IT Security Policies bzw. Sicherheits-Richtlinien in Unternehmen

Sehr viele Unternehmen besitzen keine IT-Sicherheits- Richtlinien, obwohl mittlerweile viele kritische und immer komplexer werdende Geschäftsprozesse von einer sicheren und intakten Informationstechnologie abhängen. Und auch die dazu notwendige Technik wird immer anspruchsvoller und aufwändiger.

Oft wird einfach nur der gegebenen Sicherheitstechnik und den Sicherheitslösungen wie Firewalls, Antivirus-Programmen usw. blind vertraut. Aber IT-Sicherheit braucht viel mehr als eine „simple Technik“, die oftmals gar nicht richtig beachtet, als „notwendiges Übel“ verstanden und halbherzig eingesetzt wird.

IT-Sicherheit ist Management-Verantwortung höchster Kategorie

Aus dem Verlust von firmeninternen Daten oder wichtigen Zugangsdaten können massive Schadensersatzforderungen Dritter erwachsen. Auch langjährige und stabil geglaubte Geschäftsbeziehungen können ins Wanken geraten. Außerdem ist es für jedes Unternehmen von höchster Bedeutung, die Schlüsselfaktoren, Daten und Prozesse für den eigenen Erfolg zu kennen.

IT-Sicherheits-Richtlinien stellen Regeln auf, was erlaubt bzw. nicht erlaubt ist und was für die sichere Aufrechterhaltung der Geschäftsprozesse notwendig ist. Die richtige Technologie spielt erst bei der Realisierung eine Rolle und wird dann von den verantwortlichen IT Fachkräften eingesetzt.

Viele große Unternehmen haben bereits Sicherheits-Richtlinien und leben sie auch sehr strikt. In KMUs sieht das allerdings ganz anders aus: hier gibt es leider nur sehr wenige Unternehmen, die bereits Sicherheits-Richtlinien eingeführt haben und sie auch konsequent „nach innen“ kommunizieren und ihre immense Bedeutung verständlich machen.

Dabei müssen diese Vorgaben weder „eine Doktorarbeit“ noch ein 50-seitiges Dokument sein, dessen Inhalte sich kein Mitarbeiter jemals merken kann.

Wichtig ist, dass in den Sicherheits-Richtlinien geschäftskritische Prozesse abgebildet sind und der Umgang mit Daten, Passwörtern, Backup usw. konkret und nachvollziehbar definiert sind. Nicht mehr und nicht weniger.

Sehr wichtig ist auch, dass Mitarbeiter jederzeit über die wichtigsten Themen informiert sind. So sollten sie z.B. abteilungsweise und regelmäßig im richtigen Umgang mit Daten, Passwörtern, USB-Sticks usw. geschult werden. Dies kann durch einen einfachen Flyer, eine E-Mail oder auch eine kurze Infoveranstaltung erfolgen.

Wenn sie als Unternehmer oder Verantwortlicher Sicherheits-Richtlinien in einem KMU mit 20 Personen einführen möchten, dann weisen sie das IT-Unternehmen, das ihre Sicherheits-Richtlinien erstellt, darauf hin, dass sie ein kleines lebendiges Dokument erstellen möchten, das auf ihr Unternehmen maßgeschneidert sein soll.

Sicherheits-Richtlinien sollten folgende Themen unbedingt behandeln:

  • Organisatorische Sicherheitsmaßnahmen
    (z.B. Umgang mit Passwörtern, Verwendung von Datenträgern, Überprüfung von Backups, Verwendung von Mobilen Geräten usw.)
  • Zugriffskontrolle
    (z.B. Berechtigungen, Passworteinstellungen, Check des Schutzes von IT Systemen usw.)
  • Sicherheitsmaßnahmen im IT-Umfeld
    (z.B. Firewall, Antivirus, WLAN Schutz, Zutritt zum Serverraum usw.)
  • Change Management
    (z.B. Regelmäßige Aktualisierungen, Staging Systeme usw.)
  • Umgang mit Dritten
    (z.B. Vereinbarungen mit Dritt-Unternehmen, outgesourcte Dienstleistungen usw.)
  • Datensicherung und Notfallvorsorge
    (z.B. Systemdokumentation, Test von Backups, Lagerung von Backup Medien usw.)

Jedes Unternehmen kann und sollte Sicherheits-Richtlinien haben

Unter folgendem Link haben wir für sie einen IT-Sicherheits- Schnelltest entwickelt, mit dem sie sich ein Bild über ihre aktuelle Sicherheitslage machen können. Dieser Test ist für Unternehmer und Managementverantwortliche konzipiert und beinhaltet einige wichtige Punkte möglicher Sicherheits-Richtlinien sowie die daraus resultierenden und möglichen rechtlichen Konsequenzen.

https://sicherheits-audit.lemonpi.at

Autor:
Peter Echer