BEKOM CloudBetriebsgeheimnisse und geistiges Eigentumkontrolliert und geschützt in der Cloud
BEKOM Cloud bietet Schutzmechanismen für Betriebsgeheimnisse und geistiges Eigentum: Schutzbedarfsklassen, Zugriffskonzepte und Verschlüsselung für Familienunternehmen.
Warum Betriebsgeheimnisse in der Cloud besonderen Schutz erfordern
Familienunternehmen verfügen über Wissen, das über Jahrzehnte aufgebaut wurde: Fertigungsverfahren, Kundenbeziehungen, Kalkulationsmodelle und strategische Pläne. Wenn IT-Systeme in eine Cloud-Umgebung verlagert werden, stellt sich die Frage, wie dieses Wissen geschützt bleibt. BEKOM Cloud für Familienunternehmen stellt für Betriebsgeheimnisse, geistiges Eigentum und sensible Unternehmensdaten gestaffelte Schutzkonzepte bereit – von der Klassifizierung über Zugriffskonzepte bis zur Entscheidungsmatrix.
Der Schutz von Betriebsgeheimnissen und geistigem Eigentum ist für Familienunternehmen geschäftskritisch, da Fertigungswissen und Kundenbeziehungen oft den Kern der Wettbewerbsfähigkeit darstellen. Regulatorische Anforderungen nach dem Geschäftsgeheimnisgesetz (GeschGehG) machen auditfähige Dokumentation von Schutzmaßnahmen zur Compliance-Voraussetzung.
Der Schwerpunkt liegt auf konzeptionellen Leitplanken: Welche Daten erfordern welchen Schutz, wer darf worauf zugreifen und wie lässt sich die Einhaltung dieser Vorgaben dokumentieren? Diese Fragen sollten Geschäftsführung und IT-Leitung gemeinsam beantworten, bevor technische Maßnahmen konfiguriert werden.
Schutzbedarf im Familienunternehmen
Familienunternehmen unterscheiden sich von börsennotierten Konzernen: Das Unternehmenswissen ist häufig eng mit der Familie verbunden und selten vollständig dokumentiert. Was als „Betriebsgeheimnis" im Sinne des Geschäftsgeheimnisgesetzes (GeschGehG) gilt, ist in vielen Familienunternehmen nie formell klassifiziert worden.
Schützenswerte Informationskategorien:
- Fertigungswissen: Rezepturen, Verfahrensparameter und Qualitätsprüfungen – über Generationen verfeinert und oft nirgends vollständig festgehalten
- Kundenbeziehungen: Konditionen, Rahmenverträge und Ansprechpartner-Netzwerke mit jahrelang aufgebautem Vertrauen
- Finanzinformationen: Kalkulationsmodelle, Margen, Investitionspläne und Gesellschaftervereinbarungen
- Strategische Planungen: Markteintrittsentscheidungen, Akquisitionsziele und Nachfolgeregelungen
In einer Cloud-Umgebung müssen diese Informationen identifiziert, kategorisiert und durch technische sowie organisatorische Maßnahmen geschützt werden – vor der Migration, nicht danach.
Risiken ohne systematischen Schutz
Ohne ein definiertes Schutzkonzept für vertrauliche Daten in der Cloud entstehen Risiken, die Familienunternehmen besonders betreffen – weil der Verlust von Betriebsgeheimnissen nicht nur wirtschaftlichen Schaden bedeutet, sondern das Lebenswerk einer Familie bedroht.
Typische Risikoszenarien:
- Unkontrollierter Zugriff: Ohne rollenbasierte Zugriffssteuerung können IT-Dienstleister, ehemalige Mitarbeitende oder nicht autorisierte Personen auf vertrauliche Daten zugreifen
- Fehlende Verschlüsselung: Unverschlüsselt gespeicherte oder übertragene Daten sind bei einem Sicherheitsvorfall verwertbar
- Mangelnde Nachweisbarkeit: Ohne Protokollierung lässt sich im Schadensfall nicht feststellen, wer wann auf welche Daten zugegriffen hat
- Rechtlicher Schutzverlust: Das GeschGehG fordert „angemessene Geheimhaltungsmaßnahmen" – ohne dokumentierten Schutz verliert ein Betriebsgeheimnis seinen gesetzlichen Schutzstatus
Ein systematisches Schutzkonzept beginnt mit der Klassifizierung der Daten nach Schutzbedarf.
