+49 99 21 / 88 22 9000 info@datenbeschuetzerin.de

Hat Ihr Unternehmen eine IT-Sicherheitsrichtlinie? Haben Sie geregelt, wie Ihre Mitarbeiter mit Informationen, Daten, Passwörtern und anderen Unternehmenswerten umgehen sollten?

Wann wird eine IT-Sicherheitsrichtlinie gut angenommen? Was macht den Unterschied bei der Einführung und der Formulierung einer Policy für die Mitarbeiter? 

In diesem Artikel fasse ich die Erfahrungen aus über zehn Jahren zusammen. Ich gehe darauf ein, welchen Inhalt eine gute IT-Sicherheitsrichtlinie enthalten sollte. Noch viel wichtiger finde ich aber die Vorgehensweise der Einführung und das „Drumherum“, das bei fast allen Unternehmen als unwichtig erachtet wird.

Letztendlich ist aber genau dieses „Drumherum“ der ausschlaggebende Punkt, ob es funktioniert oder nicht. Meine Empfehlung dazu finden Sie in diesem Artikel. Für alle, die nun die Ärmel zurück krempeln und aktiv werden möchten, stelle ich auch ein kostenloses Muster für eine IT-Sicherheitsrichtlinie zur Verfügung.

Und noch erwähnt sei: Es handelt sich hiermit um keine Rechtsberatung, aber um jahrelange Praxiserfahrung!

Auf den Punkt gebracht: IT-Sicherheitsrichtlinie im Unternehmen

Auf den Punkt gebracht: Führerschein- und Ausweiskopien nach der DSGVO
Auf den Punkt gebracht: IT-Sicherheitsrichtlinie im Unternehmen
  • Jedes Unternehmen sollte eine IT-Sicherheitsrichtlinie eingeführt haben. Hier werden organisatorische Vorgaben rund um die Sicherheit der Informationen festgehalten.
  • Kein Alleingang! Beziehen Sie alle Führungskräfte in die Erstellung mit ein, die später auch für die Inhalte gerade stehen müssen.
  • „Der Ton macht die Musik!“ Die Formulierung darf auch mal ein „bitte“ enthalten und nicht nur Verbote.

Muster / Vorlage für eine IT-Sicherheitsrichtlinie

Wenn Sie sich zum Newsletter anmelden, erhalten Sie neben unseren 7 Punkte für den Datenschutz auch die Vorlage für die IT-Sicherheitsrichtlinie.

Alternativ senden wir Ihnen das Muster auch per E-Mail. Schreiben Sie uns dazu einfach eine kurze Mail an info@datenbeschuetzerin.de

IT-Sicherheitsrichtlinie vs. Informationssicherheitsrichtlinie

In der Praxis hat sich eingebürgert, dass man von einer IT-Sicherheitsrichtlinie spricht. Tatsächlich ist es in den meisten Unternehmen aber eine allgemeine Informationssicherheitsrichtlinie.

Was ist der Unterschied zwischen einer IT-Sicherheitsrichtlinie und einer Informationssicherheitsrichtlinie?

Informationssicherheit ist mehr als nur IT. Natürlich nimmt der IT-spezifische Inhalt in der Regel den größten Umfang ein. Trotzdem, es gehört mehr dazu. Sie möchten doch Ihre gesamten Unternehmenswerte schützen. Da geht es nicht nur darum, dass die Übertragung, Bearbeitung oder Speicherung auf digitalem Weg gesichert ist.

Ihnen als Verantwortlicher ist es sicherlich auch ein Anliegen, dass Ihre Mitarbeiter alle Unternehmenswerte (Dokumente, Geräte…) entsprechend schützen. Aus diesem Grund enthält eine IT-Sicherheitsrichtlinie auch Inhalte, die nicht nur die digitale Welt betreffen. Dann wäre der bessere Begriff eigentlich Informationssicherheitsrichtlinie.

Damit ist nämlich alles abgedeckt. Wohl wissend, dass es fachlich nicht ganz korrekt ist, werde ich aber in diesem Artikel hauptsächlich den Begriff IT-Sicherheitsrichtlinie verwenden.

Warum überhaupt eine IT-Sicherheitsrichtlinie?

