Kommentierte Präsentationsfolien zur ETUG 2015:
Warum ist das Thema Informationssicherheit für Übersetzungsdienstleister und ihre Auftraggeber wichtig? Wo liegen die Risiken?
2013 04 Wege aus der Zeitfalle - Terminorientiertes Übersetzungsmanagment
Informationssicherheit für Übersetzungsprozesse
1. 1
2015
RWS Group - www.rws-group.de
ETUG 2015 – Information Security for Translation Services
2. 2
2015
RWS Group - www.rws-group.de
ETUG 2015 – Information Security for Translation Services
3. 2015
RWS Group - www.rws-group.de 3
ETUG 2015 – Information Security for Translation Services
4. Unternehmen stehen in einem internationalen Wettbewerb und dieser Wettbewerb wird zunehmend
schärfer.
Wettbewerber versuchen
• vergleichbare Produkte zu einem niedrigeren Preis auf den Markt zu bringen
• Neue Produkte schneller auf den Markt zu bringen
• Billiger zu produzieren
• In Ausschreibungen erfolgreicher zu sein als die Konkurrenz
Um dies zu erreichen sind Informationen über den Markt und natürlich auch über die Konkurrenz
hilfreich. Nicht jedes Unternehmen beschränkt sich dabei auf legale Methoden der
Informationsbeschaffung.
Es nicht einfach hier genaue Zahlen zu nennen, doch eine aktuelle Studie (2104) von Corporate Trust
(www.corporate-trust.de) gibt ein paar interessente Einblicke:
• Bei fast 30 % der Unternehmen in Deutschland und Österreich gab es 2014 einen konkreten Fall von
Industriespionage
• 27 % der Unternehmen in Deutschland und 20 % in Österreich hatten zumindest einen Verdachtsfall
• Der finanzielle Schaden durch Industriespionage beläuft sich in Deutschland auf mindestens 11,8
Milliarden Euro
Eine Folge von Industriespionage sind bspw. Plagiate.
• Die OECD gibt den Schaden durch Plagiate für 2008 bereits mit 650 Mrd. $ an. Für 2015 könnten es
bereits mehr als 1.700 Mrd. $ sein.
Auch wenn wir derzeit in den Medien vor allem von Spionage durch und gegen staatliche Organisationen
lesen und hören. Industriespionage ist auch für unternehmen ein Thema, dem sie sich zum Schutz ihrer
Wettbewerbsfähigkeit nicht verschließen sollten.Gerade die mittelständische Wirtschaft ist ein attraktives
Ziel für Industriespionage.
2015
RWS Group - www.rws-group.de 4
ETUG 2015 – Information Security for Translation Services
5. Angriffsziele für Industriespionage befinden sich überall da, wo man entweder Informationen vermutet,
die besonders wertvoll sind,
oder wo an denen Stellen wo man besonders gut an Informationen herankommt.
Es ist daher nicht verwunderlich, dass die Bereiche Forschung und Entwicklung und die IT Administration
im Fokus der Angriffe stehen.
Fast 20 % der Angriffe zielen jedoch auch auf den Vertrieb und auch der Bereich Merger & Acquisition ist
offenbar ein lohnendes Ziel für Angreifer.
2015
RWS Group - www.rws-group.de 5
ETUG 2015 – Information Security for Translation Services
6. Die Palette interessanter Informationen ist bunt. Natürlich gehört dazu alles was neu oder besonders gut
ist.
Aber auch Probleme bspw. mit der Qualität bei einem Kunden könnten einem Wettbewerber nützen um
genau dort eigene Vertriebsaktivitäten zu starten.
Informationen während laufender Ausschreibungen oder Verhandlungen können helfen, die eigene
Strategie gegenüber der ausschreibenden Stelle zu optimieren.
Informationen über Mitarbeiter können helfen eine Abwerbung vorzubereiten oder die Mitarbeiter zu
finden, deren Abwerbung besonders hilfreich wäre.
