Grundlagen

Organisatorische IT-Sicherheit

Im Mittelstand kommt es darauf an, pragmatische wie bezahlbare Verfahren in Sachen IT-Sicherheit zu entwickeln und umzusetzen. In diesem Grundlagenartikel beleuchten wir wesentliche organisatorische Anforderungen hierzu, darunter Richtlinien für Benutzer sowie Datenschutz- und Datensicherheitskonzepte.
Die Absicherung der im Rahmen einer Risikoanalyse identifizierten Risiken muss grundsätzlich auf organisatorischer und auf technischer Ebene erfolgen. Auf organisatorischer Ebene werden die Rahmenbedingungen und Verhaltensweisen beispielsweise per Arbeitsanweisung oder Betriebsvereinbarung an die Mitarbeiter kommuniziert. Auf der technischen Ebene erfolgt dann die Umsetzung der vereinbarten Rahmenbedingungen, indem mit den entsprechenden Werkzeugen (Firewall, URL-Filter, Device-/Applikationskontrolle et cetera) die Richtlinien durchgesetzt werden.

Leider vernachlässigen vor allem kleinere Unternehmen die organisatorische Seite noch und suchen ihr Heil alleine in der Technik. Doch das geht meist nicht gut, weil fehlende organisatorische Regelungen sich im Schadensfall schnell als Showstopper erweisen. So kann die Aufnahme interner Ermittlungen gegen Mitarbeiter bereits an einer fehlenden IT-Richtlinie scheitern oder die Einsichtnahme in Mailboxen der Mitarbeiter ist nicht möglich, weil das Unternehmen die private Nutzung des geschäftlichen E-Mail-Accounts geduldet hat. Denn die private E-Mail-Kommunikation ist in Deutschland durch das Telekommunikationsgesetz geschützt und auch Richter in Arbeitsprozessen bewerten den Schutz der Persönlichkeitsrechte der Angestellten meist höher als die wirtschaftlichen Interessen eines Unternehmens.

Die folgenden Richtlinien sollten daher in keinem Unternehmen fehlen:

  • IT-Richtlinie / Benutzerrichtlinie
  • Admin-Richtlinie / Vertraulichkeitsvereinbarung für externe Dienstleister
  • Datenschutz- und Datensicherheitskonzept

Ist im Unternehmen ein Betriebsrat vorhanden, müssen Umfang und Inhalt der Dokumente mit diesem abgestimmt und anschließend als Betriebsvereinbarung veröffentlicht werden. In Unternehmen ohne Betriebsrat kann die Unternehmensleitung die Richtlinien dagegen direkt als verbindliche Arbeitsanweisung für alle Mitarbeiter einführen und sich die Kenntnisnahme schriftlich bestätigen lassen.

Die IT-/Benutzerrichtlinie ist ein für alle IT-Benutzer verbindliches Dokument, in dem vor allem folgende Aspekte der IT-Nutzung geregelt werden sollten:
  1. Einhaltung von Rechtsvorschriften, keine Nutzung der IT-Systeme für rechtswidrige Zwecke.
  2. Nutzung der IT-Systeme ausschließlich für dienstliche Zwecke, Verbot der Nutzung privater Hard- und Software zu dienstlichen Zwecken.
  3. Verpflichtung, Unternehmensdaten ausschließlich auf Netzlaufwerken zu speichern damit jederzeit eine zuverlässige Sicherung der Daten gewährleistet ist.
  4. Die Installation von Software darf ausschließlich vom IT-Personal vorgenommen werden.
  5. Passwortrichtlinie, Bildschirmschonerpasswort, Verpflichtung zum Abmelden bei Verlassen des Arbeitsplatzes.
  6. Internet- und E-Mail nur für die dienstliche Nutzung.
  7. Vertretungsregelung sowie Regelung für den Postfachzugriff bei Abwesenheit.
  8. Verhaltensregeln bei sicherheitsrelevanten Vorfällen.

Der Ausschluss der privaten Nutzung von Internet- und E-Mail sowie privater Geräte für dienstliche Zwecke kann Ihnen eine Menge Ärger ersparen. Denn durch das Verbot der privaten Nutzung dieser Arbeitsmittel dürfen Sie davon ausgehen, dass beispielsweise in E-Mails auch nur dienstliche Daten enthalten sind – diese gelten dann als Handelsbriefe. Und auf diese darf das Unternehmen dann auch jederzeit zugreifen, das systematische Mitlesen der Korrespondenz einzelner Mitarbeiter ist dennoch weiterhin nicht erlaubt.

