29. März 2011 - Datenschutz-Richtlinien

Wie Sicherheitsrichtlinien zum Datenrisiko werden können

Über 50 Prozent der Unternehmen haben keine schriftlich fixierten Sicherheitsrichtlinien, 43 Prozent der Mitarbeiter halten sich nicht an bestimmte Sicherheitsrichtlinien. Damit nicht genug, können Sicherheitsrichtlinien sogar selbst das Datenrisiko erhöhen. Machen Sie deshalb die Datenschutz-Richtlinien zu Ihrem Thema.

wie-sicherheitsrichtlinien-zum-datenrisiko-werden-konnen.jpeg
Sicherheitsrichtlinien dürfen nicht zu pauschal und zu unflexibel sein (Bild: Thinkstock)

Sicherheitsrichtlinien: oft Fehlanzeige

Die Studie „Netz- und Informationssicherheit in Unternehmen 2010“ des E-Commerce-Center (ECC) Handel und des Netzwerks Elektronischer Geschäftsverkehr (NEG) bringt es ans Licht: Nur etwas mehr als ein Drittel der befragten Unternehmen verfügt über Sicherheitsrichtlinien, beispielsweise zum Umgang mit Passwörtern.

Viele Sicherheitsrichtlinien haben Lücken, werden nicht beachtet oder nicht verstanden

Wenn Ihr Unternehmen nun zu den glücklichen Betrieben gehört, die die Sicherheits- und Datenschutzrichtlinien tatsächlich definiert und dokumentiert haben, können Sie sich trotzdem nicht beruhigt zurücklehnen. Wie IDC kürzlich herausfand, sind 19 Prozent lückenhaft, 30 Prozent der Unternehmen setzen die Sicherheitsrichtlinien nur teilweise um.

Gründe für die mangelnde Beachtung liefert etwa eine Studie von Clearswift: In 64 Prozent der Fälle kennen die Befragten die Sicherheitsrichtlinien erst gar nicht oder sie verstehen sie nicht.

Sicherheitsrichtlinien stoßen oft auf Ablehnung

Doch es geht noch weiter: Selbst wenn Ihre Sicherheitsrichtlinien vollständig definiert, dokumentiert und den Mitarbeitern gegenüber kommuniziert wurden, können Sie nicht davon ausgehen, dass die für die Datensicherheit so wichtigen Sicherheitsrichtlinien auch umgesetzt werden. So zeigt der Cisco Connected World Report, dass fast die Hälfte der Mitarbeiter die Richtlinie zum Umgang mit mobilen Endgeräten und Web 2.0 einfach ignoriert.

Sicherheitsrichtlinien werden als Störung der Produktivität empfunden

Spannend sind die genannten Gründe für die Ablehnung: So sagten fast 30 Prozent, dass die Sicherheitsrichtlinie ihre Produktivität einschränkt. Das sollte hellhörig machen! Offensichtlich werden bestimmte Regelungen – nicht zu Unrecht – als Hemmschuh empfunden.

Klassisches Beispiel: E-Mail-Nutzung

Sehen wir uns einmal einen Klassiker unter den Sicherheitsrichtlinien an, die Regelungen zur E-Mail-Nutzung. Wie eine Untersuchung von Virgin Media Business zeigt, können zum Beispiel zwei Drittel der Mitarbeiter in der öffentlichen Verwaltung E-Mails mit Dateianhängen von mehr als zehn MB nicht empfangen oder senden, da sie sonst die zulässige Obergrenze überschreiten.

Was aber machen dann viele Mitarbeiter? Klar: Sie nutzen den privaten E-Mail-Zugang für dienstliche E-Mails, sie übertragen Dateien über File-Sharing-Dienste oder geben die Dateien via unverschlüsseltem USB-Stick weiter. Dies bestätigen auch andere Studien:

  • In einer Umfrage von Ipswitch gaben 26 Prozent der befragten Beschäftigten zu, dass sie ihren privaten E-Mail-Zugang nutzen, um Sicherheitsvorgaben zu umgehen.
  • Laut einer Studie von Mimecast haben bereits 79 Prozent der Beschäftigten dienstliche E-Mails über ihren privaten E-Mail-Zugang verschickt, 20 Prozent machen dies regelmäßig.
  • 40 Prozent der Befragten sagten, dass sie auf dieses Ausweichmanöver verzichten würden, wenn es keine Beschränkungen für den dienstlichen E-Mail-Zugang gäbe.
  • 17 Prozent der Befragten kannten die E-Mail-Vorgaben ihres Unternehmens nicht, 40 Prozent meinten, die Kommunikation der E-Mail-Richtlinie müsse verbessert werden.
Anzeige

 Praxissoftware Datenschutz-Richtlinien

Tipp der Redaktion:
Praxissoftware Datenschutz-Richtlinien

Sie brauchen z.B. eine neue Passwort-Richtlinie? Erstellen Sie mit dieser Praxissoftware Ihre individuellen Datenschutz-Richtlinien schnell und unkompliziert und halten Sie sie immer auf dem neuesten Stand!

Kostenlos testenJetzt kostenlos testen!


Sicherheit und Produktivität müssen sich nicht ausschließen

Bereits dieses Beispiel macht deutlich, dass Sie sich zusammen mit der IT-Leitung und der IT-Sicherheit die Sicherheits- und Datenschutz-Vorgaben vornehmen sollten:

  • Datensicherheit und Produktivität dürfen sich nicht ausschließen, gefragt ist eine produktive Sicherheit.
  • Eine Sicherheitsrichtlinie sollte deshalb die betriebliche Praxis beachten und keine starren Vorgaben fern von Bedarf und Realität aufstellen. Deutlich gesagt: Es darf nicht sein, dass die Mitarbeiter Sicherheitsrichtlinien brechen müssen, um ihre Arbeit machen zu können.
  • Die Einhaltung von Sicherheitsrichtlinien muss kontrolliert werden. Dazu sind technische Maßnahmen sinnvoll, die nicht einfach Aktivitäten blockieren, sondern zum Beispiel den Versand großer Dateianhänge von der Datenkategorie abhängig machen. Die 11 MB große PDF-Kundenbroschüre sollte nicht blockiert werden, wenn sie ausgedruckt per Post verschickt wird.

Oliver Schonschek
Oliver Schonschek ist Diplom-Physiker und Fachjournalist.

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln