fbpx

Wichtige IT-Sicherheitsrichtlinien für Unternehmen

Inhalt

IT-Sicherheit beginnt mit dem Wissen, was sicher ist und was nicht. Denn die verschiedensten Sicherheitsmaßnahmen, vom VPN über Firewalls bis zum Passwortmanager, setzen eine wichtige Sache voraus: Das Verständnis und die Bereitschaft der Mitarbeitenden, sich an die Grundlagen der IT-Sicherheit zu halten. Genau diese Grundlagen werden in IT-Sicherheitsrichtlinien für Unternehmen festgelegt.

Eine Studie von Konica Minolta befasst sich 2024 mit der IT-Sicherheit in Österreich – und befragt dabei 150 IT-Entscheider aus verschiedenen Branchen unter anderem zu ihren IT-Sicherheitsmaßnahmen. Mehr als die Hälfte der Befragten (53%) nennen Mitarbeiterschulungen und Sicherheitsbewusstsein als wichtigste Maßnahme für die IT-Sicherheit. Damit wird die „menschliche Firewall“ als wirksamer eingeschätzt als technische Maßnahmen wie tatsächliche Firewalls und Virenscanner (43%), nur modernste Technologien zu nutzen (42%) und Virtual Private Networks (34%). Eine Möglichkeit, um Mitarbeitenden die IT-Sicherheit näher zu bringen, sind IT-Sicherheitsrichtlinien für Ihr Unternehmen.

Was sind IT-Sicherheitsrichtlinien?

IT-Sicherheitsrichtlinien geben klare Vorgaben für den Umgang mit der Informationstechnologie in Unternehmen. Mitarbeitende können sich die Richtlinien durchlesen, um herauszufinden, was erlaubt ist und was nicht. Dabei geht es oft um praktische, alltägliche Vorgänge: Wie bewahren Mitarbeitende ihre Passwörter auf? Was ist beim Verlassen des Arbeitsplatzes zu beachten? Aber auch größere Themen, wie beispielsweise der Schutz sensibler Daten, sind Teil der IT-Sicherheitsrichtlinien.

Warum sind IT-Sicherheitsrichtlinien wichtig?

Laut einer Kaspersky-Studie 2023 lassen sich mehr als zwei Drittel (37%) der Cybersicherheitsvorfälle in Deutschland auf das Fehlverhalten von Mitarbeitenden zurückführen. Damit stellen sie ein größeres Sicherheitsrisiko dar als Hacker, die für rund ein Viertel (27%) der Vorfälle verantwortlich waren. Dabei können auch die eigenen Mitarbeitenden aus böser Absicht handeln: Rund 17% haben laut Kaspersky absichtlich gegen Sicherheitsprotokolle verstoßen.

Die überwiegende Mehrheit der internen Sicherheitsrisiken lässt sich aber durch unbewusstes Fehlverhalten erklären. Mitarbeitende klicken beispielweise auf Links in Phishing-Mails, nutzen private Geräte oder nicht autorisierte Software. Diese Verstöße – und damit auch die Cybersicherheitsvorfälle – lassen sich durch IT-Sicherheitsrichtlinien und unterstützende Schulungen reduzieren. Denn oft wissen es Mitarbeitende einfach nicht besser.

IT-Sicherheitsrichtlinien für Unternehmen aufstellen

Die IT-Sicherheitsrichtlinien geben ihnen also einen Leitfaden an die Hand, der übersichtlich und leicht verständlich sein sollte. Das erleichtert die Einhaltung der IT-Sicherheit – und reduziert damit das Sicherheitsrisiko „Mitarbeiter“. Dafür muss er die wichtigsten Sicherheitsvorschriften enthalten.

Was kommt in die IT-Security-Guidelines?

Es gibt einige Abschnitte, die IT-Sicherheitsrichtlinien jedenfalls enthalten sollten. Innerhalb dieser Elemente muss jedes Unternehmen selbst festlegen, welche Vorschriften gelten. Folgende Abschnitte sind besonders wichtig:

