IT-Sicherheitsrichtlinie für Mitarbeiter (inkl. Muster)

Bevor eine IT-Sicherheitsrichtlinie für Mitarbeiter erstellt wird, sollte analysiert werden, in welchen Bereichen Regelungsbedarf besteht. Es gilt zu klären, welche nicht geregelten Bereiche in der Unternehmens-IT zu Sicherheitsproblemen führen könnten. Eine allgemeine Sicherheitsleitlinie hilft, konkrete Bereiche zu identifizieren, die geregelt werden sollten.

Die Erstellung einer Richtlinie hängt nicht nur davon ab, wie umfangreich die technische Infrastruktur eines Unternehmens ist. Auch dessen Größe ist entscheidend. Je komplexer die Strukturen sind, desto mehr Beteiligte müssen in die Erstellung der Richtlinien eingebunden werden: Geschäftsführung, Betriebsrat, Datenschutz- und IT-Sicherheitsbeauftragter, Administratoren und weitere Mitarbeiter sollten sich einbringen. Um das Projekt auf eine solide Basis zu stellen und alle organisatorischen Gegebenheiten zu berücksichtigen.

In kleineren Unternehmen gibt es häufig keinen Mitarbeiter, der sich ausschließlich um die IT-Sicherheit kümmert. Ein Mitarbeiter übernimmt hier häufig verschiedene Funktionen. Das macht es schwierig, funktionsspezifische Mitarbeiterrichtlinien zu erstellen. Deshalb gibt es in kleinen Unternehmen häufig gar keine schriftlich fixierten Richtlinien. Und wenn solche vorhanden sind, sind sie oft so uneindeutig, dass sie zu Konflikten und rechtlichen Auseinandersetzungen führen können. Diese Konflikte lassen sich jedoch vermeiden, wenn man von den Mitarbeitern eine kurze schriftliche Zusammenfassung der wichtigsten Richtlinien unterschreiben lässt.

Vertrauen ist gut, Kontrolle besser!

Richtlinien unterstützen nur dann die IT-Sicherheit, wenn alle Mitarbeiter diese einhalten. Das können die verantwortlichen Führungskräfte jedoch nur durch Kontrollen feststellen. Auch hier gibt es Unterschiede zwischen kleinen und größeren Unternehmen. In größeren Unternehmen sind an der Kontrolle mehrere Personen beteiligt. In Kleinunternehmen wird diese Funktion einzig durch den Geschäftsführer bzw. Eigentümer ausgeübt. Sollten sich Mitarbeiter wiederholt nicht an Richtlinien halten, lässt sich auf die schriftliche Fixierung der Richtlinien verweisen. Diese helfen bei arbeitsrechtlichen Konsequenzen und deren Durchsetzung.

Wichtige Themen einer IT-Sicherheitsleitlinie

Bei der Erstellung einer IT-Sicherheitsleitlinie sind die folgenden Themen wichtig:

Die Nutzung privater Software im Unternehmen

Die Installation privater Software kann die Funktion einzelner Arbeitsplatz-PCs oder des gesamten lokalen Netzwerks gefährden. Ist ein von Mitarbeitern installiertes Programm mit Schadsoftware verseucht, können einzelne oder alle PCs infiziert werden. Das gilt insbesondere, wenn die Software aus dem Internet heruntergeladen wurde. Hinzu kommen mögliche Urheberrechtsprobleme, wenn diese Programme nicht für den kommerziellen Einsatz lizenziert oder sogar illegal kopiert wurden.

Empfehlung: Untersagen Sie die Installation nicht betrieblicher Software auf allen Firmenrechnern. Für Ausnahmen und Tests können speziell dafür vorgesehene und von einem Administrator betreute Rechner genutzt werden.

