Information Governance erfordert übergreifenden Ansatz

Autor – Wolfgang Munz ist CEO und Gründer der dataglobal GmbH

Bis vor einigen Jahren lagen Informationen im Wesentlichen in vier Formen vor: als Papier im Aktenordner, als Dateien im Filesystem, als Dokumente im DMS oder Archiv oder als strukturierte Daten in Anwendungen oder Datenbanken. Während sich bei den strukturierten Daten nicht viel verändert hat, herrscht bei den unstrukturierten Daten heute Chaos. Verantwortliche in Unternehmen verzweifeln an einer Flut von Plattformen und Formaten. Neben den Klassikern Papier, Filesystem und DMS finden sich Informationen heute in Mails und Instant Messages, in Wikis und Blogs, in Social-Media- oder Filesharing-Plattformen wie Dropbox oder Google-Drive als Texte, Konversationen, Bilder, Videos und anderen Formaten. Darüber hinaus gesellen sich noch zahlreiche Orte in der Cloud zu den vorhandenen Plattformen on premise.

Aufgrund der überschaubaren Menge an Datenquellen und -formaten waren dementsprechend Archivsysteme und DMS/ECM-Systeme ausreichend, um die Anforderungen an Ordnung und Compliance weitgehend abzudecken. Heute kommen viele neue und vor allem plattformübergreifende Anforderungen aus den Bereichen Sicherheit, eDiscovery und Prozesstreue dazu.

Fokus bei Informationsmanagement verschiebt sich

Lag der Fokus in der Vergangenheit vor allem auf den passiven Aspekten des Informationsmanagements wie beispielsweise der geordneten Verwaltung oder der revisionssicheren Archivierung, rückt er heute ergänzend auf der Steuerung der Informationsflüsse, auf der Vereinheitlichung von Prozessen und der Sicherstellung der richtigen Behandlung von Informationen. Damit bedeuten diese neuen Anforderungen – zusammengefasst unter dem Schlagwort Information Governance – eine deutliche Ausweitung der Aufgaben. Der lateinische Ursprung des Begriffs Governance (lat. gubernare = steuern, lenken) macht es deutlich: Im Mittelpunkt von Information Governance steht die Steuerung des Umgangs mit Informationen. Eingerahmt wird die Steuerung von Erkennen und Verwalten.

Information Governance löst alte Systemgrenzen und Strukturen auf
Ziel ist es, einheitliche Regeln (Policies) sowohl auf technischer wie fachlicher Ebene festzulegen und durchzusetzen. Erstmals in der Geschichte der IT wird im großen Stil die fachliche Bedeutung einer Information automatisiert zum Steuerelement für die weitere IT-technische Verarbeitung. So wird man beispielsweise die folgende Regel formulieren und umsetzen können: „Alle eingehenden Verträge sind vertraulich zu behandeln, zur Prüfung an die Rechtsabteilung zu senden und für die Vertragsdauer plus 10 Jahre zu archivieren. Diese Regel soll unternehmensweit gelten und der Eingangskanal und das Format sollen dabei unerheblich sein. “ Ohne einen format-, quellen- und systemübergreifenden Ansatz wird die Umsetzung dieser Anforderung nicht gelingen. Aus dem Beispiel wird zudem deutlich, welche enorme Bandbreite an Aktionen und Prozessen gefragt ist. In unserer Beispielregel sind IT-Sicherheit, das Routing von Information sowie Archivierung betroffen.

Fachliche Ebene der Information ist entscheidend

Zwingend ergänzt werden muss dies durch zwei weitere Komponenten. Als Voraussetzung für die Steuerung einer Information muss ihre fachliche Qualität zunächst sicher erkannt werden und, damit einhergehend, welchen Wert, welche Schutzbedürftigkeit sie hat. Die schiere Menge an Information erfordert hier neben der manuellen Einordnung durch den Nutzer einen breiten Einsatz von automatischer Klassifizierung.

Während heute im Wesentlichen technische Metadaten (Größe, Alter, Format) ein Informationsobjekt begleiten, werden in Zukunft auch fachliche Metadaten wie Dokumentenklasse, Schutzbedarf, Wert sowie konkrete Zuordnungen wie Kundennummer oder Projektbezug an einem Informationsobjekt hängen.

