Grundlagen

Organisatorische IT-Sicherheit

Im Mittelstand kommt es darauf an, pragmatische wie bezahlbare Verfahren in Sachen IT-Sicherheit zu entwickeln und umzusetzen. In diesem Grundlagenartikel beleuchten wir wesentliche organisatorische Anforderungen hierzu, darunter Richtlinien für Benutzer sowie Datenschutz- und Datensicherheitskonzepte.
Die Absicherung der im Rahmen einer Risikoanalyse identifizierten Risiken muss grundsätzlich auf organisatorischer und auf technischer Ebene erfolgen. Auf organisatorischer Ebene werden die Rahmenbedingungen und Verhaltensweisen beispielsweise per Arbeitsanweisung oder Betriebsvereinbarung an die Mitarbeiter kommuniziert. Auf der technischen Ebene erfolgt dann die Umsetzung der vereinbarten Rahmenbedingungen, indem mit den entsprechenden Werkzeugen (Firewall, URL-Filter, Device-/Applikationskontrolle et cetera) die Richtlinien durchgesetzt werden.

Leider vernachlässigen vor allem kleinere Unternehmen die organisatorische Seite noch und suchen ihr Heil alleine in der Technik. Doch das geht meist nicht gut, weil fehlende organisatorische Regelungen sich im Schadensfall schnell als Showstopper erweisen. So kann die Aufnahme interner Ermittlungen gegen Mitarbeiter bereits an einer fehlenden IT-Richtlinie scheitern oder die Einsichtnahme in Mailboxen der Mitarbeiter ist nicht möglich, weil das Unternehmen die private Nutzung des geschäftlichen E-Mail-Accounts geduldet hat. Denn die private E-Mail-Kommunikation ist in Deutschland durch das Telekommunikationsgesetz geschützt und auch Richter in Arbeitsprozessen bewerten den Schutz der Persönlichkeitsrechte der Angestellten meist höher als die wirtschaftlichen Interessen eines Unternehmens.

Die folgenden Richtlinien sollten daher in keinem Unternehmen fehlen:

  • IT-Richtlinie / Benutzerrichtlinie
  • Admin-Richtlinie / Vertraulichkeitsvereinbarung für externe Dienstleister
  • Datenschutz- und Datensicherheitskonzept

Ist im Unternehmen ein Betriebsrat vorhanden, müssen Umfang und Inhalt der Dokumente mit diesem abgestimmt und anschließend als Betriebsvereinbarung veröffentlicht werden. In Unternehmen ohne Betriebsrat kann die Unternehmensleitung die Richtlinien dagegen direkt als verbindliche Arbeitsanweisung für alle Mitarbeiter einführen und sich die Kenntnisnahme schriftlich bestätigen lassen.

Die IT-/Benutzerrichtlinie ist ein für alle IT-Benutzer verbindliches Dokument, in dem vor allem folgende Aspekte der IT-Nutzung geregelt werden sollten:
  1. Einhaltung von Rechtsvorschriften, keine Nutzung der IT-Systeme für rechtswidrige Zwecke.
  2. Nutzung der IT-Systeme ausschließlich für dienstliche Zwecke, Verbot der Nutzung privater Hard- und Software zu dienstlichen Zwecken.
  3. Verpflichtung, Unternehmensdaten ausschließlich auf Netzlaufwerken zu speichern damit jederzeit eine zuverlässige Sicherung der Daten gewährleistet ist.
  4. Die Installation von Software darf ausschließlich vom IT-Personal vorgenommen werden.
  5. Passwortrichtlinie, Bildschirmschonerpasswort, Verpflichtung zum Abmelden bei Verlassen des Arbeitsplatzes.
  6. Internet- und E-Mail nur für die dienstliche Nutzung.
  7. Vertretungsregelung sowie Regelung für den Postfachzugriff bei Abwesenheit.
  8. Verhaltensregeln bei sicherheitsrelevanten Vorfällen.

Der Ausschluss der privaten Nutzung von Internet- und E-Mail sowie privater Geräte für dienstliche Zwecke kann Ihnen eine Menge Ärger ersparen. Denn durch das Verbot der privaten Nutzung dieser Arbeitsmittel dürfen Sie davon ausgehen, dass beispielsweise in E-Mails auch nur dienstliche Daten enthalten sind – diese gelten dann als Handelsbriefe. Und auf diese darf das Unternehmen dann auch jederzeit zugreifen, das systematische Mitlesen der Korrespondenz einzelner Mitarbeiter ist dennoch weiterhin nicht erlaubt.

Richtlinien für Admins und externe IT-Dienstleister
Vor allem kleinere Unternehmen lagern die Administration ihrer IT-Systeme häufig an externe Dienstleister aus. Doch egal, ob Sie einen internen Administrator einsetzen oder einen externen Dienstleister beschäftigen, die Richtlinie für Administratoren beziehungsweise für externe IT-Dienstleister sollte immer mindestens die folgenden Punkte regeln:

  • Wahrung von Datenschutz und Datensicherheit.
  • Ausschließliche Nutzung personalisierter Admin-Accounts.
  • Die Verfügbarkeit der IT-Infrastruktur ist zu gewährleisten.
  • Die Aktualität der IT-Infrastruktur ist zu gewährleisten.
  • Die Datensicherung ist nach dem jeweiligen Stand der Technik durchzuführen und Wiederherstellbarkeit jederzeit zu gewährleisten.
  • Es ist eine Systemdokumentation zu erstellen und jederzeit aktuell zu halten.

Datenschutz- und Datensicherheitskonzept
Zu den organisatorischen Anforderungen gehört auch die Erstellung eines Datenschutz- und Datensicherheitskonzepts. Dies gilt umso mehr, da seit 25. Mai 2018 die Übergangsfrist der EU-Datenschutz-Grundverodnung abgelaufen und die Verordnung damit auch in Deutschland rechtswirksam in Kraft getreten ist. Beim Datenschutzkonzept geht es vorrangig um den Schutz personenbezogener Daten. Das Datensicherheitskonzept beschreibt dagegen die konkrete Umsetzung der getroffenen Schutzmaßnahmen zum Schutz dieser Daten und der dafür genutzten IT-Systeme.
12.10.2018/Thomas Zeller/dr

Nachrichten

Verstoß gegen DSGVO: Klage gegen Amtsgericht Frankfurt [26.05.2020]

Die Reisebranche wurde durch die Corona-Beschränkungen besonders hart getroffen. So sagte die polnische LOT-Gruppe die geplante Übernahme der Fluggesellschaft Condor in letzter Sekunde ab. Nun musste Condor Insolvenz anmelden, wobei während des Verfahrens offenbar Namen und Privatadressen von Verfahrensbeteiligten ans Licht kamen. Ein Rechtsanwalt klagt gegen das verantwortliche Amtsgericht in Frankfurt am Main wegen eines möglichen Verstoßes gegen die DSGVO. [mehr]

Uralt-Sicherheitslücke in Linux gestopft [25.05.2020]

Eine 20 Jahre als Sicherheitslücke in der Speicherverwaltung von Linux konnte mit Unterstützung des Security-Anbieters Check Point geschlossen werden. Schlimmstenfalls konnten Angreifer das System aufgrund der Lücke vollständig übernehmen. [mehr]

Flexiblere Firewalls [19.05.2020]

Tipps & Tools

Vorschau Juni 2020: Hybrid Cloud [25.05.2020]

Längst stehen Firmen mit einem Fuß in der Cloud. Um den Übergang in die Wolke möglichst reibungslos zu gestalten, dreht sich der Schwerpunkt im Juni-Heft um das Thema "Hybrid Cloud". Darin zeigen wir unter anderem, wie sich Firmen eine passende Hybrid-Cloud-Strategie zurechtlegen und gleichzeitig die Business Continuity im Blick behalten. Außerdem erfahren Sie, wie Sie Windows Virtual Desktop mit freien Tools verwalten und Azure AD Connect in Betrieb nehmen. In den Tests tritt unter anderem Virtana CloudWisdom zur Kostenoptimierung bei Cloudressourcen an. [mehr]

Proxmox VE 6.2 freigegeben [22.05.2020]

Die Proxmox Server Solutions GmbH hat eine neue Version Ihrer Open-Source-Virtualisierungslösung für Server veröffentlicht: Proxmox VE 6.2 basiert auf Debian Buster 10.4, nutzt den Linux-Longterm-Kernel 5.4 und integriert verschiedene neue Funktionen. [mehr]

Buchbesprechung

Technik der IP-Netze

von Anatol Badach und Erwin Hoffmann

Anzeigen