Wie man IT-Nutzungsrichtlinien für sein Unternehmen erstellt

Anders Bryde Thornild
By: Anders Bryde Thornild IT-Sicherheit | 9 Dezember

IT-Nutzungsrichtlinien können dazu beitragen, die Informationssicherheit Ihres Unternehmens zu stärken. Einerseits wird damit eine gesunde Informationssicherheitskultur gefördert, andererseits sorgt man so dafür, dass die Mitarbeiter*innen des gesamten Unternehmens über einheitliche Kenntnisse verfügen, was die Handhabung ihrer digitalen Aktivitäten angeht. Ziel ist, dass alle Gewissheit haben, was zu tun und was zu lassen ist.

In diesem Blog erfahren Sie, wie Sie mit unserer Vorlage welche Sie weiter unten auf dieser Seite finden – erstellen. Wir werden ebenfalls besprechen, worauf Sie beim Formulieren dieser Richtlinien für Ihr Unternehmen achten müssen.

Außerdem bieten wir Ihnen eine Vorlage, mit der IT-Sicherheitsrichtlinien erstellt werden können. Diese Vorlage finden Sie hier. Beide Dokumente stellen wichtige Hilfsmittel für die Förderung der Informationssicherheitskultur in Ihrem Unternehmen dar.

IT-Sicherheitsrichtlinie vs. IT-Nutzungsrichtlinien

Wenn Sie in Ihrem Unternehmen mit Cybersicherheit arbeiten, kann es sehr nützlich sein, sowohl IT-Sicherheitsrichtlinien als auch IT-Nutzungsrichtlinien zu haben. Mit Richtlinien und Verwendungs-Richtlinien stellen Sie klare Erwartungen bereit, die Ihre Sicherheit stärken.

Was sind IT-Sicherheitsrichtlinie?

Der Sinn einer IT-Sicherheitsrichtlinie ist es, allgemeine Ziele festzulegen, die in Ihrem Unternehmen angestrebt werden. Darüber hinaus wird betont, dass alle Mitarbeiter*innen für die Informationssicherheit des Unternehmens verantwortlich sind. Das Konzept ist ein kurzes Dokument, das aus nur wenigen Seiten besteht und das als eine Art Management-Memo anzusehen ist, in dem die Zielsetzungen für die IT-Sicherheitsmaßnahmen des Unternehmens stehen.

Was sind IT-Nutzungsrichtlinien?

IT-Nutzungsrichtlinien sind umfangreicher und enthalten Regeln und Richtlinien, denen der gesamte Betrieb folgen muss. Eine IT-Sicherheitsrichtlinie ist allgemein gehalten und hat strategischen Charakter, IT-Nutzungsrichtlinien wiederum sind konkret und umsetzbar. (Wenn Sie es vorziehen, das Tutorial zum Erstellen einer IT-Sicherheitsrichtlinie anzusehen, klicken Sie hier.)

IT-Nutzungsrichtlinien geben genaue Regeln vor

Während eine IT-Sicherheitsrichtlinie ein breiteres strategisches Ziel vorgibt, legen IT-Nutzungsrichtlinien spezifische Regeln fest, die befolgt werden müssen. Grundsätzlich sind dies Punkte, die in die alltäglichen Arbeitsroutinen eingebaut werden sollten. Beispielsweise kann es Richtlinien dazu geben, wie lang Passwörter sein sollten, wie Schreibtische organisiert sein müssen oder wie Geräte wie Laptops oder Smartphones privat genutzt werden dürfen.

Der Zweck besteht darin, den Rahmen vorzugeben, innerhalb dessen die Mitarbeiter*innen eines Unternehmens sich bewegen können. Und weil allen Mitarbeiter*innen Klarheit verschafft werden soll, müssen die Richtlinien ebenso leicht zu verstehen wie zu befolgen sein.

