2.4. Lokale Anforderungen der Geschäftsbereiche an den Informationsschutz

Im Rahmen der Analyse zur Informationssicherheit und Handhabung von Informationsrisiken wurden auch die besonderen Anforderungen der Geschäftsbereiche zum Thema Informationsschutz erfasst. Die geäußerten Anforderungen haben alle einen eher operativen Charakter und sind häufig darauf ausgerichtet, kurzfristige Probleme in Betrieben und Projekten zu lösen. Gelegentlich werden Bedenken in Bezug auf eine mögliche Überregulierung durch Maßnahmen des Informationsschutzes geäußert, die operative Abläufe hemmen und verkomplizieren kann.

Die landesspezifischen Anforderungen lassen sich prinzipiell in vier Kategorien gliedern:

1. Schutz der als schutzbedürftig klassifizierten Informations-Assets wie CAD-Zeichnungen, Vertragsunterlagen, technische Beschreibungen etc., z.B. beim Austausch mit externen Vertragspartnern.
2. Schutz des physischen und logischen Zugriffes auf Daten in Projektumgebungen, um den Informationsabfluss durch nicht-autorisierten Zugriff, Kopieren von Datenträgern und den Druck von Datei zu vermeiden.
3. Kontrolle von Informationen und anderer Interna in nach extern ausgelagerten Kernprozessen, die aufgrund landesspezifischer Rahmenbedingungen weitergegeben werden müssen.
4. Offenlegen von Informationen gegenüber Behörden entsprechend dem Prinzip so viele Informationen wie notwendig, aber nicht mehr als die nötigen zur Verfügung zu stellen.

Die Notwendigkeit den eigenen Geschäftsprozess auf Schwachstellen zu durchleuchten und systematisch Risiken zu identifizieren wurden in der Regel nicht gesehen.