Schutzbedarfsklassen: Daten systematisch kategorisieren
Die Grundlage für den Schutz vertraulicher Daten ist eine systematische Klassifizierung. Nicht alle Informationen erfordern dasselbe Schutzniveau – und ein undifferenziertes Vorgehen erzeugt Aufwand ohne proportionalen Sicherheitsgewinn. Schutzbedarfsklassen definieren, welche Daten welches Schutzniveau erhalten.
Öffentliche und interne Informationen
Öffentliche Informationen sind Daten, die das Unternehmen aktiv kommuniziert: Produktinformationen, Pressemitteilungen oder allgemeine Unternehmensdarstellungen. Für diese Kategorie genügen grundlegende Schutzmaßnahmen gegen Manipulation.
Schutzanforderungen für interne Informationen:
Klassifizierung: Betriebsanleitungen, interne Prozessbeschreibungen und organisatorische Richtlinien – nicht für die Öffentlichkeit bestimmt, aber kein existenzieller Schaden bei Offenlegung
Zugriffskontrolle: Zugang auf Mitarbeitende beschränkt, keine Freigabe an externe Dienstleister ohne vertragliche Vereinbarung
Speicherung: Standardverschlüsselung in der Cloud-Umgebung ohne zusätzliche Schutzmechanismen
Diese Basisklasse deckt den größten Teil der Unternehmensdaten ab und bildet die unterste Stufe im Schutzbedarfsmodell.
Vertrauliche und streng vertrauliche Daten
Vertrauliche Daten umfassen Informationen, deren Offenlegung wirtschaftlichen Schaden verursachen würde: Kundenlisten, Kalkulationsmodelle, Vertragskonditionen. Streng vertrauliche Daten betreffen Betriebsgeheimnisse im engeren Sinne – Fertigungsverfahren, Patentanmeldungen, strategische Akquisitionspläne.
Schutzanforderungen für vertrauliche und streng vertrauliche Daten:
Zugriff: Rollenbasiert, nur für definierte Personenkreise. Zugriff auf streng vertrauliche Daten zusätzlich über Freigabeworkflows gesteuert
Verschlüsselung: Erweiterte Verschlüsselung bei Speicherung und Übertragung. Bei streng vertraulichen Daten kundenseitige Schlüsselverwaltung möglich
Protokollierung: Zugriffsprotokollierung mit Änderungshistorie für Audit-Zwecke und interne Kontrollprozesse
Die Abgrenzung zwischen „vertraulich" und „streng vertraulich" orientiert sich an der potenziellen Schadenshöhe und der Wiederherstellbarkeit der Information.
Schutzbedarfsfeststellung als Ausgangspunkt
Die Schutzbedarfsfeststellung ordnet jede Informationskategorie einer Schutzbedarfsklasse zu und definiert die resultierenden technischen und organisatorischen Maßnahmen. Dieser Prozess findet vor der Cloud-Migration statt.
Ablauf der Schutzbedarfsfeststellung:
Inventarisierung: Welche Datenbestände existieren, wo werden sie verarbeitet, wer greift darauf zu?
Klassifizierung: Zuordnung zu Schutzbedarfsklassen (öffentlich, intern, vertraulich, streng vertraulich) anhand definierter Kriterien
Maßnahmenableitung: Welche technischen und organisatorischen Schutzmaßnahmen sind pro Klasse erforderlich?
BEKOM Cloud unterstützt die Schutzbedarfsfeststellung im Rahmen des initialen Assessments. Ergebnis ist ein dokumentiertes Schutzkonzept, das als Grundlage für die Konfiguration der Cloud-Umgebung dient.
Zugriffskonzepte und Verschlüsselungsprinzipien
Die Schutzbedarfsklassen definieren, welche Daten besonderen Schutz erfordern. Zugriffskonzepte und Verschlüsselung legen fest, wie dieser Schutz technisch umgesetzt wird. Beide Mechanismen greifen ineinander und werden in der BEKOM Cloud auf Ebene der Cloud-Umgebung konfiguriert.
Rollenbasierte Zugriffskontrolle
Zugriffskontrolle in der Cloud bedeutet: Jede Person erhält genau die Berechtigungen, die für ihre Aufgabe erforderlich sind. Das Prinzip der geringsten Berechtigung (Least Privilege) reduziert das Risiko unbeabsichtigter oder unbefugter Zugriffe auf vertrauliche Daten.
Elemente der Zugriffskontrolle:
Rollenbasierte Berechtigungen: Zugriffsrechte werden über Rollen vergeben – IT-Administration, Fachabteilung, Geschäftsführung, externer Auditor
Multi-Faktor-Authentifizierung: Für vertrauliche und streng vertrauliche Daten ist ein zweiter Authentifizierungsfaktor erforderlich
Freigabeworkflows: Zugriff auf streng vertrauliche Daten erfordert eine dokumentierte Freigabe durch autorisierte Personen
Die Konfiguration der Zugriffssteuerung erfolgt gemeinsam mit dem Unternehmen während des Onboarding-Prozesses.
Verschlüsselung bei Übertragung und Speicherung
Verschlüsselung schützt Daten in zwei Zuständen: während der Übertragung (in transit) und bei der Speicherung (at rest). In der BEKOM Cloud sind beide Verschlüsselungsarten standardmäßig aktiviert.
Verschlüsselungsprinzipien:
In Transit: TLS-Verschlüsselung für alle Datenübertragungen zwischen Client und Cloud-Umgebung sowie innerhalb der Infrastruktur
At Rest: AES-256-Verschlüsselung der gespeicherten Daten auf Speicherebene
Schlüsselverwaltung: Standardmäßig durch BEKOM verwaltet. Für streng vertrauliche Daten besteht die Option kundenseitig verwalteter Schlüssel, bei der das Unternehmen die Kontrolle über die Entschlüsselung behält
Die Verschlüsselung ist in die Infrastruktur integriert und erfordert keine zusätzliche Konfiguration durch das Unternehmen.
Protokollierung und Nachweisbarkeit
Zugriffsprotokolle dokumentieren, wer wann auf welche Daten zugegriffen hat. Diese Nachweisbarkeit ist für interne Kontrollzwecke und externe Prüfungen relevant – und eine Voraussetzung für den gesetzlichen Schutzstatus von Betriebsgeheimnissen nach dem GeschGehG.
Protokollierungsumfang:
Zugriffsprotokolle: Jeder Zugriff auf vertrauliche und streng vertrauliche Daten wird mit Zeitstempel, Benutzeridentität und Aktionstyp erfasst
Änderungshistorie: Modifikationen an Dateien, Konfigurationen und Berechtigungen werden versioniert dokumentiert
Aufbewahrung: Protokolle werden nach definierten Fristen aufbewahrt und stehen für Audits und forensische Analysen zur Verfügung
Die Protokollierungstiefe wird im Schutzkonzept pro Schutzbedarfsklasse festgelegt.
Monitoring, Prävention und Entscheidungsmatrix
Schutzmaßnahmen sind nur dann wirksam, wenn ihre Einhaltung überwacht wird. Monitoring und organisatorische Regelungen ergänzen die technischen Zugriffskonzepte. Eine Entscheidungsmatrix hilft Geschäftsführung und IT-Leitung, den passenden Schutzumfang für jede Datenkategorie festzulegen.
Anomalie-Erkennung und Datenabfluss-Prävention
Monitoring in der Cloud-Umgebung erkennt Zugriffsmuster, die vom definierten Normalverhalten abweichen. Zugriffe auf vertrauliche Datenbestände außerhalb der Geschäftszeiten, aus nicht autorisierten Netzwerken oder in unüblichem Umfang werden identifiziert und an die zuständigen Stellen gemeldet.
Monitoring-Komponenten:
Zugriffs-Monitoring: Automatische Erkennung ungewöhnlicher Zugriffsmuster auf klassifizierte Datenbestände
Volumen-Überwachung: Ungewöhnlich hohe Datenexporte oder Downloads werden als potenzieller Datenabfluss erkannt
Schwellenwerte: Reaktionsschwellen werden im Schutzkonzept definiert – je nach Schutzbedarfsklasse mit unterschiedlicher Sensitivität
BEKOM Cloud stellt die technische Monitoring-Infrastruktur bereit. Die Definition der Schwellenwerte und Reaktionsprozesse erfolgt gemeinsam mit dem Unternehmen.