Auswertungen über Einkaufspreise oder Prozesskosten können helfen eigene Schwächen zu erkennen und
dann gezielt hier Verbesserungen
anzustoßen um konkurrenzfähiger zu werden.
2015
RWS Group - www.rws-group.de 6
ETUG 2015 – Information Security for Translation Services
7. Die meisten Angriffe werden von Hackern ausgeführt. In Deutschland sind dies mehr als 40 % und
Österreich immerhin noch über 30 %.
Während in Deutschland Kunden und Lieferanten mit über 25 % die zweitgrößte Gruppe bilden, erfolgen
in Österreich über 30 % der Angriffe durch eigene Mitarbeiter der Unternehmen.
Es sind vor allem drei Arten über die Informationen abgegriffen werden:
• Elektronische Angriffe auf die IT-Systeme von Unternehmen.
• Abhören bzw. Abfangen von elektronischer Kommunikation.
• Social Engineering oder die mehr oder weniger bewusste Weitergabe von Informationen
2015
RWS Group - www.rws-group.de 7
ETUG 2015 – Information Security for Translation Services
8. Auch wenn es noch nicht die Mehrzahl der Angriffe betrifft, so gibt es doch heutzutage einen
funktionierenden Markt für die Informationsbeschaffung.
Besonders in den östlichen Ländern gibt es eine Vielzahl von Hackern oder Hackergruppen, die ihre
Dienste jedem anbieten, der sie bezahlt.
Dies könnten dann konkrete Informationen oder einfach nur Zugangsdaten zu den gewünschten
Systemen sein.
Eine weitere Möglichkeit ist das Aushorchen von Personen, die über die begehrten Informationen
verfügen. Hilfreich hierfür sind natürlich die Möglichkeiten, die soziale Netzwerke bieten, aber es geht
natürlich auch über direkte Kontakte aus Messen oder Konferenzen. Know How kann man natürlich auch
über das Abwerben von Informationsträgern bekommen.
Das geht natürlich nicht nur bei den Mitarbeitern des Opfers, sondern auch bei Mitarbeitern bei Kunden
oder Lieferanten.
Auch der umgekehrte Weg ist denkbar. Durch das Einschleusen von Mitarbeitern hat man zudem sogar
noch den Vorteil, das das Opfer den Spion bezahlt.
Je nach Art der gesuchten Information und den Standards beim Opfer reicht es hier vielleicht sogar aus,
Praktikanten einzuschleusen.
In diesem Sinne wäre sogar das neue Mindestlohngesetz eine Maßnahme zur Informationssicherheit.
In vielen Unternehmen geht es aber auch sehr einfach. Man geht hin, stellt eine Weile vor das
Treppenhaus, unterhält sich ein wenig mit den Rauchern
und betritt dann mit ihnen das Gebäude. Danach sucht man sich ein leeres Büro und schließt seinen
Rechner an das interne LAN an und kann dann in Ruhe seine Festplatte füllen.
2015
RWS Group - www.rws-group.de 8
ETUG 2015 – Information Security for Translation Services
9. In diesem Sinne ist es nicht verwunderlich, dass in Deutschland gerade an einem Gesetz gearbeitet wird,
dass Unternehmen dazu verpflichtet mehr für Informationssicherheit zu tun.
Auch wenn es sich erstmal nur um Unternehmen mit besonderer Bedeutung bspw. für die Infrastruktur
handelt, ist davon auszugehen, das so ein Gesetz auch weiter in die Wirtschaft hinein Auswirkungen
zeigen wird.
2015
RWS Group - www.rws-group.de 9
ETUG 2015 – Information Security for Translation Services
10. Auch vertrauliche Informationen müssen an vielen Stellen verfügbar sein, sonst nützen sie ja nichts mehr.
In immer stärker international vernetzten Prozessen bedeutet dies, das sie auch übersetzt werden
müssen.
Gleichzeitig werden Übersetzungen zu einem hohen Anteil nicht mehr intern von den Unternehmen
ausgeführt.