Damit Erfolg gewährleistet ist, sollte keine Person Zweifel daran haben, ob er oder sie gegen eine Regel verstößt oder nicht. Mitarbeiter*innen müssen in der Lage sein, auf einfache und sichere Weise durch den Arbeitsalltag zu manövrieren. Darüber hinaus sollte das Dokument kurz und bündig gefasst sein, denn zu viele Regeln können zu weniger Informationssicherheit führen – wenn man allein von der Anzahl der Richtlinien überfordert ist.  

Smart CTA_acceptable-use-policy DE

 

Wie die Vorlage zu verwenden ist

Die von uns zur Verfügung gestellte Vorlage sollte Ihrer eigenen nur als Inspiration dienen. Ihr Unternehmen hat spezifische Bedürfnisse und existiert in einem spezifischen Kontext, wodurch möglicherweise nur einige der Regeln relevant sind. Wir empfehlen, das zu gebrauchen, was für Sie von Belang ist, nach Bedarf eigene Richtlinien hinzuzufügen und den Rest beiseite zu lassen.

Die Vorlage enthält Richtlinien zu den folgenden Aspekten:

  • Absichtserklärung

  • Vertraulichkeit

  • Zugangscodes (Passwörter und PIN-Codes)

  • Physische Sicherheit

  • Wie außerhalb der Betriebsräumlichkeiten mit Geräten und Dateien umzugehen ist

  • Geräte und Software

  • Nutzerinformationen

  • Digitale Aktivitäten

  • Sicherheitsüberwachung und -protokollierung

  • Wie mit persönlichen Daten umzugehen ist

  • Sicherheitsvorfälle melden

Die Vorlage enthält zwei allgemeine Punkte: Zweckbestimmungen sowie Richtlinien und Grundsätze, wobei Richtlinien und Grundsätze 10 Schwerpunktbereiche für die Regeln in der Organisation haben. Wir werden jeden Punkt unten durchgehen.

 

Absichtserklärung

Zunächst legen wir eine Absichtserklärung ab. Sie gibt den Ton an und formuliert die Ziele der IT-Nutzungsrichtlinien deutlich. Im Allgemeinen sollte daraus hervorgehen, dass man von allen Mitarbeiter*innen des Unternehmens erwartet, dass sie die Regeln im Dokument befolgen. Hier ein Beispiel:

“X (Name des Unternehmens) gewährleistet, dass Systeme und Daten verfügbar sind und gleichzeitig vertraulich bleiben und ihre Integrität gewahrt wird. Alle Mitarbeiter*innen müssen verantwortungsbewusst, ethisch und rechtmäßig handeln. Alle X-Mitarbeite*innen, -Berater*innen und -Zeitarbeitskräfte müssen sorgfältig und diskret mit Kenntnissen umgehen, sei es im Schriftlichen, Elektronischen oder Mündlichen.

Daten und Kenntnisse müssen daher gemäß dem IT-Sicherheitsrichtlinie von X sowie gemäß den aufgeführten Richtlinien und Prinzipien gehandhabt werden. Um dies zu gewährleisten, werden die Mitarbeiter*innen von X immer wieder weitergebildet und durch diese kontinuierlichen Schulungen auf Themen der Internetsicherheit und der DSGVO (Datenschutz Grundverordnung) aufmerksam gemacht.” 

Kurz gesagt, die Absichtserklärung legt die Grundregeln dafür fest, wie IT-Systeme in Ihrem Unternehmen eingesetzt werden. Es sollte deutlich ausgedrückt werden, dass von den Mitarbeiter*innen erwartet wird, sich kontinuierlich weiterzubilden und über Wissenswertes auf dem Laufenden zu bleiben. Ein Unternehmen könnte hierbei besonders von digitalem Awarenes-Training profitieren.

Regeln und Prinzipien:

Die Regeln und Prinzipien verdeutlichen spezifische Richtlinien, die bei der Verwendung von IT-Systemen in Unternehmen zu beachten sind. Hier führen wir zehn Punkte an, die Sie in einen Leitfaden aufnehmen können.