Überlegen Sie noch, ob es überhaupt Sinn macht, in Ihrem Unternehmen eine IT-Sicherheitsrichtlinie einzuführen? Braucht es das wirklich? Diese Frage kann ich Ihnen leider nicht beantworten. Ich kann Ihnen aber ein paar Entscheidungsfragen liefern, die Ihnen helfen können, diese Frage selber für sich zu beantworten:

  • Gibt es in Ihrem Unternehmen / Standort schützenswerte Werte (Daten digital oder in Papier, Maschinen bzw. Maschinenkonfigurationen, Abläufe in Projekten oder in der Fertigung, sonstige hochwertige Geräte….)?
  • Haben Sie im Unternehmen ein Problem, wenn einige dieser schätzenswerten Werte nicht verfügbar sind?
  • Handelt es sich bei manchen dieser Werte um Inhalte, die nicht für außenstehende zugänglich sein sollten?
  • Sind alle Ihre Schutzmechanismen im Unternehmen technisch umgesetzt, so dass der Mitarbeiter oder ein Externer keine Möglichkeit hat, diese Mechanismen zu umgehen?

Haben Sie die ersten drei Fragen teilweise mit „Ja“ und die letzte Frage mit „Nein“ beantwortet? Dann würde es wahrscheinlich sinnvoll sein, eine Informationssicherheitsrichtlinie für Ihre Mitarbeiter einzuführen.

Die größten Fehler beim Erstellen einer IT-Sicherheitsrichtlinie

Die folgenden vier Punkte fallen mir leider sehr häufig in Unternehmen auf. Ich finde es immer sehr schade, wenn ich auf solche Fälle treffe und sehe, welches Potential dadurch verschwendet wird. Im Anschluss finden Sie meine Antwort als Umsetzungsvorschlag für die Einführung einer Informationssicherheitsrichtlinie.

Erstellung im Alleingang

Der Informationssicherheitsbeauftragte / IT-Sicherheitsbeauftragte, der IT-Leiter oder die Personalabteilung erstellen eine IT-Sicherheitsrichtlinie ohne sich mit anderen Abteilungen abzustimmen. Manchmal wird die Richtlinie von einem externen Anwalt für das Unternehmen erstellt. Warum soll man dann noch intern um ein Feedback bitten? Dafür haben Sie ja bereits den Anwalt bezahlt, der Ihnen ein Dokument erstellt, das sofort veröffentlicht werden kann.

Erhobener Zeigefinger

  • „Es ist nicht erlaubt…“
  • „Unterlassen Sie ….“
  • „Es ist verboten,…“

Sprechen Sie tatsächlich im Alltag so mit Ihren Mitarbeitern? Welche Botschaft übermitteln Sie mit dieser Sprache?

Praxisrelevanz

„Verwenden Sie nur freigegebene USB-Sticks“. Dieser Satz liest sich in einer IT-Sicherheitsrichtlinie nicht ungewöhnlich. In der Praxis stellt er meistens ein unüberwindbares Hindernis dar. Wenn Ihre Mitarbeiter ihre Arbeit machen möchten, bleibt Ihnen gar nichts anderes übrig, als diesen Punkt der Richtlinie zu brechen.

  • Was ist ein „freigegebener USB-Stick“? Sind die internen Sticks durch einen Aufkleber gekennzeichnet?
  • Was, wenn der Kunde einen USB-Stick mit Daten bringt, die getauscht werden müssen? Gibt es einen praxisorientierten (!) Ablauf im Unternehmen, diese Daten dann legitim übertragen zu können?
  • Wie schließen Sie aus, dass ein „freigegebener USB-Stick“ keine Viren oder Schadsoftware enthält?

Die Beispiele könnte ich an dieser Stelle noch mit einer längeren Liste füllen. Worauf ich hinaus möchte. Was in der Theorie ganz logisch klingt, lässt sich in der tatsächlichen Umsetzung in den Fachabteilungen, deren Ziel Produktivität ist, nicht immer umsetzen.