Organisatorische Schutzmaßnahmen
Technische Maßnahmen allein reichen nicht aus. Organisatorische Regelungen stellen sicher, dass die definierten Schutzkonzepte im Unternehmensalltag eingehalten werden.
Organisatorische Maßnahmen:
Vertraulichkeitsvereinbarungen: Alle Personen mit Zugriff auf vertrauliche Daten – intern wie extern – unterzeichnen Vertraulichkeitsvereinbarungen
Sensibilisierung: Regelmäßige Information der Mitarbeitenden über den Umgang mit vertraulichen Daten und aktuelle Bedrohungsszenarien
Prozesse für Personalwechsel: Bei Austritt werden Zugriffsrechte zeitnah entzogen und Zugriffsprotokolle geprüft
Regelmäßige Überprüfung: Schutzbedarfsklassifizierung und Zugriffsrechte werden in definierten Intervallen überprüft und bei Bedarf angepasst
Diese Maßnahmen liegen in der Verantwortung des Unternehmens. BEKOM unterstützt bei der technischen Umsetzung von Zugriffsentzügen und der Bereitstellung von Audit-Dokumentation.
Entscheidungsmatrix für den Schutzbedarf
Die Entscheidungsmatrix verbindet Schutzbedarfsklassen mit konkreten Maßnahmen und unterstützt die Geschäftsführung bei der Festlegung des Schutzumfangs.
Entscheidungskriterien:
Schadenshöhe bei Offenlegung: Reputationsschaden, wirtschaftlicher Verlust, rechtliche Konsequenzen – wie hoch ist der potenzielle Gesamtschaden?
Wiederherstellbarkeit: Ist die Information nach Offenlegung noch verwertbar oder endgültig kompromittiert?
Personenkreis: Wie viele Personen benötigen Zugriff – je kleiner der Kreis, desto höher der Schutzbedarf
Regulatorische Anforderungen: Bestehen branchenspezifische oder gesetzliche Vorgaben für diese Datenkategorie?
BEKOM Cloud ermittelt die Schutzbedarfsklassifizierung im initialen Assessment gemeinsam mit dem Unternehmen. Das Ergebnis ist ein dokumentiertes Schutzkonzept als Grundlage für Zugriffssteuerung, Verschlüsselung und Monitoring.
Kostentreiber beim Eigenbetrieb von IP-Schutz-Systemen
Der Eigenbetrieb von Schutzkonzepten für Betriebsgeheimnisse und geistiges Eigentum verursacht variable Aufwände, die schwer planbar sind.
Wesentliche Kostentreiber entstehen durch die kontinuierliche Anpassung von Klassifizierungsregeln und Zugriffsrechten, wenn sich Geschäftsprozesse oder Organisationsstrukturen ändern. Assessment-Zyklen zur Bewertung neuer Bedrohungslagen sowie die Dokumentation von Schutzmaßnahmen für Compliance-Nachweise binden erhebliche interne Ressourcen. Die Kostenstruktur wird zusätzlich durch unvorhergesehene Sicherheitsvorfälle belastet, die forensische Analysen und Systemhärtungen erfordern. BEKOM Cloud bietet für den Schutz von Betriebsgeheimnissen eine Monatspauschale, die diese variablen Aufwände in planbare Betriebskosten überführt und gleichzeitig kontinuierliche Weiterentwicklung der Schutzkonzepte gewährleistet.
Verwandte Themen: Schutz von Betriebsgeheimnissen verzahnt sich mit Cyber-Risiko-Reporting für Familienunternehmen und Cloud-Governance & Rollen; die Managed-Sicht für Bedrohungserkennung ist unter Managed SOC beschrieben.
Häufige Fragen zum Schutz von Betriebsgeheimnissen in der Cloud
Welche Daten gelten als Betriebsgeheimnisse?
Nach dem Geschäftsgeheimnisgesetz (GeschGehG) gilt eine Information als Betriebsgeheimnis, wenn sie nicht allgemein bekannt ist, wirtschaftlichen Wert besitzt und durch angemessene Geheimhaltungsmaßnahmen geschützt wird. Für Familienunternehmen umfasst das typischerweise Fertigungsverfahren, Kundenkonditionen, Kalkulationsmodelle, strategische Planungen und Gesellschaftervereinbarungen. Die systematische Schutzbedarfsfeststellung dokumentiert, welche Informationen diesen gesetzlichen Schutzstatus haben und welche Maßnahmen erforderlich sind.