1. Vertraulichkeit

Vertraulichkeit ist zwar normalerweise in Arbeits- oder Projektverträge integriert, trotzdem kann es nützlich sein, ihre Bedeutung zusätzlich in einem Leitfaden hervorzuheben. Dadurch wird betont, dass das Unternehmen von dein eigenen Mitarbeiter*innen vertraulichen Umgang mit relevanten Informationen, z. B. privaten Kundendaten, erwartet. Wir geben ein Beispiel:

“Alle Informationen von X müssen von Ihnen mit Diskretion und Sorgfalt behandelt werden. Unter keinen Umständen dürfen Sie auf Informationen, Systeme oder Netzwerke zugreifen oder diese verwenden, wenn sie für Ihre Arbeit nicht erforderlich sind. Geben Sie keine vertraulichen Informationen an Kolleg*innen, Berater*innen oder Zeitarbeitskräfte weiter, wenn diese die Informationen nicht für ihre jeweilige Aufgabe benötigen. Sie dürfen vertrauliche Informationen nur dann an Dritte weiterleiten, wenn ein eindeutiger geschäftlicher Zweck vorliegt. Bei der Arbeit mit externen Parteien müssen diese eine Vertraulichkeitserklärung unterzeichnet haben."

2. Zugangscodes (Passwörter und PIN-Codes)

In diesem Abschnitt kann Ihr Unternehmen Anforderungen festlegen, was Zugangscodes für Nutzer*innen angeht. Beispielsweise können Sie Bestimmungen über die Länge machen und Nutzer*innen verpflichten, Ziffern oder Sonderzeichen zu verwenden. Sie können diesen Abschnitt auch verwenden, um Mitarbeiter*innen davon abzuraten, Passwörter mehr als einmal zu verwenden. Hier können Sie mehr zu sicheren Passwörtern lesen.

Wir geben das folgende Beispiel:

“Alle Passwörter und PIN-Codes sind individuell. Um ein sicheres Passwort zu erstellen, empfehlen wir ein langes Wort mit mindestens zwölf Zeichen, das sowohl Groß- als auch Kleinbuchstaben, Zahlen und Sonderzeichen enthält. Wenn Sie Ihre Workstation verlassen, müssen Sie sich abmelden oder das Gerät sperren. Hinterlassen Sie niemals Passwörter auf schwarzen Brettern oder Papier und lassen Sie sie nicht auf Festplatten / E-Mail gespeichert. 

3. Physische Sicherheit

Der Abschnitt über die physische Sicherheit betrifft den Umgang mit Informationen, die auf physischen Geräten gespeichert sind. Hier werden auch ein paar bewährte Methoden genannt und Hinweise dazu gegeben, was besonders zu beachten sind. Zum Beispiel:  

“Bitte vergewissern Sie sich, dass Ihr Schreibtisch aufgeräumt ist und keine wichtigen Dokumente sichtbar sind, wenn Sie sie nicht gerade verwenden. Vertrauliche Informationen müssen in verschlossenen Schubladen, Schränken oder Ähnlichem aufbewahrt werden, damit Unbefugte keinen Zugriff darauf erhalten. Beachten Sie außerdem, dass Ihr PC-Bildschirm für andere sichtbar ist. Sie sollten keine vertraulichen und sensiblen Daten öffnen, wenn sich nicht autorisierte Personen hinter Ihnen befinden, die Ihre Aktivitäten über Ihre Schulter mitverfolgen könnten. 

4. Umgang mit Geräten und Dokumenten außerhalb der Betriebsräumlichkeiten

In diesem Abschnitt geht es um den Umgang mit Geräten und Dateien außerhalb der Räumlichkeiten Ihres Unternehmens / Ihrer Organisation, z. B. beim Homeoffice. Immer mehr Unternehmen mussten diese Details in letzter Zeit konkret definieren, da die Arbeit von zu Hause aus zu einer Notwendigkeit geworden ist.

Hier können Sie detaillieren, wie sich die Erwartungen für Homeoffice von denen für die Arbeit vor Ort eventuell unterscheiden. Dieser Abschnitt konzentriert sich hauptsächlich darauf, wie die IT-Ausrüstung Ihres Unternehmens sicher gemacht werden kann. Hier ein Beispiel:

“Wenn IT-Geräte außerhalb der Räumlichkeiten von X gebracht werden, müssen Sie sie mit einem PIN-Code oder einem Passwort sichern, die ein ausreichendes Maß an Sicherheit gegen den Zugriff unbefugter Personen gewährleisten. Während eines Fluges müssen mobile Geräte (d. h. Laptop und Smartphone) sowie Dokumente immer im Handgepäck mitgeführt werden."

5. Ausrüstung und Software

Heutzutage verwenden wir Cloud-Dienste und -Software, auf die man schnell zugreifen und aus dem Internet herunterladen kann. Daher ist es wichtig, einige allgemeine Regeln festzulegen, was die Verwendung und das Herunterladen von Diensten angeht, denn teilweise ist es unglaublich schwierig, die Aktivitäten seiner Teams zu kontrollieren und zu verfolgen. Wir geben hier ein Beispiel:

Alle IT-Systeme, Ausrüstung oder Speichergeräte müssen von X genehmigt werden und den von uns festgelegten Unternehmensstandards entsprechen. Schließen Sie nicht autorisierte Geräte niemals an Ihre Workstation oder Netzwerke an. Dies gilt auch für USB-Stifte und Smartphones. Darüber hinaus dürfen Sie Programme nur installieren oder herunterladen, wenn Sie dazu berechtigt sind. Software und Geräte sind Eigentum von X und müssen entsprechend behandelt werden. Daher dürfen Sie sie nicht an andere verleihen, auch nicht an Familienangehörige. Für die Datenverarbeitung müssen Sie den internen Datenserver von X verwenden. Die Verwendung von Cloud-basierten Diensten wie Google Drive, Dropbox und webbasiertem File-Sharing ist nur erlaubt, wenn Daten von externen Parteien empfangen werden. Es ist nicht gestattet, die Daten von X auf nicht autorisierte Dienste hochzuladen. Die Software muss immer gemäß den von X angegebenen Lizenzbedingungen verwendet werden. 

6. Nutzeridentität

Nutzerinformationen beziehen sich auf Nutzernamen und Passwörter, die zum Anmelden bei den IT-Systemen des Unternehmens verwendet werden. Beispielsweise wäre es denkbar, dass mehrere Nutzer*innen Nutzerinformationen gemeinsam verwenden und jeweils dieselben Anmeldedaten gebrauchen. Wir empfehlen jedoch, dass jeder seine eigenen Nutzeranmeldeinformationen einrichtet, damit niemand aufgrund von Handlungen anderer in Schwierigkeiten gerät. Wir geben hier ein Beispiel für diese Richtlinie:

“Nutzerrechte müssen respektiert werden. Verwenden Sie daher nur Ihre eigenen Nutzerinformationen, wenn Sie sich anmelden. Teilen Sie Ihre Nutzerinformationen niemals anderen mit, auch nicht Ihrem Arbeitgeber. Der Missbrauch von Anmeldeinformationen und digitalen Aktivitäten kann digitale Spuren hinterlassen, die sich negativ auf X auswirken. 

7. Die Nutzung von E-Mail, Internet und SMS

Hier können Sie bewährte Verfahren und Einschränkungen digitaler Aktivitäten auf firmeneigenen Geräten diskutieren. Es ist wichtig, realistische Erwartungen zu setzen. Einige davon können dem entsprechen, was wir gemeinhin als gesunden Menschenverstand bezeichnen. Wenn Sie zum Beispiel den Besuch bestimmter öffentlicher Websites oder das Abrufen privater E-Mails verbieten, könnte das empören. Sie können aber den privaten Gebrauch während der Arbeitszeit begrenzen. Es ist selbstverständlich, dass illegale Websites und Aktivitäten verboten werden sollten. Es liegt jedoch in Ihrem Ermessen, Regeln so festzulegen, dass Ihr Team noch ein paar Freiheiten hat, an einer bestimmten Stelle aber eine Grenze gezogen wird. Wir geben hier ein Beispiel:

“Minimieren Sie bitte jeglichen privaten Gebrauch des Internets und Ihres persönlichen E-Mail-Kontos auf den Geräten von X. Speichern Sie persönliche Dokumente lokal in einem Ordner auf Ihrem Computer und kennzeichnen Sie sie als ‚privat‘. Personenbezogene Daten dürfen nicht per E-Mail versandt werden. Es ist strengstens untersagt, die E-Mail-Konten, Computer, Tablets und Mobiltelefone von X zu verwenden, um pornografische, rassistische, extremistische oder kriminelle Inhalte anzuzeigen. Bei empfangenen E-Mails muss die E-Mail-Adresse des Absenders immer überprüft werden, bevor man unbekannte Links und Dokumente öffnet. 

8. Sicherheitsüberwachung und -protokollierung

Hiermit soll bekannt gemacht werden, dass Sie als Betrieb aus Sicherheitsgründen die digitalen Aktivitäten Ihres Teams protokollieren und überwachen können. Dies bedeutet nicht unbedingt, dass Sie dies routinemäßig tun, und es ist auch wichtiger, dass Sie die Privatsphäre Ihres Teams respektieren. Indem Sie jedoch auf die Möglichkeiten hinweisen, können Sie Ihre Mitarbeiter*innen dazu bewegen, ihre digitalen Aktivitäten im Rahmen des gesunden Menschenverstands zu begrenzen. Wir geben hier ein Beispiel:

“X respektiert die Privatsphäre der einzelnen Mitarbeiter und hält sich an örtliche Gesetze und Vorschriften. Wir behalten uns jedoch das Recht vor, die IT-Nutzung unseres Teams zu protokollieren und unter bestimmten Umständen den Zugriff auf die E-Mails und Dateien einzelner Mitarbeiter zu verlangen.

9. Umgang mit personenbezogenen Daten

Der Umgang mit personenbezogenen Daten ist Teil der zu erfüllenden Aufgaben, wenn ein Unternehmen DSGVO-konform sein will. Normalerweise sind für die Einhaltung der DSGVO aufwendigere Prozesse nötig als nur eine Reihe von Regeln, die in einem Dokument zur IT-Nutzung zusammengefasst werden können. Solche Richtlinien bieten trotzdem eine gute Möglichkeit, um Mitarbeiter*innen auf ein paar der allgemeinen, den Umgang mit personenbezogenen Daten betreffenden Anforderungen aufmerksam zu machen. Diese Anforderungen sagen nicht viel über die zu ihrer Erfüllung notwendigen Prozesse aus, sie können jedoch Bewusstsein für die Bedeutung eines vorsichtigen Umgangs mit personenbezogenen Daten schaffen. Ein Beispiel:  

“Bei X achten wir sehr darauf, gut mit den persönlichen Daten, die uns unsere Kunden, Mitglieder, Mitarbeiter*innen und Partner anvertraut haben, umzugehen und sie zu schützen. Wir arbeiten kontinuierlich an der Entwicklung und Implementierung sicherer Prozesse, durch die gewährleistet wird, dass personenbezogene Daten auf rechtmäßige und sichere Art verarbeitet werden.

Für die Verarbeitung personenbezogener Daten haben wir die folgenden grundlegenden Standards festgelegt:

  • Mitarbeiter*innen dürfen nur auf personenbezogene Daten zugreifen, die für ihre Arbeit und Funktion relevant sind.