Auch bei Übersetzungsdienstleistern werden Übersetzungen häufig von externen freiberuflichen
Übersetzern erstellt.
Dies bedeutet, dass für die Durchführung einer Übersetzung die Informationen oft übertragen werden,
an verschiedensten Stellen gespeichert werden und durch viele Hände gehen.
Die Übersetzer leben oft in den jeweiligen Zielländern. Dies gilt umso mehr dann, wenn dort das Niveau
der Lebenshaltungskosten
niedriger ist.
Übersetzer setzen stark auf das Internet um nach Begriffen oder Sachverhalten zu recherchieren.
Zunehmend werden auch cloudbasierte Technologien für die Anfertigung von Übersetzungen eingesetzt.
2015
RWS Group - www.rws-group.de 10
ETUG 2015 – Information Security for Translation Services
11. Viele Unternehmen und auch Übersetzungsdienstleister suchen sich für die Durchführung ihrer
Übersetzungen freie Übersetzer in den vielen Übersetzerportalen. Oft werden dann bereits bei der
Anfrage die zu übersetzenden Dokumente zur Verfügung gestellt.
Wenn man sich hier entsprechend positioniert, kann man für seine Spionage vielleicht sogar von beiden
Seiten bezahlt werden.
Alternativ kann ich auch den Kontakt zu entsprechenden Übersetzern suchen und dann versuchen, die
Informationen da zu kaufen.
Auf uepo.de ist gerade jetzt noch einmal eine alte Pressemitteilung aus 2014 veröffentlicht worden. Hier
ging es um eine Übersetzerin, die dabei ertappt wurde, wie sie vertrauliche Konstruktionsdaten für ein U-
Boot verkaufen wollte. Hintergrund war, dass sie von ihren Auftraggeber wegen echter oder
vorgeschobener Qualitätsprobleme in der Übersetzung nicht bezahlt wurde und sie aber gleichzeitig die
von ihr unterbeauftragten Übersetzer bezahlen musste. Ein durchaus öfter gehörtes Problem freier
Übersetzer.
Viele Übersetzungsdienstleister sind mit den Anforderungen an die IT überfordert. Sie setzen daher
externe Berater oder Dienstleister ein.
In einer Branche mit hohem Preisdruck, stelle ich es mir leicht vor, einem Übersetzungsbüro ein
unschlagbar günstiges Angebot zu unterbreiten und so direkten Zugriff auf dessen IT zu erhalten.
Vielleicht reicht es aber auch einfach ein Portal für Übersetzungsservices ins Internet zu bringen und dann
die Daten die darüber verarbeitet werden einfach auszuwerten.
Lohnenswert kann auch das Durchsuchen des Papierabfalls sein. Gerade bei Übersetzungen wird immer
noch sehr viel ausgedruckt.
2015
RWS Group - www.rws-group.de 11
ETUG 2015 – Information Security for Translation Services
12. Wenn man die Frage nach der Informationssicherheit anspricht, bekommt man fast immer folgende
Antwort:
Wir schließen dafür mit unseren Übersetzern ein NDA ab!
Dazu ist jedoch zu sagen, dass man wohl davon ausgehen kann, dass mit allen Lieferanten entsprechende
NDAs abgeschlossen werden und auch in den meisten Arbeitsverträgen entsprechende Klauseln enthalten
sein dürften. Auch im Verhältnis zu Kunden sind NDAs nichts ungewöhnliches.
Trotzdem stellen Verletzungen der Informationssicherheit durch Mitarbeiter, Kunden und Lieferanten
einen erheblichen Anteil an den realen Fällen von Industriespionage. Offensichtlich scheinen also NDAs
nicht auszureichen um Informationen wirksam zu schützen.
2015
RWS Group - www.rws-group.de 12
ETUG 2015 – Information Security for Translation Services
13. Informationssicherheit ist nicht nur wegen der immer aufwändigeren IT-Systeme und der zunehmenden
Vernetzung komplex.
Daher erfordert Informationssicherheit ein umfassendes Konzept, das den jeweiligen Risiken und
Prozessen entspricht.