  • Ziel und Anwendung: Die IT-Sicherheitsrichtlinien sollten ein klares Ziel verfolgen und festhalten, für wen die Regeln gelten. So kann sich später niemand davon distanzieren.
  • Datenklassifizierung: Hier wird festgelegt, welche Daten sensibel sind – und wie Mitarbeitende mit ihnen umgehen sollen.
  • Hardware-Nutzung: Wann, wo, wofür und in welchem Ausmaß ist die Verwendung von Firmen-Geräten erlaubt? Was gilt bei mobilen Endgeräten und im Homeoffice?
  • Software-Nutzung: Welche Software-Anwendungen dürfen auf Firmen-Geräten installiert und verwendet werden? Wer darf neue Software installieren? Im Idealfall nur das IT-Personal.
  • Verlassen des Arbeitsplatzes: Welche Geräte müssen heruntergefahren werden und welche nicht? Was ist im Falle einer längeren Abwesenheit zu tun?
  • Passwörter: Hier werden Regeln zum Aktualisieren und Teilen von Passwörtern festgelegt. Außerdem erlauben viele Unternehmen die Verwendung von Passwortmanagern.
  • Datensicherung: Welche Daten dürfen wo gespeichert werden – und wo nicht? Wann und wo werden Backups zur Datensicherung durchgeführt?
  • Schutzmaßnahmen: Maßnahmen der IT-Security, wie die verpflichtete Nutzung von VPN oder der Zwei-Faktor-Authentifizierung, werden ebenfalls in den IT-Sicherheitsrichtlinien geregelt.

Neben allgemeinen IT-Sicherheitsrichtlinien sind oft auch spezifische Richtlinien sinnvoll. Dies gilt beispielsweise für die Einhaltung der Compliance & Security in der Cloud oder für die Erstellung von KI-Richtlinien.

Beispiele für IT-Sicherheitsrichtlinien

Anhand dieses groben Aufbaus müssen Unternehmen selbst entscheiden, welche IT-Sicherheitsrichtlinien sie aufstellen wollen. Es kommt oft auf interne Vorgaben aber auch auf Compliance-Vorschriften gewisser Branchen an, wie streng die IT-Sicherheitsmaßnahmen sein müssen. Die folgenden Beispiele geben einen groben Einblick in die Formulierung der Richtlinien.

1. Anschaffung von Software

„Neue Software darf nur nach Freigabe durch den Vorgesetzten angeschafft werden. Für die Anschaffung und Installation ist ausschließlich die IT-Abteilung zuständig. Mitarbeiter dürfen nicht die Freigabe erhalten, Software selbstständig zu installieren.“

2. Verlassen des Arbeitsplatzes

„Bei Verlassen des Arbeitsplatzes während der Arbeitszeit muss der Bildschirmschoner aktiviert oder das Gerät gesperrt werden. Zum Ende der Arbeitszeit muss der Ruhezustand am Arbeitsgerät aktiviert werden. Drucker und Scanner dürfen nur durch die IT-Abteilung abgeschaltet werden.“

3. Passwörter und Passwort-Schutz

„Der Zugriff auf IT-Systeme ist durch Passwörter zu sichern. Passwörter sind sensible Daten und jeder Mitarbeitende ist selbst für sie verantwortlich. Eine Weitergabe an andere Personen ist nicht erlaubt. Passwörter dürfen nur in Passwortmanagern gesichert werden, die von der IT freigegeben werden.“

4. E-Mail-Nutzung

„Die geschäftliche E-Mail-Adresse darf ausschließlich für berufliche Zwecke genutzt werden. Eine private Nutzung der Firmen-Adresse ist ausdrücklich untersagt. Berufliche E-Mails dürfen nicht von privaten E-Mail-Adressen versendet werden.“

5. Abwehr von Malware

„Jedes Firmen-Gerät muss durch eine Firewall oder Virenschutzprogramme vor Schadsoftware geschützt werden. Das Deaktivieren oder Deinstallieren dieser Schutzprogramme ist nicht gestattet. Bei Verdacht auf Viren oder Malware muss die IT-Abteilung schnellstmöglich verständigt werden.“

Die Sicherheitsrichtlinien implementieren

Sind die IT-Sicherheitsrichtlinien einmal aufgestellt, ist die Arbeit noch nicht getan. Die Maßnahmen können nur wirken, wenn sie auch umgesetzt werden. Es reicht also nicht, die IT-Sicherheitsrichtlinien per E-Mail zu versenden oder ins Intranet zu stellen. IT-Verantwortliche tragen auch die Verantwortung dafür, dass Mitarbeitende die Sicherheitsrichtlinien verstehen und befolgen. Es braucht Schulungen und die Gelegenheit, Fragen zu stellen. Und es braucht laufendes Monitoring – nicht nur, um auch die böswilligen Sicherheitsverstöße rechtzeitig zu erkennen.

Net Professionals unterstützt Sie als externer Partner gerne dabei, IT-Sicherheitsrichtlinien aufzustellen, Sicherheitsmaßnahmen umzusetzen und sie im Auge zu behalten. So haben Sie eine Sorge weniger.