Die Nutzung privater Hardware im Unternehmen

Externe Festplatten mit USB-Anschluss, Bluetooth- oder WLAN-Adapter sowie private Laptops finden sich zahlreich bei Mitarbeitern zu Hause. Werden diese Komponenten ins Unternehmen mitgebracht und an den Firmen-PCs verwendet, kann es zu Fehlfunktionen am eigenen Arbeitsplatz-PC oder auch auf anderen PCs im Netzwerk führen. Die IT-Sicherheit des Firmennetzes kann mit falsch installierten WLAN- und Bluetooth-Adaptern ausgehebelt werden. Mit externen Festplatten können sogar große Datenmengen unbemerkt das Firmengelände verlassen.

Empfehlung: Private Hardware sollte wegen der möglichen Gefährdungen nicht im Unternehmen genutzt werden. Damit werden Verfügbarkeitsprobleme, die durch inkompatible Hardware entstehen, eingeschränkt und Sicherheitsverletzungen und Datendiebstahl unterbunden.

Die Qualität verwendeter Passwörter

Passwörter schützen den Zugang zu wichtigen Unternehmensdaten und Anwendungen. Bei der Vielzahl von Passwörtern, mit denen manche Nutzer umgehen müssen, wird schnell ein einfacher Weg gesucht: Trivialpasswörter aus wenigen Zeichen, der eigene Name des Nutzers oder voreingestellte Passwörter wie „test“ oder „12345“ stellen keinen Schutz vor unerlaubten Zugriffen auf Unternehmensdaten dar. Oft werden sich die Benutzer der Konsequenzen erst bewusst, wenn Schäden durch Missbrauch entstehen. Um den Nutzern Sicherheit zu geben und ein einheitliches Schutzniveau zu gewährleisten, sollten klare Regelungen für die Qualität und den Umgang mit Passwörtern aufgestellt werden. Viele Systeme unterstützen diese Regelungen: Sie erzwingen nach einer entsprechenden Konfiguration eine Mindestqualität und geben Wechselintervalle vor.

Empfehlung: Erstellen Sie eine durchgängige Regelung für Passwörter. Damit werden Sicherheitslücken vermieden und ein einheitliches Sicherheitsniveau vorgegeben. Geregelt werden sollten:

  • Die Mindestlänge.
  • Die Zusammensetzung (Buchstaben, Ziffern, Sonderzeichen).
  • Die Verwendung nutzerspezifischer, leicht erratbarer Passwörter (z. B. Nutzernamen oder Geburtstag als Passwort). 
  • Ein Verbot für die Weitergabe von Passwörtern.
  • Unverzichtbar sind auch Regelungen für eine sichere Hinterlegung von Passwörtern in Not- und Vertretungsfällen.

Die dienstliche und private Nutzung von E-Mail und Internet

E-Mail-Nutzung und Internet-Zugang sind an vielen Arbeitsplätzen inzwischen zum Standard geworden. Eine private Nutzung lässt sich bei der täglichen Arbeit nicht leicht gegenüber dem dienstlichen Gebrauch abgrenzen. Reisebuchungen, Bestellungen, Recherche und Informations-Downloads können geschäftlich wie auch privat genutzt werden. In vielen Unternehmen wird die private Nutzung stillschweigend toleriert. Es kann jedoch zu Problemen kommen, wenn sich Mitarbeiter über den dienstlichen Internet-Anschluss Zugang zu rechtswidrigen Inhalten verschaffen. Oder Bestellungen über die E-Mail-Adresse der Firma abwickeln. Außer zu Imageschäden für das Unternehmen kann es auch zu Haftungsforderungen gegenüber den Führungskräften kommen. Kommt es im Anschluss daran zu Unstimmigkeiten, müssen diese dann meistens im Einzelfall aufwendig gerichtlich geklärt werden. Um diese Unsicherheit zu beseitigen und Klarheit für Mitarbeiter und Führungskräfte zu schaffen, bietet sich als Anlage zum Arbeitsvertrag eine Regelung zur dienstlichen und privaten Nutzung von E-Mail und Internet an.

Empfehlung: Regeln Sie die dienstliche und private Nutzung von E-Mail und Internet eindeutig für alle Mitarbeiter in schriftlicher Form. Lassen Sie sich das Einverständnis durch Unterschrift bestätigen. Wie umfassend die private Nutzung zugelassen wird, muss jedes Unternehmen für sich bestimmen. Klar muss aber sein, dass die rechtswidrige Nutzung Konsequenzen für den betroffenen Mitarbeiter hat: U. U. die Kündigung und – je nach Inhalt – auch strafrechtliche Folgen. Das schafft Klarheit im Umgang mit diesem Thema und Sicherheit für Mitarbeiter und Geschäftsführung.

Die Vertretung von Mitarbeitern

Wenn Mitarbeiter im Urlaub oder auf Dienstreise sind, kommt es oft zu Störungen und Unterbrechungen der sonst üblichen Abläufe im Unternehmen. Es fehlen wichtige Informationen, die als E-Mail, in einer Datenbank oder als ausgearbeitetes Dokument auf den Servern vorliegen – aber niemand hat Zugriff darauf. Im Notfall werden dann diese Mitarbeiter angerufen, um Ihre Passwörter durchzugeben und den Zugriff auf die benötigten Daten zu ermöglichen. Oder die Zugangsdaten werden bereits im Vorfeld einer Reise einem Kollegen gegeben, der dann vollständigen Zugriff auf alle Benutzerdaten erhält.

Kommt es in solchen Fällen zu Problemen wegen fehlender oder verfälschter Daten, tauchen problematische E-Mails unter dem Absender des verreisten Kollegen auf oder werden rechtsverbindliche finanzielle Transaktionen mit weitergegebenen Zugangsdaten durchgeführt, kann der abwesende Mitarbeiter für die entstandenen Schäden wegen grober Fahrlässigkeit mit zur Verantwortung gezogen werden.

Empfehlung: Regeln Sie für die geplante und ungeplante Abwesenheit von Mitarbeitern die Zugriffe auf die Datenbestände. Beispielsweise können E-Mails automatisch an Stellvertreter weitergeleitet werden. Sollen beispielsweise Zugriffe auf Konten oder andere rechtsverbindliche Vorgänge durch Vertreter ermöglicht werden, müssen diese für die Zeit der Vertretung eine eigene Zugangskennung erhalten, damit durchgeführte Transaktionen eindeutig zugeordnet werden können. Um auch für ungeplante Abwesenheit vorgesorgt zu haben, können besonders wichtige Zugangsdaten in versiegelten Umschlägen an einer vertrauenswürdigen Stelle hinterlegt werden.

Viele der beschriebenen Probleme lassen sich im Vorfeld durch eine Kombination technischer und organisatorischer Maßnahmen lösen.

Die Nutzung dienstlicher Hard- und Software

Für mobile Mitarbeiter sind Laptops und Mobiltelefone selbstverständlich. Smartphones und handliche Massenspeicher wie USB-Sticks werden bei Einsätzen vor Ort immer beliebter. Ein PC mit Zugriff auf das Firmennetz und Internet ist eine übliche Lösung für einen Heimarbeitsplatz. Sollten die Mitarbeiter diese Hardware und darauf installierte Software auch privat nutzen können?

Hierbei kann es leicht zu Sicherheitsproblemen kommen, wenn z. B. Software aus dem Internet geladen und auf diesen Geräten installiert wird. Bei der nächsten Verbindung zum Firmennetz kann es dann zu Störungen oder dem Eindringen von Viren ins Unternehmensnetz kommen. Nicht immer lassen sich auf mobil genutzten Geräten rechtzeitig Aktualisierungen für Anti-Virenscanner durchführen, das gilt besonders bei Arbeitsunterbrechungen durch Urlaub.