Sicherheitsniveau Maximum

„Digitale Daten dürfen nur verschlüsselt übertragen werden.“ Mit pauschalen Aussagen scheren Sie das gesamte Unternehmen über einen Kamm. Sicherheit bedeutet Aufwand. Ist es gerechtfertigt, diesen Aufwand über das gesamte Unternehmen gleich zu halten? Muss der Speiseplan der Kantine tatsächlich beim Versenden verschlüsselt werden? Wo ist Sicherheit wichtig und wo kann man darauf verzichten?

Empfehlungen zur Einführung einer IT-Sicherheitsrichtlinie

Es gibt keine richtige oder falsche Vorgehensweise bei der Erstellung und Einführung einer Informationssicherheitsrichtlinie. An dieser Stelle fasse ich die Punkte zusammen, die mir wichtig erscheinen und die ich in der Praxis häufig gesehen habe. Entweder positiv, wenn es gut umgesetzt ist oder eben negativ, wenn auf einzelne Aspekte nicht geachtet wird.

 

Wer kümmert sich um die Erstellung der Richtlinie?

Es ist mir klar, dass gerade mittelständische Unternehmen keinen Informationssicherheitsbeauftragten (bzw. IT-Sicherheitsbeauftragten) (ISB) haben. Gibt es diese Stelle allerdings, ist es dessen Aufgabe, eine IT-Sicherheitsrichtlinie zu entwerfen. Doch egal, ob ISB oder nicht. Die IT-Sicherheitsrichtlinie sollte nicht allein von einer Stelle entworfen werden.

Ins Team gehört jemand aus der Personalabteilung genauso wie der IT-Verantwortliche und der Datenschutzbeauftragte. Zudem empfehle ich dringend, aus den Fachabteilungen Vertreter mit ins Boot zu holen. Das sind nämlich diejenigen, die „die Suppe am Ende ausbaden“ müssen. Die sollten schon gehört werden. Von diesen Stellen erhalten Sie – wenn Sie sie frühzeitig mit einbeziehen – hochwertige Inhalte, von denen die Richtlinie nur profitieren kann.

Welches Sicherheitslevel möchten Sie abdecken?

Nicht jedes Unternehmen ist gleich und nicht jedes Unternehmen muss zwingend den höchsten Sicherheitslevel ansetzen. Im Idealfall haben Sie vorher eine Risikoanalyse durchgeführt und konkrete Risiken identifiziert, die Sie mit der IT-Sicherheitsrichtlinie abdecken möchten. So realistisch bin ich, dass es eine solche Risikoanalyse in Ihrem Haus nur gibt, wenn Sie gesetzlich oder normativ dazu verpflichtet sind (z.B. ISO 27001).

Trotzdem kommen Sie nicht umhin, durch die Geschäftsleitung ein Sicherheitslevel zu definieren, welches dann durch die IT-Sicherheitsrichtlinie unterstützt werden soll. Ein paar Fragen, die Ihnen dabei helfen können:

  • Was sind Ihre höchst zu schützenden Werte im Unternehmen?
  • Haben alle Mitarbeiter Zugriff auf diese Werte oder nur ein sehr begrenzter Kreis der Mitarbeiter? Danach richtet es sich, ob Sie überhaupt in einer allgemein gültigen Richtlinie auf diesen höchsten Schutzstatus eingehen sollten oder ob das separat geregelt wird.
  • Was ist das größte Risiko, das diesen Werten gegenübersteht? Kann eine IT-Sicherheitsrichtlinie dieses Risiko minimieren oder haben Sie bereits Schutzmaßnahmen getroffen? Beispiel: Ihre höchst zu schützenden Werte sind Rezepturen für Ihre Fertigung. Diese Daten sind technisch bereits so abgeschottet, dass ein Zugriff nur für eine Handvoll Mitarbeiter möglich ist. Diese Mitarbeiter sollten Sie separat auf die Wichtigkeit dieser Daten unterweisen. In einer allgemeinen IT-Sicherheitsrichtlinie bringt es keinen Mehrwert, darauf einzugehen oder das gesamte Sicherheitsniveau an diese Daten anzuheben.
  • Erlauben Sie private Nutzung von E-Mail, Internet und IT-Ressourcen (Laptop, Handy, Tablet…)?
  • Private Nutzung der Ressourcen in der Arbeitszeit oder nur außerhalb der Arbeitszeit?

