Grundlagen

Organisatorische IT-Sicherheit

Im Mittelstand kommt es darauf an, pragmatische wie bezahlbare Verfahren in Sachen IT-Sicherheit zu entwickeln und umzusetzen. In diesem Grundlagenartikel beleuchten wir wesentliche organisatorische Anforderungen hierzu, darunter Richtlinien für Benutzer sowie Datenschutz- und Datensicherheitskonzepte.
Die Absicherung der im Rahmen einer Risikoanalyse identifizierten Risiken muss grundsätzlich auf organisatorischer und auf technischer Ebene erfolgen. Auf organisatorischer Ebene werden die Rahmenbedingungen und Verhaltensweisen beispielsweise per Arbeitsanweisung oder Betriebsvereinbarung an die Mitarbeiter kommuniziert. Auf der technischen Ebene erfolgt dann die Umsetzung der vereinbarten Rahmenbedingungen, indem mit den entsprechenden Werkzeugen (Firewall, URL-Filter, Device-/Applikationskontrolle et cetera) die Richtlinien durchgesetzt werden.

Leider vernachlässigen vor allem kleinere Unternehmen die organisatorische Seite noch und suchen ihr Heil alleine in der Technik. Doch das geht meist nicht gut, weil fehlende organisatorische Regelungen sich im Schadensfall schnell als Showstopper erweisen. So kann die Aufnahme interner Ermittlungen gegen Mitarbeiter bereits an einer fehlenden IT-Richtlinie scheitern oder die Einsichtnahme in Mailboxen der Mitarbeiter ist nicht möglich, weil das Unternehmen die private Nutzung des geschäftlichen E-Mail-Accounts geduldet hat. Denn die private E-Mail-Kommunikation ist in Deutschland durch das Telekommunikationsgesetz geschützt und auch Richter in Arbeitsprozessen bewerten den Schutz der Persönlichkeitsrechte der Angestellten meist höher als die wirtschaftlichen Interessen eines Unternehmens.

Die folgenden Richtlinien sollten daher in keinem Unternehmen fehlen:

  • IT-Richtlinie / Benutzerrichtlinie
  • Admin-Richtlinie / Vertraulichkeitsvereinbarung für externe Dienstleister
  • Datenschutz- und Datensicherheitskonzept

Ist im Unternehmen ein Betriebsrat vorhanden, müssen Umfang und Inhalt der Dokumente mit diesem abgestimmt und anschließend als Betriebsvereinbarung veröffentlicht werden. In Unternehmen ohne Betriebsrat kann die Unternehmensleitung die Richtlinien dagegen direkt als verbindliche Arbeitsanweisung für alle Mitarbeiter einführen und sich die Kenntnisnahme schriftlich bestätigen lassen.

Die IT-/Benutzerrichtlinie ist ein für alle IT-Benutzer verbindliches Dokument, in dem vor allem folgende Aspekte der IT-Nutzung geregelt werden sollten:
  1. Einhaltung von Rechtsvorschriften, keine Nutzung der IT-Systeme für rechtswidrige Zwecke.
  2. Nutzung der IT-Systeme ausschließlich für dienstliche Zwecke, Verbot der Nutzung privater Hard- und Software zu dienstlichen Zwecken.
  3. Verpflichtung, Unternehmensdaten ausschließlich auf Netzlaufwerken zu speichern damit jederzeit eine zuverlässige Sicherung der Daten gewährleistet ist.
  4. Die Installation von Software darf ausschließlich vom IT-Personal vorgenommen werden.
  5. Passwortrichtlinie, Bildschirmschonerpasswort, Verpflichtung zum Abmelden bei Verlassen des Arbeitsplatzes.
  6. Internet- und E-Mail nur für die dienstliche Nutzung.
  7. Vertretungsregelung sowie Regelung für den Postfachzugriff bei Abwesenheit.
  8. Verhaltensregeln bei sicherheitsrelevanten Vorfällen.

Der Ausschluss der privaten Nutzung von Internet- und E-Mail sowie privater Geräte für dienstliche Zwecke kann Ihnen eine Menge Ärger ersparen. Denn durch das Verbot der privaten Nutzung dieser Arbeitsmittel dürfen Sie davon ausgehen, dass beispielsweise in E-Mails auch nur dienstliche Daten enthalten sind – diese gelten dann als Handelsbriefe. Und auf diese darf das Unternehmen dann auch jederzeit zugreifen, das systematische Mitlesen der Korrespondenz einzelner Mitarbeiter ist dennoch weiterhin nicht erlaubt.

