Inhaltsverzeichnis
  1. Welche Sicherheitsrichtlinien sollte mein Unternehmen haben?
  2. 1. IT-Sicherheitsrichtlinie: Zugriffsrechte
  3. 2. IT-Sicherheitslinie: Passwortverwaltung
  4. 3. IT-Sicherheitsrichtlinie: Kommunikationsregeln
  5. 4. IT-Sicherheitsrichtlinie: Endgeräte-Nutzung
  6. 5. IT-Sicherheitsrichtlinie: Social-Media- und Internetnutzung
  7. 6. IT-Sicherheitsrichtlinie: Remote-Work-Leitfaden
  8. 7. IT-Sicherheitsrichtlinie: Datenschutz
  9. 8. IT-Sicherheitsrichtlinie: Backup und Wiederherstellung
  10. 9. IT-Sicherheitsrichtlinie: Notfallreaktionsplan
  11. Best Practices: Sicherheitsrichtlinie erstellen

Welche Sicherheitsrichtlinien sollte mein Unternehmen haben?

In einer Zeit in der Daten und Technologie die treibende Kraft für Unternehmen sind ist eine Sicherheitsrichtlinie unverzichtbar. Sie schützt vor Datenverlusten unbefugten Zugriffen Betrug und weiteren Bedrohungen. Gleichzeitig bietet sie konkrete Maßnahmen einen klaren Leitfaden für Mitarbeiter Führungskräfte und Geschäftspartner um die Sicherheitsziele des Unternehmens zu erreichen. Dennoch verzichten viele vorsätzlich darauf.

“Wir sind nur ein kleines Unternehmen da brauchen wir keine Sicherheitsrichtlinie”
“Wir sind nur wenige Mitarbeiter da weiß jeder wie er sich zu verhalten hat.”

So kommt es dann dass ca. 41% der Unternehmen über 1000 vertrauliche Dateien mit sensiblen Daten wie Kreditkartennummern und Gesundheitsdaten ungeschützt gespeichert haben.

Kommt es durch die mangelhaften Sicherheitsrichtlinien dann doch zu einem Sicherheitsvorfall oder einem Datenverlust führt das zu finanziellen Verlusten rechtlichen Konsequenzen und vor allem Reputationsschäden. Das hat langfristige Auswirkungen auf das Kundenvertrauen und damit auf das Geschäft.

In diesem Artikel geben wir dir einen Überblick welche IT-Sicherheitsrichtlinien dein Unternehmen definitiv haben sollte und wie du sie am besten festlegst.

1. IT-Sicherheitsrichtlinie: Zugriffsrechte

In Ihren IT-Sicherheitsrichtlinien sollte genau festgelegt sein wer unter welchen Umständen auf bestimmte Systeme und Daten zugreifen darf.

  • Wer kann wann auf welche Daten und Systeme zugreifen?
  • Wer hat welche Art von Zugriff (Lesen Bearbeiten Löschen)?
  • Unter welchen Bedingungen ändern sich die Zugriffsrechte?
  • Wie werden die Zugriffsrechte umgesetzt (Passwörter Zwei-Faktor-Authentifizierung)?

2. IT-Sicherheitslinie: Passwortverwaltung

In jedem Unternehmen ist eine durchdachte Passwortrichtlinie ein sicherer aber oft unterschätzter Weg die sensiblen Daten und Zugänge zu schützen.

  • Wie werden Passwörter erstellt?
  • Wie dürfen Passwörter gespeichert werden? Ist es erlaubt die Passwörter im Browser automatisch ausfüllen zu lassen oder sie auf einem Klebezettel am Schreibtisch zu notieren?
  • Müssen Passwörter regelmäßig geändert werden? Wenn ja wie oft?
  • Wie lang und komplex müssen Passwörter sein?

3. IT-Sicherheitsrichtlinie: Kommunikationsregeln

In deinen IT-Sicherheitsrichtlinien sollte genau definiert sein wie Mitarbeiter Informationen sicher teilen um versehentliche Datenverluste zu vermeiden.

  • Wie werden Informationen sicher übertragen und geteilt? (z.B passwortgeschützte Dateien keine persönlichen Daten an externe E-Mail Adressen etc.)
  • Welche Verschlüsselungsmethoden verwenden wir?
  • An wen werden verdächtige E-Mails oder SMS gemeldet?
  • Wie oft werden die Mitarbeiter zu Phishing und Social Engineering geschult?