Wie schützt BEKOM Cloud Betriebsgeheimnisse technisch?
BEKOM Cloud kombiniert mehrere Schutzmechanismen: rollenbasierte Zugriffskontrolle mit Multi-Faktor-Authentifizierung, AES-256-Verschlüsselung bei Speicherung und TLS-Verschlüsselung bei Übertragung, Zugriffsprotokollierung und automatisiertes Monitoring für Anomalie-Erkennung. Die konkreten Schutzmaßnahmen werden pro Datenkategorie im initialen Assessment festgelegt. Für streng vertrauliche Daten besteht die Option kundenseitig verwalteter Schlüssel, bei der das Unternehmen die Kontrolle über die Entschlüsselung behält.
Wer hat Zugriff auf vertrauliche Daten in der BEKOM Cloud?
Die Zugriffskontrolle folgt dem Prinzip der geringsten Berechtigung: Jede Person erhält ausschließlich die Rechte, die ihre dokumentierte Aufgabe erfordert. Zugriffsrollen werden gemeinsam mit dem Unternehmen definiert und regelmäßig überprüft. BEKOM-Mitarbeitende haben administrativen Zugriff auf die Infrastrukturebene – nicht auf die Inhaltsebene der Kundendaten. Alle Zugriffe werden protokolliert und sind für interne Kontrollen und externe Audits nachvollziehbar.
Wie wird die Verschlüsselung umgesetzt?
BEKOM Cloud verschlüsselt Daten standardmäßig bei Übertragung (TLS) und Speicherung (AES-256). Die Verschlüsselung ist in die Infrastruktur integriert und erfordert keine Konfiguration durch das Unternehmen. Für Daten mit erhöhtem Schutzbedarf besteht die Option kundenseitig verwalteter Schlüssel – das Unternehmen kontrolliert die Entschlüsselung eigenständig. Die Konfiguration und Schlüsselverwaltung werden im Schutzkonzept dokumentiert.
Können Betriebsgeheimnisse durch Cloud-Nutzung gefährdet werden?
Die Cloud-Nutzung selbst ist keine Gefährdung – eine fehlende Schutzstrategie dagegen schon. Ohne definierte Schutzbedarfsklassen, Zugriffskonzepte und Monitoring fehlen die „angemessenen Geheimhaltungsmaßnahmen", die das GeschGehG für den gesetzlichen Schutzstatus fordert. BEKOM Cloud adressiert dieses Risiko durch ein strukturiertes Schutzkonzept, das vor der Migration erarbeitet wird und die Anforderungen des GeschGehG erfüllt.
Wie aufwendig ist die Einführung eines Schutzkonzepts?
Die Schutzbedarfsfeststellung ist integrierter Bestandteil des BEKOM Cloud Assessments – kein separates Projekt. BEKOM moderiert den Klassifizierungsprozess, stellt die Analysemethodik bereit und dokumentiert die Ergebnisse als Schutzkonzept. Der Aufwand für das Unternehmen beschränkt sich auf die Bereitstellung relevanter Informationen über Datenbestände und Zugriffsanforderungen. Die technische Umsetzung der Schutzmaßnahmen erfolgt durch BEKOM.
Wie unterscheidet sich BEKOM Cloud von Hyperscaler-Anbietern beim Datenschutz?
BEKOM Cloud verarbeitet und speichert Daten ausschließlich in deutschen Rechenzentren – kein Datentransfer in Drittstaaten, keine Anwendbarkeit des US Cloud Act. Zugriffskonzepte und Schutzbedarfsklassen werden gemeinsam mit dem Unternehmen konfiguriert, nicht standardisiert vorgegeben. BEKOM-Mitarbeitende haben keinen inhaltlichen Zugriff auf Kundendaten. Alle implementierten Schutzmaßnahmen werden dokumentiert und sind für interne Kontrollen und externe Auditoren nachvollziehbar.
Welche Dokumentation erhalten Unternehmen für Compliance-Nachweise?