In diesem Punkt gehen Sicherheitslevel und Unternehmenskultur in der Praxis Hand in Hand. Nicht jedes Unternehmen ist offen für private Nutzung, auch wenn es aus Sicherheitsgründen wenig Bedenken gäbe.

Unterstützung des Managements

Das mag noch so banal klingen. Dieser Passus findet sich auch so ziemlich in jeder ISO-Norm und in den meistens Standards: „Unterstützung der Leitung“. Und doch stimmt es. Die Geschäftsleitung und das gesamte oberste Management muss hinter der IT-Sicherheitsleitlinie stehen.

Sobald auch nur ein Passus der Richtlinie nicht von der Leitung mitgetragen wird oder deren Einhaltung gefordert wird, können Sie es bleiben lassen. Oberste Vorgabe für die Formulierung einer Richtlinie: Formulieren Sie die Informationssicherheitsrichtlinie so, dass sie die Geschäftsführung / der Vorstand auch einhalten kann und vor allem einhält.  Dadurch ergeben sich automatisch zwei Effekte. Die Leitung geht mit Vorbild voran und ist zudem natürlich daran interessiert, dass sich die Mitarbeiter ebenfalls daranhalten.

Vorab Veröffentlichung bei den Führungskräften

Der Entwurf oder die Fassung 1.0 Ihrer Sicherheitsrichtlinie ist fertig. Am liebsten würden Sie Ihr Werk sofort veröffentlichen.

Holen Sie sich Ihre Mitstreiter auf Ihre Seite. Legen Sie die Version 1.0 Ihren Führungskräften vor. Fordern Sie sie auf zur kritischen Prüfung des Inhalts. Nehmen Sie sie mit in die Verantwortung.

Lassen Sie durch Ihre Führungskräfte prüfen, ob der Inhalt der Richtlinie für alle Abteilungen praxisnah ist und vor allem umsetzbar ist. Auch wenn es manchmal langwierig sein kann. Seien Sie offen für Diskussionen. So anstrengend das am Anfang auch sein mag, es erspart Ihnen im Nachgang der Veröffentlichung noch viel mehr Zeit an Diskussionen durch die Mitarbeiter.

Wenn alle Führungskräfte genickt haben und die Richtlinie damit unterstützen, haben Sie noch weitere Multiplikatoren gewonnen. Diese Führungskräfte können sich vor ihren Mitarbeitern nun nicht mehr aus der Verantwortung ziehen.

Ankündigung und Bekanntgabe

Konfrontieren Sie die Mitarbeiter nicht von heute auf morgen mit einem neuen Blatt Papier. Im Idealfall informieren Sie schon vor der Veröffentlichung darüber, dass in Bälde eine IT-Sicherheitsrichtlinie eingeführt wird. Verbinden Sie die Veröffentlichung mit einer kurzen Unterweisung.

Die Führungskräfte haben Sie schon als Multiplikatoren im Boot. Das kommt Ihnen jetzt zu Gute. Greifen Sie entweder darauf zurück oder machen Sie für alle Mitarbeiter Präsenzschulungen und erläutern Sie die Inhalte der Richtlinie.

Ganz wichtig ist das WARUM!

Erläutern Sie in den Schulungen, warum Sie sich als Unternehmen für eine IT-Sicherheitsrichtlinie entschieden haben. Erklären Sie, warum es zu den einzelnen Inhalten kam. Wenn ich diese Schulung für meine Kunden übernehme, habe ich immer ein paar Beispiele und Videos dabei. Wie einfach ist es ein triviales Passwort zu hacken? Eine kleine Live-Demo und schon steigt das Bewusstsein, warum ein komplexes Passwort doch einen Sinn hat.

Wie kann man durch Social Engineering geschickt an Informationen kommen? Ein Video dazu und im Anschluss die Erklärung, wie sich Ihre Mitarbeiter am Telefon oder unterwegs verhalten sollten. Je mehr Sie erklären, WARUM für Sie als Unternehmen die Inhalte dieser Richtlinie wichtig sind, umso eher werden Ihre Mitarbeiter auch das Verständnis für die Einhaltung und Wichtigkeit der Richtlinie haben.