Richtlinien für Admins und externe IT-Dienstleister
Vor allem kleinere Unternehmen lagern die Administration ihrer IT-Systeme häufig an externe Dienstleister aus. Doch egal, ob Sie einen internen Administrator einsetzen oder einen externen Dienstleister beschäftigen, die Richtlinie für Administratoren beziehungsweise für externe IT-Dienstleister sollte immer mindestens die folgenden Punkte regeln:

  • Wahrung von Datenschutz und Datensicherheit.
  • Ausschließliche Nutzung personalisierter Admin-Accounts.
  • Die Verfügbarkeit der IT-Infrastruktur ist zu gewährleisten.
  • Die Aktualität der IT-Infrastruktur ist zu gewährleisten.
  • Die Datensicherung ist nach dem jeweiligen Stand der Technik durchzuführen und Wiederherstellbarkeit jederzeit zu gewährleisten.
  • Es ist eine Systemdokumentation zu erstellen und jederzeit aktuell zu halten.

Datenschutz- und Datensicherheitskonzept
Zu den organisatorischen Anforderungen gehört auch die Erstellung eines Datenschutz- und Datensicherheitskonzepts. Dies gilt umso mehr, da seit 25. Mai 2018 die Übergangsfrist der EU-Datenschutz-Grundverodnung abgelaufen und die Verordnung damit auch in Deutschland rechtswirksam in Kraft getreten ist. Beim Datenschutzkonzept geht es vorrangig um den Schutz personenbezogener Daten. Das Datensicherheitskonzept beschreibt dagegen die konkrete Umsetzung der getroffenen Schutzmaßnahmen zum Schutz dieser Daten und der dafür genutzten IT-Systeme.
12.10.2018/Thomas Zeller/dr

Nachrichten

Flexible Netzwerksegmentierung [21.03.2019]

Fortinet bringt neue FortiGate-Next-Generation-Firewalls auf den Markt. Mit den Serien FortiGate 3600E, FortiGate 3400E, FortiGate 600E und FortiGate 400E können Unternehmen ihre Security-Architektur 'absichtsbasiert' segmentieren. [mehr]

Physischer Schutz im Rechenzentrum [18.03.2019]

APC by Schneider Electric erweitert sein Rack-Monitoring-Angebot für Rechenzentren und Serverräume. Die neue NetBotz-750-Appliance und das PoE-fähige 4-Megapixel-Videoüberwachungssystem NetBotz Camera Pod 165 sollen IT-Umgebungen vor physischen Gefahren wie Übertemperatur, Luftfeuchtigkeit, Wasserlecks, Rauch und Feuer sowie unerlaubtem Zugriff schützen. [mehr]

Tipps & Tools

Citrix Virtual Apps fehlerfrei nutzen [17.03.2019]

In Citrix-Umgebung kann folgendes Problem auftreten: Wenn Sie bei einer Neuinstallation von Citrix Virtual Apps 1811 entweder die Option 'Brokered Connections to a Server' oder 'Remote PC aktivieren' auf der Environment-Seite des Installers auswählen, können Endbenutzer die Funktionen 'Browser Content Redirection' (BCR) oder 'HTML5 Multimedia Redirection' nicht verwenden, da drei benötigte Dienste nicht mitinstalliert und registriert werden. Es existiert jedoch ein Workaround. [mehr]

In Kürze erhältlich: Sonderheft Virtualisierung [11.03.2019]

Noch läuft die Schlusskorrektur des ersten Sonderhefts im Jahr 2019, aber bald schon starten die Druckmaschinen: Das IT-Administrator Sonderheft 'Virtualisierung' wird ab dem 29. März ausgeliefert und bietet IT-Verantwortlichen auf 180 Seiten Best Practices zur Planung und Umsetzung virtualisierter Server, Netze, Speicher, Anwendungen und Clients. Ordern Sie jetzt, und Sie haben das Heft zum Erscheinungstermin auf dem Schreibtisch. Abonnenten bestellen wie immer zum Vorzugspreis. [mehr]

Buchbesprechung

IT-Sicherheit

von Prof. Dr. Claudia Eckert

Anzeigen