Zentrale Policies auf allen Systemen

Als dritte Komponente kommt die aktive Verwaltung von Informationen hinzu. Als wesentliche Neuerung gegenüber klassischen ECM- oder DMS-Ansätzen wird Information Governance der Tatsache gerecht, dass es viele – mitunter konkurrierende – Repositories für Informationen im Unternehmen gibt. So können File-Systeme, SharePoint, mehrere ECM/DMS-Systeme und andere Plattformen nebeneinander existieren. Die Verwaltungskomponente einer Information Governance-Lösung muss die zentralen Policies auf all diesen Systemen umsetzen können.

Als weitere Anwendungsbereiche sind Storage-Optimierung wie intelligentes HSM und Cloud Storage Enabling sowie IT-Security zu nennen. Weitere werden hinzukommen. Auch hier erfolgt die Steuerung der Einzelsysteme über die zentralen Regeln.

Informationssteuerung durch fachliche Metadaten

Was zunächst wie eine Flut an Schnittstellen und Integrationen klingt, wird dann doch schnell überschaubar. Da die Steuerungsinformation in Form der Klassifizierung am einzelnen Objekt hängt, erfolgt die Steuerung der Drittsysteme implizit durch das Objekt selbst. Trägt eine Datei die Klassifizierung „Vertrag, KNr. 123, vertraulich, intern“, kann das ECM-System die Datei bei der Archivierung richtig ablegen, das File-System die Datei verschlüsselt bereithalten und eine Data Loss Prevention Lösung sicherstellen, dass diese Datei nicht auf einen USB-Stick kopiert werden kann. Mit der Klassifizierung existiert endlich ein universelles Verfahren, um Verwaltungsprozesse zu steuern.

Vieles, was in diesem Artikel vielleicht noch wie Zukunftsmusik klingt, ist heute schon – zumindest in weiten Teilen – technisch möglich. So bietet beispielsweise der Microsoft FCI Standard umfassend die Möglichkeit, ergänzende fachliche Metadaten wie die Klassifizierung oder den Schutzbedarf an einer Datei im Filesystem zu speichern. Dieser Standard wurde von der Information Governance Lösung dg suite von dataglobal aufgegriffen. So können beispielsweise Dateien im File-System mit dg classification automatisiert fachlich klassifiziert werden. Die Klassifizierung wird an der Datei im offenen FCI-Format angebracht und kann von beliebigen Systemen genutzt werden. Die Lösung von dataglobal entscheidet so auf Basis der Klassifizierung, ob eine Datei revisionssicher archiviert werden muss oder in die Cloud verlagert werden darf. Auch mit Softwareprodukten Dritter funktioniert das bereits in der Praxis. So nutzt auch die Verschlüsselungslösung fideAS® file enterprise von Applied Security die Klassifizierung für die Steuerung.

Fazit

Jetzt sind die Softwarehersteller gefordert, diese neuen Technologien in ihre Anwendungen einzubinden. Es muss Schluss sein mit proprietären Systemen. Nur durch das Zusammenspiel der unterschiedlichen Anbieter von Fachanwendungen, IT-Security, DMS/ECM, Archivsystemen, Klassifizierungssystemen und anderen auf der Basis existierender und neuer Standards werden sich die heutigen und zukünftigen Herausforderungen meistern lassen.

Anwendungsunternehmen sollten mutig diese Erleichterungen durch Information Governance nutzen. Ohne eine Automatisierung oder zumindest weitreichende Unterstützung sind die Mengen an unstrukturierten Informationen nicht mehr zu bewältigen. Die automatisierte Klassifizierung ist dabei der Schlüssel sowohl für die Entlastung der Nutzer, als auch für mehr Genauigkeit und Konsequenz. Es ist zwar ein weiter Weg, aber die ersten Früchte – wie beispielsweise im Cloud Storage Enabling oder bei der Zugriffssteuerung für Dateien – hängen tief.

www.dataglobal.com

Wolfgang Munz ist CEO und Gründer der dataglobal GmbH. dataglobal ist führender Anbieter für unternehmensweite und automatisierte Klassifizierung von Daten und übergreifende Archivierung (Unified Archiving). Mit seinen Lösungen erlaubt dataglobal die unternehmensweite Umsetzung von Regeln für den Umgang mit Informationen im Sinne einer ganzheitlichen Information Governance Strategie. dataglobal hat seinen Hauptsitz in Heilbronn und zahlreiche Kunden in über 40 Ländern weltweit.