Mitarbeitern kommt bei der Umsetzung der technischen und organisatorischen Maßnahmen im Unternehmen eine tragende Rolle zu. Ausgeprägtes Sicherheitsbewusstsein und die Möglichkeit, die vom Unternehmen gegebenen Vorgaben im alltäglichen Arbeitsleben umzusetzen sind Grundvoraussetzung für die Gewährleistung von Informationssicherheit und IT-Sicherheit im Unternehmen.
Der Inhalt im Überblick
Was Mitarbeiter mit IT-Sicherheit zu tun haben
Sicherheit braucht mehr als Technik. Täglich treffen Mitarbeiter Entscheidungen, die direkten oder indirekten Einfluss auf die Informations- und IT-Sicherheit des Unternehmens haben. Das beginnt bereits mit der Frage, ob sensible Unterlagen nach dem Arbeitstag vom Schreibtisch geräumt werden oder offen liegen bleiben. Auch die Tatsache, dass inzwischen fast alle Mitarbeiter das Internet nutzen, spielt eine große Rolle. Damit sind Mitarbeiter täglich der Gefahr von Schadsoftware ausgesetzt.
Nicht selten erhalten wir Nachrichten über immer besser getarnte Phishing-Mails, die vom Spam-Filter nicht erkannt werden. Somit übernehmen Mitarbeiter selbst eine zentrale Rolle für die Informations- und IT-Sicherheit des Unternehmens. Verantwortungsbewusste und kompetente Mitarbeiter sind daher einer der Erfolgsfaktoren für das Erreichen eines angemessenen Sicherheitsniveaus. Bei dem Prozess, ein angemessenes Sicherheitsniveau zu erreichen, empfiehlt es sich daher, die Mitarbeiter einzubinden.
Sicherheitsbewusstsein schaffen und Richtlinien erstellen
Man kann kaum erwarten, dass Mitarbeiter sich ihrer Verantwortung bewusst sind, ohne dieses Bewusstsein zu schaffen. Schulungen und Workshops, die hinsichtlich der Themen Informations- und IT-Sicherheit sensibilisieren, sind daher essentiell. Diese sollten neben Schulungen zum Thema Datenschutz einen festen Bestandteil der organisatorischen Maßnahmen eines Unternehmens bilden.
Neben dem Durchführen von Schulungen ist es ebenso wichtig, geeignete Regularien für alle sicherheitsrelevanten Aufgabenfelder zu entwickeln und den Mitarbeitern konkrete Regelungen und Anweisungen an die Hand zu geben. Dies stellt eine zentrale Aufgabe der Verantwortlichen für die IT- und Informationssicherheit dar.
Regeln für die Erstellung von Mitarbeiterrichtlinien
Die Richtlinien zu erstellen, kann zu einer großen Herausforderung werden. Zunächst sollte man sich daher einen Überblick darüber verschaffen, welche Themen man eigentlich regeln möchte. Als nächstes empfiehlt es sich, ein Team zusammen zu stellen, das die Richtlinien gemeinsam ausarbeitet. In diesem Team sollten neben den Verantwortlichen für IT- und Informationssicherheit auch Mitarbeiter aus der Personalabteilung und der Datenschutzbeauftragte sein. Sinnvoll kann auch sein, Vertreter aus den Fachabteilungen für regelmäßiges Feedback ins Boot zu holen.
Bei der eigentlichen Erstellung der Richtlinien sollten dann die folgenden Punkte berücksichtigt werden:
- Richtlinien klar, einfach und verständlich formulieren
- Umfang möglichst gering halten
- Prüfmethoden etablieren und die Einhaltung der Richtlinien regelmäßig überprüfen
- die Richtlinien sollten in der aktuellen Version jederzeit zur Verfügung stehen und leicht zugänglich sein