Werden Heimarbeitsplätze auch privat und dann auch von Familienmitgliedern genutzt, erfolgt das meistens unter der Kennung des Heimarbeits-Nutzers. Die Familienmitglieder haben dann vollen Zugriff auf die Firmendaten und Zugang zum Firmennetz – mit kaum absehbaren Folgen für schützenswerte Unternehmensdaten.

Haben Nutzer Zugang zu Firmensoftware und installieren diese zusätzlich auf privaten Rechnern, werden damit oft Lizenzbestimmungen verletzt, deren Konsequenzen das Unternehmen zu tragen hat.

Empfehlung: Um für diese Fälle Klarheit zu schaffen, hilft eine Richtlinie, die die private Nutzung der überlassenen Hard- und Software eindeutig regelt. Aus Sicherheitsgründen wird man in den meisten Fällen einen privaten Gebrauch einschränken oder ganz untersagen. Damit werden auch die rechtlichen Folgen und mögliche Haftungsansprüche bei Verstößen geregelt.

Den Umgang mit vertraulichen Informationen

Zu den vertraulichen Informationen gehören neben den internen Unternehmensdaten auch Kundendaten und alle dem Datenschutz unterliegenden Personendaten. Da hier nicht nur technische Maßnahmen schützen können, kommt es hier besonders auf die Mitarbeiter an. Von der sicheren Übermittlung (Verschlüsselung) per E-Mail über die vollständige Löschung auf Datenträgern mit spezieller Software bis zur Entsorgung von Ausdrucken (Shredder, Sammelbox) gibt es hier eine Vielzahl von Maßnahmen. Alle Maßnahmen sollten den Mitarbeitern vermittelt und schriftlich dokumentiert werden.

Empfehlung: Fassen Sie alle Maßnahmen und Verhaltensregeln im täglichen Umgang mit vertraulichen Daten zusammen. Informieren und schulen Sie die damit befassten Mitarbeiter, um das gewünschte IT-Sicherheitsniveau im Unternehmen zu erreichen.

Den Umgang mit Konfigurationseinstellungen

In Richtlinien zur Konfiguration der Arbeitsplatz- und mobilen Rechner werden die Einstellungen für einen sicheren Betrieb festgelegt. Um diese Maßnahme wirksam werden zu lassen, dürfen die Benutzer die Einstellungen nicht wieder eigenmächtig rückgängig machen. Beispielsweise können durch Abschalten von Virenscannern oder die Lockerung des Zugriffsschutzes auf geschützte Dateien Störungen und Verfügbarkeitsprobleme entstehen. Diese können sich über den eigenen Arbeitsplatz-PC hinaus auf das Firmennetz auswirken. Hier helfen technische Maßnahmen, die solche Änderungen der Konfiguration unterbinden, ganz ausschließen lassen sie sich jedoch oft nicht.

Empfehlung: Vorgaben zur Konfiguration und die Festlegung, wer welche Änderungen daran vornehmen darf, helfen die Verfügbarkeit der Unternehmensrechner und des lokalen Netzes zu sichern.

Muster – Beispiel-Mitarbeiterrichtlinie

Die nachfolgende Mitarbeiterrichtlinie kann auch als PDF-Datei oder Word-Datei heruntergeladen werden.

Geltungsbereich der Richtlinie

Diese Richtlinie gilt verbindlich für alle Mitarbeiter ohne Ausnahme für die Nutzung dienstlicher IT. Verstöße gegen die Inhalte der Richtlinie können zu arbeitsrechtlichen Konsequenzen führen. Bei der Beschäftigung externer Mitarbeiter hat der betreuende interne Mitarbeiter darauf zu achten, dass die Vorgaben dieser Richtlinie beachtet werden.

Umgang mit Informationen

Die im Unternehmen verarbeiteten Informationen sind eine Grundlage für den Geschäftsbetrieb. Jeder Mitarbeiter ist für die sorgsame Behandlung der von ihm bearbeiteten Informationen verantwortlich. Das gilt insbesondere für vertrauliche Daten und dem Datenschutzgesetz unterliegenden Personendaten.