Unterschrift

Ich persönlich halte nichts von einer Unterschrift der Richtlinie. Manchmal höre ich als Argument, dass sich die Mitarbeiter mehr verpflichtet fühlen, wenn Sie die Richtlinie unterzeichnen. Ich weiß nicht, ob das so ist. Weniger die Verpflichtung der Einhaltung, sondern das Verständnis der Einhaltung wäre aus meiner Sicht das Ziel.

Dieses Verständnis können Sie, wie gerade erwähnt, über Schulungen erreichen. Die Teilnahme an der Schulung sollten Sie in einer Anwesenheitsliste dokumentieren. Aus meiner Sicht wäre das ausreichend. Die Informationssicherheitsrichtlinie ist ein verbindliches Vorgabedokument. Eine zusätzliche Unterschrift würde ich nicht empfehlen. Was machen Sie z .B. wenn sich ein Mitarbeiter weigert zu unterschreiben? Wie gehen Sie damit um, wenn es Änderungen im Inhalt gibt? Nochmal alle Mitarbeiter unterschreiben lassen?

Einhaltung

Das resultiert letztendlich aus den voran gegangenen Punkten. Hält sich die Leitung an die Richtlinie? Haben Sie gut erklärt, warum die Richtlinie wichtig ist? Sind die Punkte, die Sie vorgeben in der Praxis umsetzbar?

Dann decken Sie schon die wichtigsten Faktoren ab, die Ihre Mitarbeiter aus eigenem Antrieb motivieren, die IT-Sicherheitsrichtlinie einzuhalten. Nichtsdestotrotz müssen Sie aber auch die Einhaltung sicherstellen. Um eine Vorgabe, die niemand kontrolliert, wird sich auch keiner scheren. Oder parken Sie nicht auch mal im Halteverbot, wenn Sie genau wissen, dass keine Parküberwachung vorbeikommen wird?

Diese Überwachung ist aus meiner Sicht einer der schwierigsten Punkte an der ganzen IT-Richtlinie. Ich habe leider kein Patentrezept, das ich Ihnen an die Hand geben kann.

Anpassung

Scheuen Sie sich nicht, auch Fehler zuzugeben. Der 1. Wurf kann schon mal einen Stolperstein enthalten, den man auch trotz gründlicher Prüfung übersehen hat. Aus eigener Erfahrung weiß ich, wie schwer es ist – auch auf den Aufwand gesehen – eine Anpassung der Richtlinie vorzunehmen, diese zu veröffentlichen und zu kommunizieren.

Wenn Sie sich jetzt noch dazu entschieden haben, die Richtlinie unterzeichnen zu lassen, werden Sie eine neue Version kaum rausgeben wollen. Der Aufwand einer erneuten Unterschrift ist einfach unglaublich hoch. Daher meine Empfehlung noch mal: keine Unterschrift.

Das macht ein Update der Vorgaben um einiges einfacher. Seien Sie auch ganz offen in der Kommunikation, warum sich vielleicht der eine oder andere Punkt im Inhalt geändert hat.

Was sollte eine IT-Richtlinie inhaltlich mitbringen?

Sprache

Wie oben schon angesprochen, ist die Sprache, in der eine Richtlinie verfasst ist, für mich ein wesentlicher Bestandteil. Der Ton macht schließlich die Musik. Sie transportieren auf dieser Ebene eine Botschaft an alle, die Ihre Vorgaben einhalten sollten. Ein „Bitte“ an der richtigen Stelle tut der Richtlinie nicht weh und vermindert auch nicht deren Wichtigkeit. Es hebt aber bedeutend den Respekt Ihren Mitarbeitern gegenüber. Auch ist die aktive Form der Formulierung weitaus freundlicher, als die permanente Formulierung im Passiv. Dieselbe Aussage in unterschiedlichen Formen, kommt ganz unterschiedlich beim Empfänger an:

  • „Die private Nutzung der IT-Ausstattung ist verboten.“
  • „Bitte nutzen Sie die Ihnen übergebene IT-Ausstattung nur für geschäftliche Zwecke und nicht für private Angelegenheiten.“

Praxisbezogene Inhalte

Die Nutzung „freigegebener USB-Sticks“ habe ich ja schon weiter oben bemängelt. Sinnvoll wäre es also, solche Situationen in eine Positiv-Form zu bringen, die für Ihr Unternehmen angemessen ist.

