In einer Zeit in der Daten und Technologie die treibende Kraft für Unternehmen sind ist eine Sicherheitsrichtlinie unverzichtbar. Sie schützt vor Datenverlusten unbefugten Zugriffen Betrug und weiteren Bedrohungen. Gleichzeitig bietet sie konkrete Maßnahmen einen klaren Leitfaden für Mitarbeiter Führungskräfte und Geschäftspartner um die Sicherheitsziele des Unternehmens zu erreichen. Dennoch verzichten viele vorsätzlich darauf.
“Wir sind nur ein kleines Unternehmen da brauchen wir keine Sicherheitsrichtlinie”
“Wir
sind nur wenige Mitarbeiter da weiß jeder wie er sich zu verhalten hat.”
So kommt es dann dass ca. 41% der Unternehmen über 1000 vertrauliche Dateien mit sensiblen Daten wie Kreditkartennummern und Gesundheitsdaten ungeschützt gespeichert haben.
Kommt es durch die mangelhaften Sicherheitsrichtlinien dann doch zu einem Sicherheitsvorfall oder einem Datenverlust führt das zu finanziellen Verlusten rechtlichen Konsequenzen und vor allem Reputationsschäden. Das hat langfristige Auswirkungen auf das Kundenvertrauen und damit auf das Geschäft.
In diesem Artikel geben wir dir einen Überblick welche IT-Sicherheitsrichtlinien dein Unternehmen definitiv haben sollte und wie du sie am besten festlegst.
In Ihren IT-Sicherheitsrichtlinien sollte genau festgelegt sein wer unter welchen Umständen auf bestimmte Systeme und Daten zugreifen darf.
In jedem Unternehmen ist eine durchdachte Passwortrichtlinie ein sicherer aber oft unterschätzter Weg die sensiblen Daten und Zugänge zu schützen.
In deinen IT-Sicherheitsrichtlinien sollte genau definiert sein wie Mitarbeiter Informationen sicher teilen um versehentliche Datenverluste zu vermeiden.
Die Nutzung mobiler Endgeräte stellt für alle Unternehmen eine große Sicherheitsherausforderung da. Schließlich kann man nur schwer kontrollieren wie Mitarbeiter ihre Firmengeräte nutzen. Außerdem steigt mit jedem weiteren Gerät das Risiko dass eines verloren geht oder gestohlen wird. Dann weiß niemand wer die darauf gespeicherten Daten und Zugänge jetzt in der Hand hat. Aus diesem Grund sind Sicherheitsrichtlinien zur Endgeräte-Nutzung besonders wichtig.
Die Mitarbeiter nutzen Social Media und das Internet nicht nur privat auch im Rahmen des eigenen Marketings und Vertriebs sind Unternehmen in der Regel im Internet und den sozialen Medien präsent. Obwohl viele der Regeln zur Social-Media- und Internetnutzung vielleicht auch unter die Kategorie Kommunikation oder Datenschutz fallen können wollen wir hier unbedingt auf die Wichtigkeit einer Sicherheitsrichtlinie zu Social Media hinweisen.
In fast jedem Unternehmen arbeiten Mitarbeiter teilweise oder sogar konstant im Home Office bzw. Remote. Dazu solltest du deinen Mitarbeitern unbedingt eine Sicherheitsrichtlinie an die Hand geben denn öffentliche Wlans im Café unsichere Verbindungen zu Hause sowie Diebstahl sind zusätzliche Sicherheitsrisiken die durch Remote Work entstehen.
Für jedes Unternehmen das personenbezogene Daten verarbeitet gilt die DSGVO. Doch um die Compliance mit den gesetzlichen Vorgaben und den Schutz aller sensiben Daten zu gewährleisten solltest du auch eine unternehmensinterne möglichst praxisorientierte Datenschutzrichtlinie haben.
Im besten Fall kommt es nie zu einem Systemabsturz oder einem Datenverlust. Das lässt sich allerdings nicht garantieren weshalb jedes Unternehmen einen Wiederherstellungsplan für den Ernstfall braucht.
Ein Mitarbeiter klickt auf den Link in einer Phishing-Mail Daten werden gestohlen oder verschlüsselt Systeme sind nicht mehr zugänglich... Die Mitarbeiter sollten in diesen Notfällen einen Handlungsleitfaden haben mit denen der Schaden schnell behoben werden kann.
