IT-Sicherheits-Policies in Firmen und Behörden
Warum Mitarbeiter das Thema »Unternehmenssicherheit« ignorieren
Laut einer Umfrage von RSA Security missachtet die Mehrheit der befragten Arbeitnehmer die IT-Sicherheitsregeln, die ihr Arbeitgeber aufgestellt hat. Das passiert jedoch häufig nicht, um dem Brötchengeber eins auszuwischen, sondern weil viele Security-Policies unbrauchbar sind. Hier einige Tipps, wie sich das Unterlaufen solcher Regeln verhindern lässt.
Die RSA-Umfrage ergab, dass die meisten Befragten mit den Sicherheitsregeln ihrer Organisation zwar vertraut sind, aber diese nicht immer verstehen. Viele Unternehmen vergessen bei der Veröffentlichung ihrer Sicherheitspolitik, dass die reale Welt nicht immer nur Schwarz oder Weiß ist.
Daher kommen die Inhalte der Sicherheitsprozeduren bei den Mitarbeitern nicht immer korrekt an. Das ist höchst problematisch. Denn der wichtigste Aspekt jeder Sicherheitsrichtlinie ist, dass sie von den Mitarbeitern akzeptiert und verinnerlicht wird.
Sicherheitsverstöße sind laut der Untersuchung zu 37 Prozent schlichtweg auf Fehler der Anwender zurückzuführen. Bei 31 Prozent der Mitarbeiter wurde ein Ignorieren der Regeln festgestellt.
Die Tatsache, dass das Personal oft nicht auf die Regeln aufmerksam gemacht oder ausreichend geschult wird, sehen 13 Prozent der Befragten als Hauptursache an. Das mutwillige Untergraben von Security-Policies mit dem Ziel der Industriespionage halten noch 5 Prozent der Befragten für das höchste Risiko.
Web-Mail statt Betriebs-E-Mail
Hat ein Mitarbeiter eines Unternehmens einen Zugang zu einem Web-Mail-System wie etwa Google Mail, Web.de oder MSN, dann wird er diesen Zugang auch während der Arbeitszeit nutzen. Über diesen Mail-Account werden in der Folge nicht nur private E-Mails abgerufen, sondern unter Umständen auch Unternehmensdaten transferiert.
Dieser Umweg über die private E-Mail schleicht sich immer dann ein, wenn die Benutzer über das Unternehmenspostfach keine großen Dateien übermitteln können.
Bestehen Wege, das Arbeitshindernis zu umgehen, dann werden sie auch genutzt. Den Zugang zu Web Mailern zu sperren, hilft jedoch nicht weiter. Zum einen sorgt das für Unmut bei den Mitarbeitern, zum anderen löst es nicht das Problem, dass Unternehmens-E-Mail-Accounts oft die Arbeitsmöglichkeiten einschränken, siehe Limitierung beim Versand von Dateianhängen.
Besser ist es, den Mitarbeitern die Risiken klar zu machen, die mit dem Einsatz von nicht autorisierten E-Mail-Programmen zusammenhängen. Diese Software muss dann aber auch so ausgelegt sein, dass sie den Mitarbeiter nicht darin hindert, seinen Job zu erledigten.
Kennt niemand die Regeln, werden diese auch nicht befolgt
Besteht ein Unternehmen darauf, dass die Arbeitnehmer nicht mit bestimmten Anwendungen arbeiten oder bestimmte Webseiten nicht besuchen, muss es mehr tun, als nur die Policy per E-Mail an die Mitarbeiter zu verschicken.
Der für die Unternehmenssicherheit Verantwortliche muss sicherzustellen, dass die Arbeitnehmer sich der Sicherheitsregeln bewusst sind. Hierzu haben sich Sicherheitsschulungen oder Workshops zum Thema bewährt. Auch Auffrischungsschulungen mit neuen, überarbeiteten Materialien verbessern die Akzeptanz bei den Mitarbeitern.
- Warum Mitarbeiter das Thema »Unternehmenssicherheit« ignorieren
- Einhaltung der Regeln kontrollieren
- Tipps für effektive Sicherheitsregeln
Lesen Sie mehr zum Thema