4. IT-Sicherheitsrichtlinie: Endgeräte-Nutzung

Die Nutzung mobiler Endgeräte stellt für alle Unternehmen eine große Sicherheitsherausforderung da. Schließlich kann man nur schwer kontrollieren wie Mitarbeiter ihre Firmengeräte nutzen. Außerdem steigt mit jedem weiteren Gerät das Risiko dass eines verloren geht oder gestohlen wird. Dann weiß niemand wer die darauf gespeicherten Daten und Zugänge jetzt in der Hand hat. Aus diesem Grund sind Sicherheitsrichtlinien zur Endgeräte-Nutzung besonders wichtig.

  • Welche Sicherheitstools müssen die Endgeräte haben (Antivirensoftware Firewalls)?
  • Gibt es bestimmte Websites und Apps die nicht erlaubt sind?
  • Dürfen Firmengeräte auch privat genutzt werden?
  • Kann die Aktivität auf dem Gerät im Zweifelsfall eingesehen werden?
  • Wie werden Endgeräte im Falle von Verlusten oder Diebstählen geschützt (Passwörter Zugänge aus der Ferne sperren etc.)?

5. IT-Sicherheitsrichtlinie: Social-Media- und Internetnutzung

Die Mitarbeiter nutzen Social Media und das Internet nicht nur privat auch im Rahmen des eigenen Marketings und Vertriebs sind Unternehmen in der Regel im Internet und den sozialen Medien präsent. Obwohl viele der Regeln zur Social-Media- und Internetnutzung vielleicht auch unter die Kategorie Kommunikation oder Datenschutz fallen können wollen wir hier unbedingt auf die Wichtigkeit einer Sicherheitsrichtlinie zu Social Media hinweisen.

  • Was darf auf den firmeneigenen Social-Media-Accounts und der Website gepostet werden?
  • Welche Posts benötigen erst eine Freigabe?
  • Was dürfen Mitarbeiter privat im Internet über das Unternehmen preisgeben? Was würde die Datenschutzrichtlinie verletzen?

6. IT-Sicherheitsrichtlinie: Remote-Work-Leitfaden

In fast jedem Unternehmen arbeiten Mitarbeiter teilweise oder sogar konstant im Home Office bzw. Remote. Dazu solltest du deinen Mitarbeitern unbedingt eine Sicherheitsrichtlinie an die Hand geben denn öffentliche Wlans im Café unsichere Verbindungen zu Hause sowie Diebstahl sind zusätzliche Sicherheitsrisiken die durch Remote Work entstehen.

  • Dürfen die Mitarbeiter über öffentliches Wlan auf das Firmennetzwerk zugreifen?
  • Muss ein VPN verwendet werden?
  • Darf das private Gerät für Firmenangelegenheiten verwendet werden?

7. IT-Sicherheitsrichtlinie: Datenschutz

Für jedes Unternehmen das personenbezogene Daten verarbeitet gilt die DSGVO. Doch um die Compliance mit den gesetzlichen Vorgaben und den Schutz aller sensiben Daten zu gewährleisten solltest du auch eine unternehmensinterne möglichst praxisorientierte Datenschutzrichtlinie haben.

  • Welche Arten von Daten verarbeitet das Unternehmen und wie müssen die einzelnen Datenklassen geschützt werden?
  • Wie dürfen personenbezogene Daten verwendet werden?
  • Wann dürfen Daten weitergegeben werden?
  • Wie werden Daten nach dem Speichern geschützt? (z.B. vor Hackerangriffen)

8. IT-Sicherheitsrichtlinie: Backup und Wiederherstellung

Im besten Fall kommt es nie zu einem Systemabsturz oder einem Datenverlust. Das lässt sich allerdings nicht garantieren weshalb jedes Unternehmen einen Wiederherstellungsplan für den Ernstfall braucht.

  • Wie oft werden Daten gesichert?
  • Wo werden Backups gespeichert?
  • Welche Wiederherstellungsmöglichkeiten gibt es im Falle eines Datenverlusts?

9. IT-Sicherheitsrichtlinie: Notfallreaktionsplan

Ein Mitarbeiter klickt auf den Link in einer Phishing-Mail Daten werden gestohlen oder verschlüsselt Systeme sind nicht mehr zugänglich... Die Mitarbeiter sollten in diesen Notfällen einen Handlungsleitfaden haben mit denen der Schaden schnell behoben werden kann.

  • Welche Schritte sind im Falle einer Datenschutzverletzung oder eines Sicherheitsvorfalls zu befolgen?
  • Wie wird der Vorfall gemeldet?
  • Wie werden die Systeme wiederhergestellt?
  • Wie wird die Ursache des Vorfalls gefunden?

