18. März 2010 - Datensicherheit

Sicherheitsrichtlinien: Weniger ist oft mehr

Je strenger die Vorschriften, umso höher die Sicherheit? Falsch. In der Praxis werden zu strenge Sicherheitsrichtlinien in Unternehmen häufig nicht befolgt. Denn schränken die Regelungen Mitarbeiter bei ihren täglichen Aufgaben zu sehr ein, werden sie oft umgangen.

Datenschutzkonzept ist Grundlage der Datenschutzorganisation (Bild: Mathias Rosenthal / iStock / Thinkstock)

Laut einer Umfrage von Cisco aus dem Jahr 2008 haben immerhin rund 80 Prozent der Unternehmen und Behörden Vorschriften für die IT-Sicherheit eingeführt.

Sicherheitsrichtlinien? Die Hälfte hält sich nicht daran

Allerdings hält sich im Schnitt die Hälfte der Mitarbeiter nicht an diese Vorgaben – sei es regelmäßig oder zumindest ab und zu.

Ein Grund dafür sind zu strenge Richtlinien, deren Sinnhaftigkeit Mitarbeiter des Öfteren hinterfragen. Dazu zählen eindeutig übertriebene Bestimmungen wie:

  • Es darf nur Material weitergegeben werden, auf dem „öffentlich“ steht.
  • Die Sicherheitsrichtlinien geben genau vor, wie jede einzelne Einstellung auf jedem Server konfiguriert werden muss.
  • Außerhalb der Firmenräume darf der Laptop niemals, auch nicht für den Bruchteil einer Sekunde, aus den Augen gelassen werden.
  • Passwörter dürfen nicht aufgeschrieben werden. Gleichzeitig müssen komplexe Passwörter eingerichtet und in kurzen Zeitabständen geändert werden.

Effizienz darf nicht leiden

Fast jeder weiß aus eigener Erfahrung, dass Richtlinien oftmals umgangen werden, wenn sie zu komplex sind. Ein weiterer Grund dafür ist, dass durch die Einhaltung der Vorgaben zu viel wertvolle Zeit vergeudet wird und die Effizienz darunter leidet.

Unverständliche Regeln werden ignoriert. Stattdessen verlassen sich die Mitarbeiter lieber auf ihren gesunden Menschenverstand. Hier besteht jedoch Gefahr für Unternehmen, wenn Mitarbeiter aus diesem Grund zum Beispiel bestimmte Sicherheitsoptionen auf ihren Computern deaktivieren.

Die Konsequenz daraus ist: Selbst wenn die Richtlinien einige hilfreiche und vernünftige Leitlinien enthalten, werden sie aufgrund der teils unverständlichen Anweisungen komplett als „zu kompliziert“ abgetan.

Klare und verständliche Sicherheitsrichtlinien sind nötig

Sind die Richtlinien jedoch klar und verständlich, erfüllen sie ihren Zweck wesentlich besser. Sie sollten das Personal nicht bei der täglichen Arbeit behindern, sondern unterstützen. Die Mitarbeiter müssen den größeren Zusammenhang sowie den Sinn und Zweck dieser Leitlinien verstehen. Dies erfordert natürlich Vertrauen in die Mitarbeiter.

Mehr zum Thema „Sicherheitsrichtlinien

Nicht nur die IT-Sicht berücksichtigen

Ein weiterer häufiger Fehler ist, dass sich die Unternehmensrichtlinien ausschließlich auf die IT-Perspektive beschränken und die Geschäftsprozesse und -anforderungen des Unternehmens nicht berücksichtigen.

Bei der Ausarbeitung solcher Vorgaben sollten deshalb von Anfang an alle Organisationsebenen einbezogen werden. Dadurch können auch diejenigen, deren tägliche Arbeit durch die Regeln beeinflusst wird, ihre Meinung einbringen. So lässt sich verhindern, dass die Richtlinien das Unternehmenswachstum behindern.

Personal- und Sicherheitsregeln trennen

Zudem fehlt häufig eine klare Trennung zwischen Personal- und IT-Sicherheitsrichtlinien. Das geschieht beispielsweise, wenn den Mitarbeitern aufgrund von Sicherheitsrisiken nicht erlaubt wird, Social-Media-Kanäle wie Youtube oder Facebook zu nutzen. Die Einschränkung der Informationsfreiheit im Namen der Sicherheit sorgt aber oft für Missmut unter den Mitarbeitern.

Werden dieselben Verbote hingegen von der Personalabteilung ausgesprochen und durch möglichen Produktivitätsverlust begründet, werden sie von den Mitarbeitern möglicherweise leichter akzeptiert und verursachen weniger Verärgerung.

Der Umgang mit Passwörtern

Was Passwörter betrifft: Im Idealfall sollten sie natürlich nicht weitergegeben werden. Gibt es jedoch Situationen, in denen die Passwörter der Mitarbeiter für den IT-Support benötigt werden, sollten Unternehmen jedes Teammitglied im Rahmen einer genau dokumentierten Vorgehensweise darüber informieren. So lässt sich ein Konflikt zwischen einzelnen bestehenden Richtlinien vermeiden und ein reibungsloser Ablauf sicherstellen.

Mehr zum Thema „Passwortsicherheit

Passwort-Safes nutzen

Organisationen sollten ihre Mitarbeiter dazu ermutigen, „Passwort-Safes“ zu verwenden, kleine Anwendungen, in denen Hunderte von Passwörtern gespeichert und über ein Master-Passwort abgerufen werden können.

Eine andere Möglichkeit, um sich sicher im Unternehmensnetz anzumelden, sind so genannte Tokens. Ein beispiel: Mithilfe der VPN-Lösung StoneGate SSL-1030 von Stonesoft können mobile Mitarbeiter statt eines Tokens sogar ihr Mobiltelefon für die eindeutige Authentifizierung verwenden.

Die Lösung erhöht somit die Effizienz mobiler Mitarbeiter und bietet ihnen einen barrierefreien Zugang zu den Unternehmensdaten.

Hermann Klein
Hermann Klein ist Country Manager DACH bei Stonesoft.

 

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln