Als IT-Experte werde ich in vielen mittelständischen Unternehmen beratend tätig. Bei fast allen meiner Kunden spielt dabei das Thema Sicherheit eine große Rolle. Wie man IT-Richtlinien sinnvoll erstellt und dafür sorgt, dass Mitarbeiter diese auch anwenden, ist daher oft ein zentrales Thema.
Mit den IT-Richtlinien auf alle Eventualitäten vorbereitet.
„Was sind eigentlich IT-Richtlinien und zu was brauchen wir diese denn?“ – So lauten oft die ersten Fragen, die mir gestellt werden. Nun in den IT-Richtlinien werden die Regeln für die Nutzung der IT innerhalb eines Unternehmens definiert.
Beschäftigt man sich oft mit Unternehmens-IT, so wie ich, weiß man natürlich wo sich die sensiblen Bereiche befinden und auf was geachtet werden muss. Die meisten Ihrer Mitarbeiter haben aber wahrscheinlich andere Spezialisierungen und wissen nicht unbedingt, wann sie durch ihr Verhalten die Daten des Unternehmens und die Funktionalität der IT-Infrastruktur gefährden. Daher empfehle ich jedem Unternehmen, Grundregeln für die IT-Nutzung aufzustellen.
Falls in Ihrem Unternehmen bislang noch keine definierten Regeln zur IT-Nutzung vorliegen, helfe ich Ihnen natürlich gerne weiter und gebe Ihnen an dieser Stelle eine kurze Übersicht über die wichtigsten Bestandteile der IT-Richtlinien.
Bevor Sie mit der Erstellung beginnen, machen Sie sich zunächst klar, für wen die IT-Richtlinien gelten sollen. Sie können bspw. von festangestellte Mitarbeiter, Freelancer, Zeitarbeiter, Auszubildende und Werkstudenten sowie auch externe Partner, Dienstleister, Berater und eventuell sogar von Kunden angewendet werden. Je nach dem wer mit Ihrer IT in Berührung kommt, so sollten die Richtlinien auch ausgestaltet werden. Inhaltlich sollten die IT-Richtlinien folgende Punkte enthalten, die Sie um unternehmensspezifische Details ergänzen können:
1. Allgemeine Regelungen:
- die IT des Unternehmens darf ausschließlich für Unternehmenszwecke genutzt werden
- Software darf nicht für private Zwecke installiert werden
- es darf nur Software installiert werden, die durch den Arbeitgeber vorgegeben oder genehmigt wurde
- private Endgeräte dürfen nicht ohne ausdrückliche Genehmigung des Arbeitgebers für die Arbeit verwendet werden
2. Vorgaben für IT-Arbeitsplätze:
- Der Arbeitsplatz muss so gestaltet werden, dass sich Dritte ohne spezielle Berechtigung keinen Zugang zu den Daten verschaffen können. Dazu gehört zum Beispiel, dass das Büro grundsätzlich abgeschlossen werden muss, wenn es verlassen wird und dass der Bildschirm gesperrt werden muss, wenn man sich vom Arbeitsplatz entfernt.
- In Bereichen mit Publikumsverkehr müssen die Bildschirme so ausgerichtet werden, dass sie nicht ohne Weiteres von Dritten eingesehen werden können.
3. Der Umgang mit Passwörtern:
- Wenn möglich, sollen alle Anwendungen ausschließlich nach Authentifizierung (Eingabe von Benutzername & Passwort) zur Verfügung stehen.
- Im Idealfall vergibt die IT-Abteilung Benutzernamen und Passwort.
- Es gibt klare Vorgaben für die Erstellung von sicheren Passwörtern.
- Die Passwörter müssen regelmäßig geändert werden.
4. Schutzmaßnahmen vor Schad-Inhalten
- Virenschutzprogramme sollten Schad-Inhalte heraus filtern, insbesondere bei der E-Mailkommunikation.
- Mitarbeiter sind verpflichtet, E-Mails mit unbekannten oder verdächtigen Anhängen vor dem Öffnen durch die IT-Abteilung überprüfen zu lassen.
5. Vorgaben zur Verwendung von E-Mails und Internet
- Internet und E-Mail dürfen ausschließlich für dienstliche Zwecke genutzt werden, es sei denn, das Unternehmen gestattet ausdrücklich die private Nutzung.
6. Verhalten bei Sicherheitsvorfällen
- Wenn Mitarbeiter ein Sicherheitsrisiko entdecken, sollen sie sich umgehend an die IT-Abteilung und / oder ihren Vorgesetzten wenden.
7. Anweisungen
- Die Mitarbeiter sind verpflichtet, sich an die Anweisungen der IT-Abteilung bei der Nutzung der Unternehmens-IT zu halten.
Kreativität ist gefragt
So eine IT-Richtlinie klingt recht trocken, kann aber Problemen wie Virenbefall, IT-Ausfällen und Datenverlusten vorbeugen. Außerdem kann man das Ganze auch mit Witz umsetzen. So lautet die Anweisung zum Computer-Arbeitsplatz einer Firma, die ich betreue: Finden Sie einen verlassenen, ungeschützten Arbeitsplatz, so setzten Sie sich kurz und nutzen Sie den ungeschützten PC um folgende Email an den Firmenverteiler zu senden:
„Liebe Kollegen,
ich gebe Freitagnachmittag eine Runde aus. Treffpunkt: Kaffeeküche, 16:00 Uhr.
Viele Grüße…“
Die Einhaltung war natürlich Ehrensache.
[…] sollte bei der Erstellung solch eines Notfallplanes bereits Maßnahmen zur Vorsorge getroffen werden. Durch Installationen von bspw. Datensicherungsprogrammen (Back Ups) oder […]
Kommentare sind deaktiviert.