Dabei muss sich jeden Konzept für Informationssicherheit an sich kontinuierlich verändernde
Rahmenbedingungen anpassen.
Sowohl die eigenen Prozesse und Anforderungen verändern sich wie auch die Risiken durch Änderungen
in der IT.
Dazu gehören auch die immer ausgefeilteren Werkzeuge und Methoden der Angreifer.
2015
RWS Group - www.rws-group.de 13
ETUG 2015 – Information Security for Translation Services
14. Informationssicherheit ist nicht nur IT-Sicherheit. Informationssicherheit bezieht sich sowohl auf
technische wir auch auf prozessuale Aspekte. Ziel ist es, Informationen sowohl vor unbefugtem zugriff zu
schützen als auch die Informationen zu rechten Zeit am rechten Ort zur Verfügung stellen zu können.
Informationen, die so sicher geschützt sind, dass sie auch berechtigte Stellen nicht mehr nutzen können
sind wertlos.
Für die Betrachtung der Informationssicherheit lassen sich mehrere Perspektiven definieren:
1. Datensicherheit
2. Ausspähschutz
3. Zugriffkontrolle
4. Datenübertragung
Im Folgenden konzentrieren wir uns auf einige Aspekte, die speziell für Übersetzungsprozesse und
Übersetzungsdienstleister besondere Bedeutung haben.
2015
RWS Group - www.rws-group.de 14
ETUG 2015 – Information Security for Translation Services
15. Für die Umsetzung eines Konzeptes zur Informationssicherheit sind verschiedene Aspekte zu
berücksichtigen.
Zum einen gibt es eine Reihe technologischer Maßnahmen, die umzusetzen sind. Dazu gehört die
Separierung des Netzwerkes, hochwertige Firewalls oder auch die Verschlüsselung von Datenträgern und
Kommunikation. Grundsätzlich ist davon auszugehen, dass das Schutzniveau entsprechend der
Vertraulichkeit der Informationen ansteigen muss. In der Praxis ist dies für Unternehmen vor allem eine
finanzielle Herausforderung. Die Anforderungen an die Technologie entsprechen in weiten Teilen denen
jedes anderen Unternehmens.
Genau sind auch Maßnahmen im baulichen Bereich umzusetzen. Für gesicherte Bereiche ist eine
entsprechende Zutrittskontrolle zu gewährleisten. Auch muss ein ausreichender Sichtschutz gegen
mögliches Ausspähen umgesetzt werden. Zur Informationssicherheit gehört aber auch angemessene
Einbruch- und Brandschutzvorrichtungen. Auch hier sind die Anforderungen an Übersetzungsdienstleister
vergleichbar mit denen an jedes andere Unternehmen.
Mindestens so wichtig wie die physischen Maßnahmen ist die Sensibilisierung und Schulung der
Mitarbeiter. Ein Großteil der erfolgreichen Angriffe erfolgt über die Mitarbeiter. Sei es durch Phishing von
Passwörtern und Zugangsdaten oder die Installation von Trojanern durch unachtsames Klicken auf Links
zu infizierten Webseiten. Es ist zu bedenken, dass dies eine kontinuierliche Aufgabe ist, denn die
Aufmerksamkeit von Menschen lässt leider oft sehr schnell wieder nach. Auch die Kunden haben hier eine
eigene Verantwortung. Wenn Ansprechpartner vereinbarte Standards im Tagesgeschäft aushebeln, fällt
es auch den Mitarbeitern beim Übersetzungsdienstleister schwer die Wichtigkeit der teilweise lästigen
Maßnahmen zu akzeptieren.
Die größte Herausforderung für Übersetzungsdienstleister sind jedoch die Übersetzungsprozesse selbst.