Überlegen Sie sich vor der Erstellung einer IT-Sicherheitsrichtlinie, wie solche Prozesse bei Ihnen im Unternehmen ablaufen sollten. Bleiben wir beim Beispiel USB-Sticks. Wollen Sie durchgängig unterbinden, dass USB-Sticks in die Arbeitsplatz-Rechner eingesteckt werden, müssen Sie Lösungen bieten.

Das kann z.B. ein abgeschotteter Rechner pro Abteilung / Gebäude (je nach Unternehmensgröße) sein, der keine Verbindung ins Unternehmensnetzwerk hat. Dafür gibt es auf dieser Workstation einen oder mehrere Virenscanner, die das externe Medium prüfen und gezielt das Herunterladen einzelner bzw. benötigter Daten ermöglichen. Für einen solchen Fall müssen Sie aber auch bedenken, dass hin und wieder mal ein verseuchter Stick dabei sein kann. Soll diese Workstation täglich mit einem „sauberen“ Snapshot der Installation starten oder machen Sie manuell alle paar Tage einen Reset des Rechners? Diese Vorgehensweise zieht einen ziemlich großen und vor allem aufwändigen Rattenschwanz nach sich.

Hier sollten Sie sich tatsächlich im Voraus die Frage stellen, wie hoch Sie Ihr Sicherheitslevel ansetzen wollen und welche Maßnahmen Sie dafür in Kauf nehmen möchten. Eine aus meiner Sicht sinnvolle Lösung für ein „normales“ Sicherheitsniveau ist es, den Mitarbeiter mit in die Verantwortung zu nehmen.

Das kann dann z.B. so lauten: Verwenden Sie bitte nur externe Medien von vertrauenswürdigen Kontakten (z.B. Kunden, Geschäftspartner…). Scannen Sie das Medium vor der Verwendung auf Viren. (ggf. Link zur Anleitung, wie das funktioniert). Seien Sie besonders vorsichtig bei ausführbaren Dateien (z.B. .exe Endungen). Kontaktieren Sie im Zweifelsfall Ihre Führungskraft oder Ihre IT-Abteilung. Natürlich birgt ein solches organisatorisches Vorgehen ein größeres Risiko, als eine technische Lösung, die der Mitarbeiter gar nicht umgehen kann.

Das kann Ihnen auch kein Anwalt oder externer Dienstleister vorgeben. Beide können Ihnen Empfehlungen für eine Formulierung einer Richtlinie geben. Ob die Inhalte allerdings Ihrem Risikoniveau und Ihrem Sicherheitsstandard entsprechen, können und müssen nur Sie entscheiden.

Privatnutzung

Auch diese Entscheidung kann Ihnen niemand vorgeben. Man kann auch nicht pauschal über alle Unternehmen sagen, das Eine ist besser als das Andere. Es muss zu Ihrem Unternehmen und zu Ihrer Unternehmenskultur passen. Selbst wenn Sie private Nutzung generell befürworten, kann es doch sein, dass dies in Ihrem Unternehmen vielleicht gar nicht so sinnvoll ist.

Verbieten Sie die private Nutzung, müssen Sie auch kontrollieren, ob die Vorgaben eingehalten werden. Ansonsten sind Sie gleich beim Aspekt der „Duldung“. Erlauben Sie die private Nutzung, dann überlegen Sie sich gut, wie Sie die Punkte regeln, damit Ihnen die Anforderungen des Datenschutzes keinen Strich durch die Rechnung machen.

Mir gefällt es gut, wenn man darauf hinweist, dass das Unternehmen im begründeten Fall Zugriff auf die Geräte / E-Mails / Protokolle hat und damit eine Einsicht auf die Privatnutzung erlangen könnte. Wer das nicht möchte, sollte von einer privaten Nutzung absehen.

Hinweis auf technische Sicherheitsmaßnahmen

Bleiben Sie bei der Formulierung inhaltlich bei der IT-Sicherheitsrichtlinie. Machen Sie keine technische Anleitung daraus. Sie fragen sich, wie ich darauf komme? Das ist nicht unüblich.

