InformationssicherheitsrichtlinienZusammenspiel zwischen Vorgaben, Standards, Lösungen, Richtlinien
Informationssicherheitsrichtlinien
Informationssicherheitsrichtlinien

2. So lernen Ihre Mitarbeiter die Informationssicherheits-Richtlinie lieben!

Dies ist der zweite Teil unserer 3-teiligen Blog-Reihe zum Thema Informationssicherheits-Richtlinie mit vielen nützlichen Tipps. Lesen Sie auch gerne Teil 1 über die größten Fehler beim Erstellen der Richtlinien.

Heute geht es wie gesagt um Tipps zur Erstellung der Informationssicherheits-Richtlinie. Zunächst, wie so oft, es gibt keine richtige oder falsche Vorgehensweise. Dies ist der unglaublich großen Vielfalt der unterschiedlichen Unternehmen und deren Anforderungen geschuldet.

Wer erstellt eine Richtlinie?

In den meisten Fällen haben gerade mittelständische Unternehmen keinen Informationssicherheitsbeauftragten bzw. IT-Sicherheitsbeauftragten (ISB). Sollte diese Stelle allerdings existent sein, ist es dessen Aufgabe, die Informationssicherheits-Richtlinie zu erstellen.

Allerdings ob ISB oder nicht, die Informationssicherheits-Richtlinie sollte nicht von einer Person erstellt werden, sondern in einem Team.

Ins Team gehört jemand aus der Personalabteilung, der IT-Verantwortliche, der Datenschutzbeauftragte und Vertreter der Fachabteilungen. Die Fachabteilungen können in vielen Fällen wertvolle Informationen liefern, von denen die Richtlinie nur profitieren kann.

Unterstützung durch das Management

Dieser Passus findet sich so ziemlich in jeder ISO-Norm und in den meisten Standards: „Die oberste Leitung“. Die Geschäftsleitung und das oberste Management muss hinter der Informationssicherheit und somit hinter der Informationssicherheits-Richtlinie stehen.

Sobald auch nur ein Passus von der Leitung nicht mitgetragen wird, ist die Informationssicherheits-Richtlinie völlig sinnfrei.

Formulieren Sie die Richtlinien so, dass sie die Geschäftsführung auch einhalten kann und auch einhält. Dadurch ergeben sich zwei Effekte:

  1. Die Geschäftsleitung geht mit gutem Beispiel voran.
  2. Die Geschäftsleitung ist daran interessiert, dass sich die Mitarbeiter ebenfalls daran halten.

Welches Sicherheitsniveau soll abgedeckt werden?

Nicht jedes Unternehmen muss zwingend den höchsten Sicherheitslevel ansetzen. In den meisten Fällen wurde im Unternehmen noch keine Risikoanalyse [2] durchgeführt, um das konkrete Risiko für das Unternehmen zu identifizieren.

Nun ist es an der Geschäftsleitung, einen Sicherheitslevel zu definieren, welcher dann durch die Informationssicherheits-Richtlinie unterstützt werden soll. Hier einige Fragen, die bei der Findung des Sicherheitslevels helfen können:

  • Was sind die höchsten Werte (Juwelen) im Unternehmen?
  • Wie ist der Zugriff durch die Mitarbeiter auf diese Werte geregelt?
  • Was ist das größte Risiko, dass diesen Werten gegenüber steht? Haben Sie bereits Maßnahmen getroffen die das Risiko minimieren oder kann hier eine Richtlinie helfen?
Beispiel: Nur eine ausgewählte Gruppe von Mitarbeitern kann auf die Daten für die Rezeptur einer speziellen Stahllegierung zugreifen. Diese Mitarbeiter sollten Sie separat auf die Wichtigkeit der Daten hinweisen. Eine allgemeine Sicherheitsrichtlinie bringt hier keinen Mehrwert.
  • Erlauben Sie die Nutzung privater Geräte im Firmennetz (BYOD[3])?

Phasen der Veröffentlichung

Holen Sie die betroffenen Abteilungen mit ins Boot. Nachdem Sie die Informationssicherheits-Richtlinie zusammen mit den Ansprechpartnern der Abteilungen besprochen haben, stellen Sie diese der Geschäftsleitung vor.

Lassen Sie die Geschäftsleitung prüfen, ob der Inhalt der Richtlinie von ihnen mit getragen werden kann. Seien Sie für Diskussionen offen.

Wenn alle Führungskräfte ihre Zustimmung gegeben haben und die Richtlinie unterstützen kann sie veröffentlicht werden. Die Führungskräfte können sich dann, gegenüber ihren Mitarbeitern, nicht mehr aus der Verantwortung ziehen.

Bekanntgabe und Einführung

Es ist keine gute Idee, die Mitarbeiter vor vollendete Tatsachen zu stellen. Informieren Sie die Mitarbeiter, z.B. über das „schwarze Brett“ oder das Intranet, über die bevorstehende Veröffentlichung der Richtlinien.

Verbinden Sie die Veröffentlichung mit einer kurzen Unterweisung. Führen Sie evtl. für alle Mitarbeiter eine Präsenzschulung durch.

Erläutern Sie in den Schulungen, WARUM sich das Unternehmen für diese Informationssicherheits-Richtlinie entschieden hat. Geben Sie auch einige Beispiele zu den einzelnen Richtlinien, damit ein Verständnis der Mitarbeiter für diese Richtlinie entsteht.

Die Einhaltung

Das ist ein Resultat aus den vorherigen Punkten. Geht die Geschäftsleitung mit gutem Beispiel voran und hält sich an die Richtlinien? Ist bei den Mitarbeitern das Verständnis für die Richtlinie vorhanden? Sind die Richtlinien praxistauglich?

Das sind schon die wichtigsten Faktoren, die die Mitarbeiter aus eigenem Antrieb motivieren, die Informationssicherheits-Richtlinien einzuhalten.

Dennoch müssen Sie die Einhaltung sicherstellen, denn eine Vorgabe die nicht kontrolliert wird, wird früher oder später missachtet.

Dieser Punkt ist sicherlich der Schwierigste an der gesamten Informationssicherheits-Richtlinie.

Die Anpassungen

Nach einiger Zeit werden Sie feststellen, dass einige Richtlinien doch zu Problemen in der Praxis führen können. Hier sollten Sie sich nicht scheuen, die Richtlinien zu überarbeiten und ein Update herauszugeben.

Bitte denken Sie auch bei dem Update daran, dieses bekannt zu geben.

Im nächsten Blog erkläre ich Ihnen, wie eine gute Informationssicherheits-Richtlinie aufbereitet sein sollte.

Lesen Sie auch den ersten Teil dieser Reihe: ‚Die größten Fehler beim Erstellen einer Informationssicherheits-Richtlinie‚.

Ihr Stefan Roschetzki, IT-Security Beauftragter und Manager (TÜV)

[2] Risikoanalyse => https://de.wikipedia.org/wiki/Risikoanalyse
[3] BYOD => https://de.wikipedia.org/wiki/Bring_your_own_device