3. Was macht eine gute Informationssicherheits-Richtlinie aus?

Dies ist der letzte Teil unserer 3-teiligen Blog-Reihe zum Thema Informationssicherheits-Richtlinie mit vielen nützlichen Beispielen. Lesen Sie auch gerne Teil 1 über die größten Fehler und Teil 2 zur Erstellung der Richtlinien.

Heute geht es um die Aufbereitung der Informationssicherheits-Richtlinie.

Die Sprache

Bekanntlich macht der Ton die Musik. Die Nutzung der aktiven Form der Formulierung ist wesentlich freundlicher als die passive Formulierung. Identische Aussagen in unterschiedlichen Formen kommen sehr unterschiedlich beim Empfänger an:

• „Die private Nutzung des Handys ist verboten.“
• „Bitte nutzen Sie das Ihnen übergebene Smartphone für geschäftliche Zwecke und nicht für private Telefonate.“

Praxisbezug

Überlegen Sie vor der Erstellung einer Informationssicherheits-Richtlinie wie der Prozess bei Ihnen im Unternehmen ablaufen soll. Im ersten Blog der Reihe hatten wir das Beispiel „Nur durch die IT freigegebene USB-Sticks dürfen verwendet werden.“, wollen Sie durchgängig verbieten, dass USB-Sticks in die Arbeitsplatz-Rechner eingesteckt werden?

Wenn Sie diese Frage mit „Ja“ beantworten, dann müssen Sie auch Lösungen bieten, damit die Mitarbeiter nicht in ihrer Tätigkeit behindert werden.

Einige Möglichkeiten:

• Es wird ein abgeschotteter Rechner bereitgestellt. Pro Abteilung / Gebäude / Niederlassung (je nach Unternehmensgröße)
• Der USB-Stick muss durch die IT-Abteilung auf Viren und Schadsoftware geprüft werden

All diese Möglichkeiten haben einen gewissen Aufwand und Sie sollten sich überlegen, ob dieser dem von Ihnen angestrebten Sicherheitslevel angemessen ist. Eine sinnvolle Lösung für ein „normales“ Sicherheitsniveau könnte sein, den Mitarbeiter mit in die Verantwortung zu nehmen.

Die Informationssicherheits-Richtlinie könnte dann wie folgt formuliert werden:

„Verwenden Sie bitte nur externe Medien, wenn diese von vertrauenswürdigen Kontakten übergeben wurden. Scannen Sie das Medium vor der Verwendung auf Viren und Schadsoftware. […] (Dann können noch einige Links folgen wie das korrekt durchgeführt werden kann).“

Geben Sie noch weitere Hilfestellungen wie „Kontaktieren Sie im Zweifelsfall die IT-Abteilung“.

Ob die Inhalte allerdings Ihrem Sicherheitsstandard und Ihrem Risikoniveau entsprechen, können nur Sie entscheiden!

Hinweise auf technische Sicherheitsmaßnahmen

Eine Informationssicherheits-Richtlinie ist für die Mitarbeiter geschrieben, die normalerweise keine IT-Administratoren sind. Machen Sie aus der Richtlinie kein technisches Handbuch. Weisen Sie z.B. auf die Passwortanforderungen hin, aber schreiben Sie keine Abhandlung in die Richtlinie, wie das Passwort in Windows geändert werden kann. Hier bietet sich ein internes Wiki an, in dem solche Dokumentationen gesammelt werden können. In der Richtlinie steht dann lediglich ein Link zu der passenden Seite.

Sollte sich Beispielsweise die Vorgehensweise für das Anpassen des Passworts ändern, müssen Sie nicht die Richtlinie neu veröffentlichen, sondern nur die Dokumentation hinter dem Link in der Richtlinie.

Vorgaben für organisatorische Sicherheitsmaßnahmen

Da es bei den organisatorischen Sicherheitsmaßnahmen keine oder weniger technische Unterstützung gibt, müssen Sie diese so gut es geht erläutern, um Missverständnissen vorzubeugen.

Ein paar Beispiele:

• „Sprechen Sie Personen auf dem Firmengelände an, wenn es sich nicht um Mitarbeiter handelt und diese nicht in Begleitung eines Mitarbeiters sind.“
Damit das möglich ist, müssen Sie vorher regeln, wie ein Mitarbeiter zu erkennen ist. Hat er, gut sichtbar, einen Ausweis zu tragen?
• „Aktivieren Sie bei geplanter Abwesenheit (z.B. Urlaub, Seminar, Lehrgang) Ihren Abwesenheitsagenten in den E-Mail-Einstellungen.“ Bei einer ungeplanten Abwesenheit (Krankheit) sollte die Möglichkeit geschaffen werden, damit Abwesenheitsmeldungen geschaltet werden können. Dies kann z.B. durch eine Vertreterregelung geschehen (hier ist zu klären, ob und wie die Vertretung den Abwesenheitsagenten aktivieren kann).

Ihr Stefan Roschetzki, IT-Security Beauftragter und Manager (TÜV)