Richtlinien für Admins und externe IT-Dienstleister
Vor allem kleinere Unternehmen lagern die Administration ihrer IT-Systeme häufig an externe Dienstleister aus. Doch egal, ob Sie einen internen Administrator einsetzen oder einen externen Dienstleister beschäftigen, die Richtlinie für Administratoren beziehungsweise für externe IT-Dienstleister sollte immer mindestens die folgenden Punkte regeln:

  • Wahrung von Datenschutz und Datensicherheit.
  • Ausschließliche Nutzung personalisierter Admin-Accounts.
  • Die Verfügbarkeit der IT-Infrastruktur ist zu gewährleisten.
  • Die Aktualität der IT-Infrastruktur ist zu gewährleisten.
  • Die Datensicherung ist nach dem jeweiligen Stand der Technik durchzuführen und Wiederherstellbarkeit jederzeit zu gewährleisten.
  • Es ist eine Systemdokumentation zu erstellen und jederzeit aktuell zu halten.

Datenschutz- und Datensicherheitskonzept
Zu den organisatorischen Anforderungen gehört auch die Erstellung eines Datenschutz- und Datensicherheitskonzepts. Dies gilt umso mehr, da seit 25. Mai 2018 die Übergangsfrist der EU-Datenschutz-Grundverodnung abgelaufen und die Verordnung damit auch in Deutschland rechtswirksam in Kraft getreten ist. Beim Datenschutzkonzept geht es vorrangig um den Schutz personenbezogener Daten. Das Datensicherheitskonzept beschreibt dagegen die konkrete Umsetzung der getroffenen Schutzmaßnahmen zum Schutz dieser Daten und der dafür genutzten IT-Systeme.
12.10.2018/Thomas Zeller/dr

Nachrichten

Ransomware verschlüsselt ungepatchte ESXi-Server [7.02.2023]

Bei einem weltweiten Ransomware-Angriff wurden tausende ESXi-Server verschlüsselt. Der regionale Schwerpunkt der Angriffe lag dabei auf Frankreich, den USA, Deutschland und Kanada, auch weitere Länder sind betroffen. Sicherheitsexperten gehen davon aus, dass hierbei die bereits im Februar 2021 gepatchte Schwachstelle CVE-2021-21974 als Angriffsvektor dient. [mehr]

Gefahr erkannt [3.02.2023]

Aqua Security stellt den eBPF Lightning Enforcer zum Schutz gegen containerbasierte Zero-Day-Angriffe vor. Mithilfe von eBPF ist es möglich, Sandbox-Programme im Kernel eines Betriebssystems auszuführen. Diese Technologie, die ihren Ursprung in Linux hat, erweitert die Fähigkeiten des Kerns, ohne dessen Quellcode zu verändern oder dazugehörige Module zu laden. [mehr]

Tipps & Tools

Jetzt vorbestellen: Sonderheft I/2023 "Cloud Security" [16.01.2023]

Der Gang in die Cloud bringt für Unternehmen ganz neue Anforderungen an die IT-Sicherheit mit sich. In unserem neuen Sonderheft Cloud Security zeigt das Autorenteam daher Wege auf, AWS, Azure, GCP und lokale Clouds vor unbefugten Zugriffen und Datenverlust zu schützen. Auf 180 Seiten stellt das Sonderheft praxisnahe Vorgehensweisen zur Absicherung von Infrastruktur, Applikationen und Identitäten vor. [mehr]

Online-Intensivseminar "Azure-Administration" [28.11.2022]

Das neue Intensivseminar "Azure-Administration" vermittelt an drei Tagen online, wie Sie Ihre Azure-Abonnements verwalten, Identitäten sichern, die Infrastruktur administrieren sowie virtuelle Netzwerke konfigurieren. Daneben zeigen wir, auf welchem Weg Sie Azure- und lokale Standorte richtig verbinden, den Netzwerkverkehr verwalten, Speicherlösungen implementieren, virtuelle Maschinen erstellen, Managed Services in Anspruch nehmen, Daten sichern und Ihre Umgebung überwachen. Sichern Sie sich rasch Ihren Platz für das Intensivseminar, das vom 29. bis zum 31. März 2023 stattfindet – für Abonnenten gilt wie immer ein Sondertarif. [mehr]

Anzeigen