  • Personenbezogene Daten (zum Beispiel die eines Kunden) sollten nur dann intern weitergegeben werden, wenn sie für die Aufgabe und Funktion des Empfängers relevant sind.

  • E-Mails mit personenbezogenen Daten sollten gelöscht werden, sobald die entsprechenden Daten verarbeitet wurden.

  • Personenbezogene Daten dürfen nicht länger als nötig lokal oder im Posteingang gespeichert werden. Verwenden Sie stattdessen eines der vom Unternehmen dafür vorgesehenen Systeme.

  • Sowohl physische Unterlagen als auch digitale Dateien sollten regelmäßig überprüft werden, um sicherzustellen, dass sie keine personenbezogenen Daten enthalten, die länger als nötig gespeichert sind.

10. Sicherheitsvorfälle melden

Der letzte Punkt soll veranschaulichen, wie wichtig es ist, Sicherheitsvorfälle zu melden. Da klare Kommunikation die einzige Möglichkeit ist, andere vor einem Vorfall zu warnen und zu schützen, sollte das Personal verpflichtet sein, Sicherheitsvorfälle zu melden, die es beobachtet oder denen es ausgesetzt ist. In diesem Abschnitt können Sie Beispiele dafür geben, was ein Sicherheitsvorfall bedeuten könnte und an wen er gemeldet werden sollte. Wichtig ist, dass Ihr Team weiß, wann es handeln und wen es ansprechen muss. Wir geben hier ein Beispiel:

“Wenn Sie vermuten, dass ein Sicherheitsvorfall vorliegt, müssen Sie dies sofort Ihrem direkten Vorgesetzten und der IT-Abteilung melden.”

Beispiele von Sicherheitsvorfällen:

  • Sie haben eine verdächtige E-Mail erhalten

  • E-Mails mit persönlichen Daten wurden an den falschen Empfänger gesendet

  • IT-Ausrüstung ist verloren gegangen

Zögern Sie nicht, Ihre*n Vorgesetzte*n (XXX) zu kontaktieren, wenn Sie wegen einer Sache Verdacht schöpfen. Sicher ist sicher!

Die Richtlinien sind ein erster Schritt, um gute Gewohnheiten zu festigen

Die Richtlinien ermöglichen es Ihren Teammitgliedern, auf einfache Weise zu überprüfen, was sie tun können oder nicht. Es ist jedoch wichtig darauf hinzuweisen, dass solche Bemühungen allein nicht genug sind. Sie können nicht einfach Regeln aufschreiben und erwarten, dass alle sich daranhalten. Ihr Team muss kontinuierlich geschult werden, damit die Teammitglieder sich immer des Gewichts potenzieller Sicherheitsvorfälle bewusst sind.  

Eine starke Grundlage für Ihre Online-Sicherheitskultur

Die IT-Nutzungsrichtlinien bilden eine solide Grundlage, auf der Sie eine starke Informationssicherheitskultur in Ihrem Unternehmen aufbauen können. Wenn Sie sich jetzt bereit fühlen und beginnen möchten, eine IT-Sicherheitsrichtlinie zu erstellen, finden Sie hier einen ähnlichen Leitfaden zur Orientierung.

Es ist wichtig, dass die Dokumente, nachdem Sie sie ausgefüllt haben, nicht nur herumliegen und verstauben, sondern dass Sie sie immer wieder überprüfen und aktualisieren. Wir empfehlen Ihnen, dies einmal im Jahr zu tun. Darüber hinaus muss aktiv mit den Zielen und Richtlinien aus beiden Dokumenten gearbeitet werden, damit Sie eine gesunde Informationssicherheitskultur in Ihrem Unternehmen durchsetzen können.

Wir hoffen, unsere Vorlage und Anleitung waren für Sie hilfreich!