BEKOM Cloud stellt Dokumentation für interne Kontrollen und externe Prüfungen bereit: Zugriffsprotokollierung mit Zeitstempel und Benutzeridentität, Verschlüsselungsnachweise, Konfigurationsdokumentation der implementierten Schutzmaßnahmen und eine Übersicht der definierten Schutzbedarfsklassen. Bei Bedarf unterstützt BEKOM die Zusammenstellung der Nachweisdokumente für spezifische Audit-Anforderungen. Weiterführende Informationen zur Nachweisführung bietet der Compliance-Leitfaden unter BEKOM Cloud für den Mittelstand.
Welche Kosten entstehen für den Schutz von Betriebsgeheimnissen in der Cloud?
Die Kosten für IP-Schutz-Systeme setzen sich aus der initialen Klassifizierung bestehender Datenbestände und der laufenden Überwachung von Zugriffsrechten zusammen. BEKOM Cloud kalkuliert diese Leistungen als monatliche Pauschale, die Klassifizierungstools, Monitoring-Systeme und regelmäßige Compliance-Prüfungen umfasst. Zusätzliche Kosten können durch erweiterte Forensik-Funktionen oder branchenspezifische Zertifizierungsanforderungen entstehen. Die Preisgestaltung orientiert sich am Datenvolumen und der Anzahl der zu überwachenden Benutzergruppen.
Können wir vom Cloud-basierten IP-Schutz wieder zum Eigenbetrieb zurückkehren?
Ein Wechsel zurück zum Eigenbetrieb ist möglich und wird durch standardisierte Datenformate und dokumentierte Klassifizierungsregeln unterstützt. BEKOM Cloud stellt alle Konfigurationsdaten der Schutzrichtlinien sowie Audit-Logs in exportierbaren Formaten bereit. Die Rückführung umfasst die Übertragung von Zugriffsmatrizen, Klassifizierungskatalogen und Monitoring-Konfigurationen. Während der Übergangszeit können beide Systeme parallel betrieben werden, um Kontinuität der Schutzmaßnahmen sicherzustellen. Der Prozess wird durch ein strukturiertes Exit-Konzept begleitet, das potenzielle Risiken minimiert.
Nächste Schritte
Der Einstieg beginnt mit einem Schutzbedarfs-Assessment: Gemeinsam mit BEKOM identifizieren Sie die schützenswerten Informationsbestände, definieren Schutzbedarfsklassen und erarbeiten das dokumentierte Schutzkonzept für Ihre Cloud-Umgebung.
Das Assessment für Betriebsgeheimnisse und IP-Schutz liefert eine strukturierte Bestandsaufnahme bestehender Datenklassifizierungen und identifiziert Schutzlücken in aktuellen Zugriffskonzepten. Die Analyse umfasst eine Empfehlung für gestaffelte Schutzmaßnahmen sowie ein Service-Design-Dokument, das Klassifizierungsregeln, Monitoring-Konzepte und Compliance-Nachweise für das Geschäftsgeheimnisgesetz definiert. Sie erhalten Klarheit über den Implementierungsaufwand und eine Architektur-Empfehlung für den langfristigen Schutz Ihres geistigen Eigentums.
Schutzbedarfs-Assessment anfragen
Kontaktieren Sie BEKOM für ein unverbindliches Schutzbedarfs-Assessment. Gemeinsam mit Ihrem Team erfasst BEKOM die relevanten Datenbestände, klassifiziert den Schutzbedarf und identifiziert die erforderlichen technischen und organisatorischen Maßnahmen für Ihre Cloud-Umgebung.
Schutzkonzept erarbeiten
Auf Basis des Assessments erarbeitet BEKOM ein dokumentiertes Schutzkonzept: Schutzbedarfsklassen, Zugriffsrollen, Verschlüsselungsrichtlinien und Monitoring-Schwellenwerte – abgestimmt auf die spezifischen Anforderungen Ihres Familienunternehmens und die Vorgaben des Geschäftsgeheimnisgesetzes.
Cloud-Umgebung konfigurieren
Nach Ihrer Freigabe konfiguriert BEKOM die Cloud-Umgebung gemäß dem erarbeiteten Schutzkonzept: Zugriffskontrolle, Verschlüsselung, Monitoring und Protokollierung. Sie erhalten die vollständige Dokumentation für Ihre Compliance-Unterlagen und internen Kontrollprozesse.