In der Regel werden IT-Sicherheitsrichtlinien in Zusammenarbeit von IT-Experten Geschäftsführern und weiteren Stakeholdern erstellt. Doch nicht jedes Unternehmen hat einen eigenen IT-Sicherheitsbeauftragten oder überhaupt eine IT-Abteilung. Viele lassen die Sicherheitsrichtlinie deshalb von externen Beratern erstellen.
Doch egal ob du dich mit deinem Team selbst um die Richtlinie kümmerst oder nicht: Es gibt einige Best Practices mit denen deine IT-Sicherheitsrichtlinie umsetzbar kosteneffizient und vor allem zuverlässig wird.
Der erste Schritt um eine umsetzbare IT-Sicherheitsrichtlinie zu erstellen ist es alle möglichen Bedrohungen und ihre Auswirkungen zu identifizieren. Mit welchen Geräten Systemen und Daten arbeiten die Mitarbeiter und wo besteht die Chance die Daten oder Zugänge zu verlieren?
Außerdem sollten die Risiken bewertet werden um sinnvolle Schutzmaßnahmen zu entwickeln. Nicht alle Daten sind hochsensibel und müssen mit dem höchsten Maß an Vorsicht behandelt werden. Wenn sogar der Kantinenspeiseplan nur verschlüsselt und passwortgeschützt verschickt werden darf kann das den Arbeitsalltag auch einschränken.
Im Anschluss solltest du die Sicherheitsziele klar definieren. Mögliche Ziele könnten sein: Datenverlust verhindern Betriebszeiten von Systemen maximieren oder Compliance mit den Vorschriften sicherstellen.
Aus den Zielen und den möglichen Risiken lassen sich konkrete Maßnahmen und Handlungen ableiten. Diese werden in einem Richtlinienentwurf festgehalten. In vielen Unternehmen wird jetzt der Fehler begangen diesen ersten Entwurf direkt auszudrucken und an alle Mitarbeiter zu verteilen.
Doch bevor du die Richtlinien endgültig machst solltest du unbedingt Feedback von den Mitarbeitern einholen.
Sind die Richtlinien praktikabel oder so einschränkend dass jemand seine Arbeit nicht mehr richtig ausführen kann ohne dagegen zu verstoßen?
Wurden wichtige Aspekte übersehen?
Sind alle Punkte verständlich oder brauchen die Mitarbeitern detailliertere Erklärung z.B. wie sie einen VPN-Zugang verwenden?
Die überarbeitete Version der Sicherheitsrichtlinien kann dann im Unternehmen implementiert werden. Meist sind Schulungen für neue Sicherheitsprotokolle nötig (z.B. im Umgang mit Phishing-Mails) neue Technologien und Software werden eingeführt und einige Prozesse sogar geändert um sie in Zukunft sicherer auszuführen.
Mit der Implementierung der Sicherheitsrichtlinien endet das Projekt noch nicht. Technologie entwickelt sich kontinuierlich weiter genau wie die Bedrohungen. Deshalb ist es nötig die IT-Infrastruktur durch regelmäßige Sicherheitsaudits Pentests und Kontrolle der Netzwerkaktivitäten kontinuierlich zu überwachen.
So können Sicherheitslücken und Richtlinienverstöße erkannt werden bevor sie zum Problem werden.
Auch wenn die Mitarbeiter bei der Umsetzung der Sicherheitsrichtlinien eine Schulung besucht haben sollten sie in regelmäßigen Abständen erneut geschult werden. Nicht umsonst müssen Erste-Hilfe-Kurse alle zwei Jahre aufgefrischt werden - Viele wichtige Informationen geraten in Vergessenheit wenn man nicht tagtäglich damit konfrontiert wird.
Hinzu kommt dass sich die Bedrohungen ständig weiterentwickeln. Die Mitarbeiter sollten also regelmäßig auf den neuesten Stand gebracht und für aktuelle Bedrohungen sensibilisiert werden.
Durch kontinuierliche Überprüfung und Überwachung stellst du sicher dass deine IT-Sicherheitsrichtlinien effektiv und relevant bleiben. Fallen Lücken auf kannst du die Richtlinie aktualisieren. Bei der sich stetig wandelnden Bedrohungslandschaft wird das immer wieder vorkommen - Endgültig fertig sind Sicherheitsrichtlinien nie.