Best Practices: Sicherheitsrichtlinie erstellen

In der Regel werden IT-Sicherheitsrichtlinien in Zusammenarbeit von IT-Experten Geschäftsführern und weiteren Stakeholdern erstellt. Doch nicht jedes Unternehmen hat einen eigenen IT-Sicherheitsbeauftragten oder überhaupt eine IT-Abteilung. Viele lassen die Sicherheitsrichtlinie deshalb von externen Beratern erstellen.

Doch egal ob du dich mit deinem Team selbst um die Richtlinie kümmerst oder nicht: Es gibt einige Best Practices mit denen deine IT-Sicherheitsrichtlinie umsetzbar kosteneffizient und vor allem zuverlässig wird.

Risiken identifizieren und bewerten

Der erste Schritt um eine umsetzbare IT-Sicherheitsrichtlinie zu erstellen ist es alle möglichen Bedrohungen und ihre Auswirkungen zu identifizieren. Mit welchen Geräten Systemen und Daten arbeiten die Mitarbeiter und wo besteht die Chance die Daten oder Zugänge zu verlieren?

Außerdem sollten die Risiken bewertet werden um sinnvolle Schutzmaßnahmen zu entwickeln. Nicht alle Daten sind hochsensibel und müssen mit dem höchsten Maß an Vorsicht behandelt werden. Wenn sogar der Kantinenspeiseplan nur verschlüsselt und passwortgeschützt verschickt werden darf kann das den Arbeitsalltag auch einschränken.

Ziele festlegen

Im Anschluss solltest du die Sicherheitsziele klar definieren. Mögliche Ziele könnten sein: Datenverlust verhindern Betriebszeiten von Systemen maximieren oder Compliance mit den Vorschriften sicherstellen.

Richtlinienentwürfe entwickeln & Feedback einholen

Aus den Zielen und den möglichen Risiken lassen sich konkrete Maßnahmen und Handlungen ableiten. Diese werden in einem Richtlinienentwurf festgehalten. In vielen Unternehmen wird jetzt der Fehler begangen diesen ersten Entwurf direkt auszudrucken und an alle Mitarbeiter zu verteilen.

Doch bevor du die Richtlinien endgültig machst solltest du unbedingt Feedback von den Mitarbeitern einholen.

Sind die Richtlinien praktikabel oder so einschränkend dass jemand seine Arbeit nicht mehr richtig ausführen kann ohne dagegen zu verstoßen?

Wurden wichtige Aspekte übersehen?

Sind alle Punkte verständlich oder brauchen die Mitarbeitern detailliertere Erklärung z.B. wie sie einen VPN-Zugang verwenden?

Richtlinien implementieren

Die überarbeitete Version der Sicherheitsrichtlinien kann dann im Unternehmen implementiert werden. Meist sind Schulungen für neue Sicherheitsprotokolle nötig (z.B. im Umgang mit Phishing-Mails) neue Technologien und Software werden eingeführt und einige Prozesse sogar geändert um sie in Zukunft sicherer auszuführen.

Überwachen und Überprüfen

Mit der Implementierung der Sicherheitsrichtlinien endet das Projekt noch nicht. Technologie entwickelt sich kontinuierlich weiter genau wie die Bedrohungen. Deshalb ist es nötig die IT-Infrastruktur durch regelmäßige Sicherheitsaudits Pentests und Kontrolle der Netzwerkaktivitäten kontinuierlich zu überwachen.

So können Sicherheitslücken und Richtlinienverstöße erkannt werden bevor sie zum Problem werden.

Kontinuierliche Schulungen

Auch wenn die Mitarbeiter bei der Umsetzung der Sicherheitsrichtlinien eine Schulung besucht haben sollten sie in regelmäßigen Abständen erneut geschult werden. Nicht umsonst müssen Erste-Hilfe-Kurse alle zwei Jahre aufgefrischt werden - Viele wichtige Informationen geraten in Vergessenheit wenn man nicht tagtäglich damit konfrontiert wird.

Hinzu kommt dass sich die Bedrohungen ständig weiterentwickeln. Die Mitarbeiter sollten also regelmäßig auf den neuesten Stand gebracht und für aktuelle Bedrohungen sensibilisiert werden.

Richtlinien regelmäßig aktualisieren

Durch kontinuierliche Überprüfung und Überwachung stellst du sicher dass deine IT-Sicherheitsrichtlinien effektiv und relevant bleiben. Fallen Lücken auf kannst du die Richtlinie aktualisieren. Bei der sich stetig wandelnden Bedrohungslandschaft wird das immer wieder vorkommen - Endgültig fertig sind Sicherheitsrichtlinien nie.