Logo der activeMind AG

ISO 27002Kapitel 5.32 Geistiges Eigentum

Die Maßnahmen in Kapitel 5.32 der ISO 27002 behandeln den Umgang mit geistigem Eigentum und die Verfahren, die notwendig sind, um die Anforderungen hinsichtlich solcher Rechte zu beachten.

Hinweis: Die folgenden Erklärungen beziehen sich auf die deutschen Versionen der Normen DIN EN ISO/IEC 27001:2024 sowie ISO 27002:2022.

Fremdes geistiges Eigentum

Jede Organisation nutzt in irgendeiner Form auch die Ergebnisse fremder Leistungen. Dass diese auch dann, wenn es sich nicht um körperliche Erzeugnisse geht, frei verwendet werden dürfen, ist klar. Anders als bei körperlichen Gegenständen, die naturgemäß nur in einer endlichen Menge verfügbar sind und sich recht gut schützen und zuordnen lassen, ist der Schutz geistigen Eigentums weniger greifbar. Verstöße sind einfacher und passieren ggf. auch unbeabsichtigt – dennoch können sie erhebliche negative Folgen haben.

Organisationen sollten sich daher kümmern und sicherzustellen, dass jegliches fremdes geistiges Eigentum geachtet wird.

Sicherstellung ordnungsgemäßer Lizenzierung

Organisationen sollten eine klare Politik aufstellen, die mindestens folgende Aspekte berücksichtigt:

  • Betrachtet werden sollten alle Ausprägungen fremden geistigen Eigentums: Urheberrechte, Designrechte, Patente, Rechte am Quellcode, Markenrechte etc.
  • Regelungen für die Lizenzierung und insbesondere für den Erwerb von Software aus möglichst seriösen Quellen
  • Saubere Lizenzverwaltung. Über korrekt geführte Verzeichnisse muss sich gegebenenfalls eine ausreichende Menge an Lizenzen nachweisen lassen. Für jeden geführten Vermögenswert muss ein entsprechender Beleg vorhanden sein. Auch die Bezugsquelle sollte sich in jedem Fall nachvollziehen lassen.
  • Beachtung besonderer Lizenzbedingungen: Muss gegebenenfalls für jede Nutzung oder jede Installation eine separate Lizenz erworben worden sein? Oder gilt eine Lizenz zwar für mehrere Benutzer oder Ressourcen, allerdings nur bis zu einer bestimmten Zahl (Personen, CPU)?

Ergänzende Maßnahmen

Auch nach dem Erwerb müssen noch Maßnahmen ergriffen werden, um auch im laufenden Betrieb Verstöße zu verhindern. Solche Maßnahmen können sein:

  • Regelmäßige Überprüfung: Der tatsächliche Zustand muss gelegentlich mit der Dokumentation abgeglichen werden, um sowohl eine Unter- als auch eine Überlizenzierung zu vermeiden. Ebenso ist im Rahmen solcher Kontrollen zu überprüfen, ob tatsächlich nur zugelassene Produkte aus den vorgesehenen Quellen zum Einsatz kommen.
  • Mit technischen Maßnahmen sollte sichergestellt werden, dass keine unberechtigten Vervielfältigungen oder Umarbeitungen lizenzierter Werke erfolgen. Neben der möglichen Rechtswidrigkeit einer solchen Kopie an sich droht hier gleichzeitig die Unterlizenzierung.
  • Sensibilisierung der Mitarbeiter: Zusätzlich zu den Maßnahmen sollten auch die Mitarbeiter geschult und angeleitet werden. Hierbei sollte insbesondere über Grenzen aufgeklärt werden, die sich technisch schlecht oder nicht erzwingen lassen. So mag die Verwendung einer Lizenz nur in einem bestimmten Kontext erlaubt oder nur unter bestimmten Umständen kostenfrei sein. Möglicherweise sind zwingende Hinweise auf den Hersteller/Urheber notwendig.
    Auch über die Risiken sollten Beschäftigte aufgeklärt werden und wissen, was Ihnen und der Organisation an Sanktionen und Strafen droht.

Fazit: Zum Schutz geistigen Eigentums gehört weit mehr, als Installationen zu zählen

Bei näherer Betrachtung werden Organisationen sehr schnell feststellen, dass die Wahrung fremder Rechte an geistigem Eigentum komplexer ist als vielleicht ursprünglich angenommen. Es handelt sich dabei auch sicherlich nicht um eine Maßnahme, die allein und selbstständig von der IT wahrgenommen werden kann. Der Einkauf und die Rechtsabteilung werden hier sicherlich gern beteiligt.

Bereits bei der Entwicklung einer geeigneten Politik sollten also Experten aus verschiedenen Bereichen beteiligt werden. Zuletzt wird in diesem Bereich auch die Politik relevant, die Organisationen hinsichtlich der privaten Nutzung von Firmeneigentum oder dem Einsatz privater Geräte für berufliche Zwecke verfolgen.

Unterstützung im Rahmen der Zertifizierung nach ISO 27001

activeMind stellt ihren Mandanten ein umfassendes Compliance-Portal zur Verfügung, in dem auch ein ausgefeiltes Asset Management möglich ist.

Newsletter

Sichern Sie sich das Wissen unserer Experten.

Zweimal im Monat alles Wichtige zu Datenschutz, Informationssicherheit und künstlicher Intelligenz.