Es ist davon auszugehen, dass ein großer Teil der Übersetzungen durch freiberufliche Übersetzer
angefertigt wird. Diese arbeiten oft außerhalb des Zugriffsbereichs des Übersetzungsdienstleisters. Das
bedeutet, dass auch die an die Übersetzer übergebenen Dokumente den direkten Kontrollbereich des
Übersetzungsdienstleisters verlassen. Diese Problematik soll jetzt im folgenden Teil der Präsentation
2015
RWS Group - www.rws-group.de 15
ETUG 2015 – Information Security for Translation Services
16. genauer betrachtet werden.
Insgesamt ist die Kontrolle über die technologischen und personellen Aspekte der Übersetzungsprozesse
die wichtigste Herausforderung für Übersetzungsdienstleister.
tekom Jahrestagung 2014 –
Informationssicherheit im Übersetzungsprozess
12.11.2014
RWS Group - www.rws-group.de 15
17. Üblicherweise arbeiten Übersetzungsdienstleister mit freiberuflichen Übersetzern zusammen, die rund
um die Welt verstreut leben und arbeiten können.
Für den Übersetzungsprozess bedeutet dies, das ein vertrauliches oder geheimes Dokument zuerst vom
Auftraggeber zum Übersetzungsdienstleister übertragen wird.
Dort erfolgt dann die Vorbereitung des Dokumentes für die Übersetzung. Bis hierhin haben Auftraggeber
und Übersetzungsdienstleister noch die Kontrolle über den zugriff auf das Dokument. Die Kommunikation
erfolgt verschlüsselt, alle Systeme haben einen hohen Sicherheitsstandard und die Mitarbeiter sind
geschult und sensibel für mögliche Risiken.
Jetzt muss aber nun doch mal ein Übersetzer das Dokument erhalten, damit er es übersetzen kann. Bei
der Auswahl des Übersetzers müssen aus qualitativen gründen eine Reihe von Voraussetzungen
berücksichtigt werden:
Der Übersetzer muss gemäß ISO 17100 für die Übersetzung qualifiziert sein. Dies bedeutet u.a. auch, dass
er nicht nur ein qualifizierter Übersetzer der gewünschten Sprachrichtung sein muss, sondern sich auch
mit der Materie des zu übersetzenden Inhalts gut auskennen muss. Neben dem Übersetzer brauchen wir
auch noch einen Revisor mit vergleichbarerer Qualifikation.
Man kann dabei nicht davon ausgehen, dass es wirtschaftlich möglich wäre, alle benötigten Übersetzer für
eine Vielzahl von Sprachpaaren und einer ebenso großen Vielzahl von Fachgebieten beim
Übersetzungsdienstleister verfügbar zu haben.
2015
RWS Group - www.rws-group.de 16
ETUG 2015 – Information Security for Translation Services
18. Es bleiben daher folgende Möglichkeiten:
1. Die benötigten Übersetzer werden eingeflogen.
Das ist aber weder aus Kosten noch aus Zeitgründen eine realistische Variante
2. Die Übersetzer erfüllen die gleichen Anforderungen wie der Übersetzungsdienstleister
Dies ist zwar durchaus möglich aber für einzelne Übersetzer mit einem hohen Kostenaufwand
verbunden. Außerdem müsste die Einhaltung der Anforderungen auch noch vom
Übersetzungsdienstleister überprüft werden. Das dürfte in der Praxis den Rahmen der Möglichkeiten
für alle Beteiligten übersteigen.
3. Es wird eine Mischlösung angestrebt.
2015
RWS Group - www.rws-group.de 17
ETUG 2015 – Information Security for Translation Services
19. Die Übersetzer arbeiten von ihrem Standort aus über geschützte VPN Verbindungen auf entsprechend
eingerichteten Arbeitsbereichen auf den Systemen des Übersetzungsdienstleisters.
Bei diesem Verfahren kann sichergestellt werden, dass die technologischen Anforderungen an die
Speicherung der Dokumente in der Kontrolle des Übersetzungsdienstleisters verbleibt.