Vertretungsregelung

Für den Fall der Abwesenheit (Geschäftsreise, Urlaub, Krankheit) ist vorzusorgen. Es sind Vertreter zu benennen, die vom Stelleninhaber einzuweisen und zu informieren sind.

Einsatz von Soft- und Hardware

Der Einsatz neuer Soft- und Hardware wird vorher von dem für die IT verantwortlichen Mitarbeiter getestet und muss freigegeben werden. Nicht freigegebene Hard- und Software – insbesondere privat mitgebrachte – darf nicht verwendet werden.

Entsorgung von Informationen

Belege und Druckausgaben, die vertrauliche Informationen beinhalten, müssen getrennt vom übrigen Abfall im Aktenvernichter entsorgt werden. Das gilt auch für elektronische Datenträger mit vertraulichen Informationen, die nicht weiter benötigt werden.

Weitergaberegelungen

Bei der Weitergabe von Informationen ist ihr Schutzbedarf zu beachten und eine geeignete Versandart zu wählen. Vertrauliche Informationen oder Datenträger (USB-Stick, CD-ROM etc.) mit vertraulichen Informationen dürfen erst dann versendet werden, wenn die Vertraulichkeit auch beim Versand gewährleistet ist. Im Zweifelsfall erkundigen Sie sich im Sekretariat.

Zutritts- und Zugangsregelungen

Der Zutritt zu den Räumlichkeiten und zu den IT-Systemen ist gegen Unbefugte zu schützen und zu kontrollieren. Lassen Sie betriebsfremde Personen nicht unbeaufsichtigt in die Firmenräume. Der Zugriff auf die IT-Systeme ist durch Passwörter sichergestellt, die Passwortregelungen sind zu beachten. PC-Arbeitsplätze sind bei Verlassen zu sperren. Dazu wird der Bildschirmschoner mit Passwortschutz eingesetzt, der sich spätestens nach 10 Minuten Inaktivität automatisch einschaltet.

Verschlüsselung

Vertrauliche und andere sicherheitsrelevante Daten sind verschlüsselt zu speichern. Zur Verschlüsselung steht Ihnen das Programm (XYZ) zur Verfügung.

Schadsoftware

Auf allen PC-Arbeitsplätzen und den Servern sind Viren-Schutzprogramme installiert, die regelmäßig aktualisiert werden. Das Abschalten oder Umgehen dieser Programme ist untersagt.

Datensicherung/ Archivierung

Ihre täglich verarbeiteten und auf den Netzlaufwerken gespeicherten Daten werden regelmäßig gesichert. Bei Datenverlusten wenden Sie sich zur Wiederherstellung der Daten an den IT-Administrator. Lokal auf dem PC gespeicherte Daten werden nicht gesichert und gehen bei einem Defekt der Festplatte verloren.

Fernzugriff auf das interne Netz

Generell ist der „Zugriff vor Ort“ dem „Fernzugriff“ vorzuziehen. Wenn Sie von einem mobilen Arbeitsplatz auf das Netz zugreifen, darf das nur über den VPN-Zugang erfolgen. Andere Zugänge auf das Firmennetz sind untersagt.

Zur Kenntnis genommen:

……………………………………………………

Ort, Datum, Unterschrift Mitarbeiter/in

Rene Hifinger
Rene Hifinger
Rene Hifinger verfügt über umfassende Erfahrungen in den Bereichen IT-Sicherheit und Softwareentwicklung. Er beherrscht zahlreiche Programmiersprachen. Die Fragen der Datensicherheit gehören zu seiner täglichen Arbeit.

Rene Hifinger hat an verschiedenen IT-Sicherheitsprojekten mitgewirkt, beispielsweise im Bereich des Malware-Schutzes. Seit 15 Jahren berät er Firmen weltweit als IT-Sicherheitsexperte.

Nebenbei schreibt er gerne über IT-Sicherheitsthemen.