Viele IT-Sicherheitsrichtlinien sind mehr als 10 Seiten lang, weil sich neben den Richtlinien und Regeln auch noch eine technische Dokumentation darin versteckt. Weisen Sie darauf hin, welche Passwortanforderungen es in Ihrem Unternehmen gibt. Auch wenn es technisch erzwungen wird und der Mitarbeiter das gar nicht ändern kann.

Trotzdem ist ein Hinweis auf den Standard sinnvoll. Nicht hineingehört – nach meinem Verständnis – eine detaillierte technische Anleitung, wie z.B. in Windows das Passwort geändert werden kann.

Solche technischen Anleitungen sollten Sie dringend separat dokumentieren. Dafür eignen sich Wikis sehr gut. In der Richtlinie verweisen Sie am besten kurz auf die Anleitung. Ziel: Die Richtlinie knackig und schlank halten!

Vorgaben für organisatorische Sicherheitsmaßnahmen

Bei den organisatorischen Sicherheitsmaßnahmen wird es natürlich interessanter. Die müssen Sie so gut es geht erläutern, um den oben erwähnten Missverständnissen vorzubeugen. Am besten klappt das, wenn Sie Ihren Vorschlag der IT-Sicherheitsrichtlinie an ein paar Key-User und Führungskräfte rausgeben und auf Praxistauglichkeit überprüfen lassen. Ein paar Beispiele aus der Praxis:

  • „Aktivieren Sie bei Abwesenheit (Krankheit, Urlaub…) Ihren Abwesenheitsagenten in den E-Mails.“ Da nicht jeder Mitarbeiter einen Laptop hat oder Onlinezugang, ist es gar nicht möglich, bei ungeplanter Abwesenheit den Abwesenheitsagenten zu aktivieren. Eine Umformulierung erleichtert vieles. „Aktivieren Sie bei geplanter Abwesenheit …. und informieren Sie Ihre Führungskraft bei Krankheit, Ihren Abwesenheitsagenten zu aktivieren.“ (Vergessen Sie nicht, dies vorher technisch abzuklären, dass die Vertretung oder die Führungskraft den Abwesenheitsagenten einschalten kann.)
  • „Sprechen Sie unbegleitete Personen am Firmengelände an, die keine Mitarbeiter sind.“ Damit dies möglich ist, müssen Sie vorher regeln, wie sich ein Mitarbeiter erkenntlich macht. Hat er einen Ausweis sichtbar zu tragen? Fördert das Unternehmen das Ansprechen von externen Personen? Dies ist meistens die häufigste Ursache, warum das nicht passiert. Kein Mitarbeiter will sich selbsts in eine Problemlage bringen, indem es vielleicht einen wichtigen Gast mit dieser Frage anspricht. Hier ist es wichtig, dass Sie das fördern und einfordern.

Muster für eine IT-Sicherheitsrichtlinie

Die perfekte Informationssicherheitsrichtlinie gibt es nicht, da sind wir uns hoffentlich einig. Trotzdem habe ich permanent meine Vorlagen dazu angepasst. Gerne stelle ich Ihnen diese Vorlage meiner Informationssicherheitsrichtlinie zur Verfügung. Die Abonnenten meines Newsletters erhalten dieses Muster mit Ihrer Begrüßungsmail. Hier können Sie sich zum Newsletter anmelden.

Wenn Sie sich nicht für unseren Newsletter anmelden möchten, dann schreiben Sie uns einfach eine kurze Mail an info@datenbeschuetzerin.de und wir schicken Ihnen die Vorlage entsprechend zu. Vergessen Sie nicht: Es ist nur eine Vorlage! Sie entscheiden, wie Ihr Sicherheitsniveau aussehen muss! Sie entscheiden, ob Sie die Inhalte anpassen oder übernehmen möchten! Und Sie entscheiden auch, ob Sie das Dokument noch mal von einem Anwalt prüfen lassen möchten!

Ihre Erfahrungen

Wie immer interessiert mich Ihre Erfahrung in der Praxis. Wie haben Sie das Thema Informationssicherheitsrichtlinie oder IT-Sicherheitsrichtlinie bisher gelebt? Schreiben Sie mir doch einen Kommentar dazu!

Diesen Beitrag teilen