. Für die Bearbeitung vertraulicher

Dokumente empfiehlt es sich eine noch weeitergehende

Sicherheitsvereinbarung abzuschließen, die bei Lieferanten auch eine

Überprüfung der Arbeitsumgebung beinhaltet.

12.11.2014



Die Umsetzung eines Zonenkonzeptes bedeutet oft einen nennenswerten

finanziellen Aufwand da es oft mit baulichen Veränderungen beim

Übersetzungsdienstleister verbunden ist. Zudem kann ein Zonenkonzept

auch organisatorische Veränderungen mit sich bringen. Oft arbeiten die

Mitarbeiter eines Übersetzungsdienstleisters kundenbezogen. Da aber nicht

alle Aufträge eines Kunden spezifische Anforderungen der Vertraulichkeit

haben, müssten entweder alle Aufträge eines Kunden in einer geschützten

Zone umgesetzt werden, oder die Mitarbeiter beim Übersetzungsdienstleister

wechseln je nach Auftrag ihren Arbeitsplatz oder es werden andere

Mitarbeiter je nach Klassifikation der Dokumente beim

Übersetzungsdienstleister eingesetzt. In jeder der drei Varianten entsteht ein

erhöhter Aufwand beim Übersetzungsdienstleister.

Bei der Einführung eines Zonenkonzeptes ist auch zu bedenken, dass bspw.

die entstehenden Translation Memorys vertrauliche Informationen beinhalten

können und separat von den allgemeinen Translation Memorys gehalten

werden müssen.

12.11.2014



Zur Umsetzung einer sicheren IT-Struktur bedarf es sicherer Lösungen für

den Zugriff auf Informationen und zum Schutz gegen Angriffe von Außen. In

der Praxis sind diese Lösungen kontinuierlich zu überprüfen und bspw. durch

Updates auf einem aktuellen Stand zu halten.

Da es bei der Vielzahl von verfügbaren Anwendungen und der komplexen

Interaktion zwischen diesen Anwendungen kaum möglich ist alle Szenarien

zu überprüfen, ist in geschützten Umgebungen die Anzahl der eingesetzten

Anwendungen zu minimieren. Das gleiche gilt für die Verfügbarkeit anderer

Dienste insb. wenn sie Kommunikation oder Datenspeicherung außerhalb der

geschützten Zone benötigen oder ermöglichen.

12.11.2014



Der größte Risikofaktor bei der Umsetzung von Informationssicherheit ist der

Mensch. Die Auswahl der eingesetzten Mitarbeiter oder Lieferanten verdient

daher die höchste Aufmerksamkeit. Zeitdruck bei der Mitarbeiterauswahl ist

daher auf jeden Fall zu vermeiden.

Dem Auftraggeber obliegt es dabei durch eine vorausschauende Planung

dem Übersetzungsdienstleister die Möglichkeit zu geben, die erforderlichen

Mitarbeiter frühzeitig zu rekrutieren und die jeweiligen Voraussetzungen für

den Einsatz zu schaffen. Dies umfasst auch die erforderlichen wirtschaftlichen

Spielräume die den Zusatzaufwand für die Wahrung der

Informationssicherheit abdecken.

Dem Übersetzungsdienstleister obliegt es, die Mitarbeiter und Lieferanten

kontinuierlich zu schulen. In Untersuchungen zeigt sich, dass bspw. der Erfolg

von Phishing Mails an Mitarbeiter in Unternehmen nach einer Schulung von

ca. 25 % auf 20 % sinkt. Bereits nach wenigen Wochen steigt die Zahl jedoch

wieder an.

12.11.2014



12.11.2014



34

Weitere Informationen zur Informationssicherheit im Übersetzungsprozess

erhalten Sie über

RWS Group Deutschland GmbH [email protected]

Hans Pich [email protected]

12.11.2014



mailto:[email protected]







12.11.2014


Informationssicherheit im Übersetzungsprozess

Services

Transcript of Informationssicherheit im Übersetzungsprozess