Zusätzlich müssen die Übersetzer für die speziellen Anforderungen an die Arbeit mit vertraulichen
Dokumenten geschult und sensibilisiert werden. Das bedeutet bspw., dass vertrauliche Dokumente nicht
in öffentlichen Räumen oder über ungesicherte Netzwerke bearbeitet werden dürfen. Die Arbeit im
Flugzeug, der Bahn, im Internet-Cafe oder am Strand scheiden daher aus. Auch dürfen keine Ausdrucke
oder Screenshots angefertigt werden. Die Regelungen für den Einsatz internetbasierter
Übersetzungshilfen müssen strikt eingehalten werden. Hier ist bspw. die Unterstützung durch die
vorgesehenen Übersetzungswerkzeuge hilfreich. Eine Deaktivierung von cloudbasierter MT durch den
Projektmanager für bestimmte Übersetzungsprojekte in SDL Studio wäre sehr wünschenswert.
Bei der Auswahl der infrage kommenden Übersetzer muss mit großer Sorgfalt vorgegangen werden. Mit
den Übersetzern sind entsprechende Vereinbarungen zur Informationssicherheit abzuschließen, die weit
über ein normales NDA hinausgehen. Es ist empfehlenswert dies auch beim Übersetzer zu überprüfen.
Für den Übersetzungsdienstleister bedeutet dieses Verfahren die Möglichkeit den Kreis der potenziell
einsetzbaren Übersetzer zu vergrößern. Allerdings braucht auch dieses verfahren eine relevante
Vorlaufzeit von einigen Wochen bis ein Übersetzer eingesetzt werden kann. Zudem ist zu berücksichtigen,
dass für die eingesetzten Terminal-Services spezielle Lizenzbedingungen im Bereich der Software
einzuhalten sind. Darunter fallen u.a. zusätzliche Betriebssystem- und Office-Lizenzen.
2015
RWS Group - www.rws-group.de 18
ETUG 2015 – Information Security for Translation Services
20. Das vorgestellte Verfahren ist aus unserer Sicht geeignet um vertrauliche oder streng vertrauliche
Dokumente zu bearbeiten. Für Dokumente mit der Klassifikation „Geheim“ erscheint uns derzeit nur die
ausschließliche interne Bearbeitung eine ausreichende Sicherheit zu bieten.
2015
RWS Group - www.rws-group.de 19
ETUG 2015 – Information Security for Translation Services
21. Ein weiter Aspekt auf den ich noch gerne eingehen möchte sind cloudbasierte Services, die im
Übersetzungsbereich zunehmend an Beliebtheit gewinnen.
Es gibt gute Gründe cloud-Services einzusetzen. Und es sollte auch nicht pauschal behauptet werden, dass
Cloud Services unsicher sind.
Die Schwierigkeit für Übersetzungsdienstleister liegt in der Gewährleistung, dass die eingesetzten cloud-
Services den vereinbarten Sicherheitsanforderungen genügen.
Auch bei den cloud-Services, die im Übersetzungsbereich zunehmend angeboten werden, müssen die
Anbieter von sich auch entsprechende Sicherheitsstandards anbieten und für Dienstleister und
Auftraggeber nachvollziehbar gewährleisten können. Das bedeutet auch, dass bspw. in Studio der
Projektmanager die Möglichkeit haben sollte den Einsatz von cloud-Services einzuschränken.
Auf jeden Fall sollte nachvollziehbar sein, ob bspw. ein Übersetzer im Projekt cloudbasierte maschinelle
Übersetzung verwendet hat.
In der Praxis scheint es derzeit besser zu sein, bei Übersetzungen in gesicherten Bereichen den Einsatz von
cloud-Services. Dies kann auch nur funktionieren, wenn der Übersetzungsdienstleister eine weitgehende
Kontrolle über die Technologie am Übersetzungsarbeitsplatz hat.
2015
RWS Group - www.rws-group.de 20
ETUG 2015 – Information Security for Translation Services
22. Vielen Dank für Ihre Aufmerksamkeit.
2015
RWS Group - www.rws-group.de 21
ETUG 2015 – Information Security for Translation Services
23. 22
2015
RWS Group - www.rws-group.de
ETUG 2015 – Information Security for Translation Services