30. Mai 2012 - Sicherheitsrichtlinien

Policy-Management: Erst zustimmen, dann zugreifen!

Ohne Sicherheitsrichtlinien fehlen der Unterweisung und der Kontrolle im Bereich Datensicherheit die Grundlagen. Es reicht allerdings nicht, eine Policy zu verabschieden. Bevor die Mitarbeiterinnen und Mitarbeiter auf zu schützende Daten zugreifen dürfen, müssen sie die entsprechende Sicherheitsrichtlinie kennen und akzeptieren. Viele Unternehmen haben darüber jedoch keinen Überblick.

Datenschutzkonzept ist Grundlage der Datenschutzorganisation (Bild: Mathias Rosenthal / iStock / Thinkstock)

Der Mitarbeiter, das unbekannte Wesen

60 Prozent der Unternehmen konnten in der PwC-Studie „Information Risk Maturity Index“ keine Auskunft darüber geben, ob ihren Mitarbeitern das richtige Wissen zum Schutz von Informationen zur Verfügung steht.

Da fragt man sich, wie es dort um die Unterweisung zum Datenschutz und zur Datensicherheit bestellt ist. Ebenfalls fragt man sich, wie denn von den Mitarbeiterinnen und Mitarbeitern ein datenschutzgerechtes Verhalten verlangt werden kann, wenn sie unter Umständen gar nicht wissen, welche Sicherheitsrichtlinien zu beachten sind.

IT-Lösungen reichen nicht für die Sicherheit

Kommt es zu einer Datenschutzverletzung, dann reagieren laut der genannten Studie 59 Prozent der Unternehmen mit der Installation einer weiteren IT-Sicherheitslösung.

Wenn die Schwachstellenanalyse nach dem Sicherheitsvorfall tatsächlich ergeben hat, dass Bedarf für eine weitere IT-Sicherheitslösung besteht, ist daran nichts auszusetzen. Falsch ist es jedoch, nur mit IT-Lösungen auf Datenschutz-Probleme zu reagieren.

Vielmehr ist sicherzustellen, dass die Mitarbeiterinnen und Mitarbeiter wirklich wissen, was sie mit den personenbezogenen Daten wie machen dürfen und wie die notwendigen Schutzmaßnahmen auszusehen haben.

Policy kennen und befolgen

Kommt es also zu einer Datenpanne, dann muss auch immer geprüft werden, welche Policy dies hätte verhindern müssen, ob diese Sicherheitsrichtlinie bereits vorhanden und freigegeben ist, aber auch, ob die Mitarbeiterinnen und Mitarbeiter die Policy wirklich kennen.

Dazu reicht es nicht, dass die Sicherheitsrichtlinie ausgedruckt im Organisationshandbuch des Unternehmens ihr Dasein fristet!

Mehr zum Thema Sicherheitsrichtlinien

Vor dem Zugriff kommt die Zustimmung

Es darf nicht passieren, dass die Mitarbeiter die betreffende Policy nicht kennen und deshalb nichtsahnend die zu schützenden Daten unnötig einer Gefahr aussetzen. Deshalb sollte nicht nur die Freigabe jeder Policy durch die Geschäftsleitung, sondern auch die Zustimmung zu jeder Policy durch die betroffenen Anwender sichergestellt werden.

Mehr zum Thema Policy

Policy bestätigen lassen

Besonders praktisch sind Lösungen, die vor der Vergabe von Berechtigungen den Betroffenen die jeweils geltenden Sicherheitsrichtlinien präsentieren und diese dann bestätigen lassen. Möglich ist dies zum Beispiel mit einer Compliance-Lösung wie NetConsent, die jeweils die Zustimmung der Nutzer einholt, bevor z.B. ein E-Mail-Konto erstmalig genutzt werden kann.

Vorstellen kann man sich dies wie die Zustimmung zur Nutzerlizenz vor der Installation einer Software.

Es geht auch manuell

Anstelle einer Softwarelösung kann Ihr Unternehmen auch einen Policy-Prozess verfolgen, bei dem die betreffende Sicherheitsrichtlinie grundsätzlich mit der Installation einer Software, mit dem Freischalten eines Nutzerkontos oder mit der Übergabe eines neuen Geräts ebenfalls dokumentiert übergeben wird.

Dadurch lässt sich auch verhindern, dass ein bestimmter Nutzer zwar ein neues Smartphone bekommt, später an der Unterweisung aber aus Termingründen oder wegen Krankheit nicht teilnehmen kann.


Download:


Sehen Sie sich Ihr Policy-Management einmal an. Wann bekommen die Nutzer die Policy zur Kenntnis, und gibt es eine Übersicht, wer die betreffende Policy kennt? Nutzen Sie die aktuelle Checkliste als Unterstützung und sorgen Sie dafür, dass in Ihrem Unternehmen keine Unklarheit herrscht über das Sicherheitswissen der Anwender!

Oliver Schonschek
Oliver Schonschek ist Diplom-Physiker und Fachjournalist.

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln