Besonnener Umgang mit Security Policies
Alle an einen Tisch
Andere Regeln hingegen sind nur schwer durchsetzbar oder sanktionierbar – beispielsweise wenn Mitarbeiter auf ein bösartiges Attachment einer E-Mail klicken. An dieser Stelle ist dann mehr Aufklärung als die Androhung von Sanktionen gefragt, um das Ziel einer höheren Sicherheit zu erreichen. Hier helfen insbesondere Security-Awareness-Programme, um Mitarbeiter mit den Sicherheitsrichtlinien vertraut zu machen. Die Maßnahmen solcher Programme reichen von Sicherheitsschulungen und Workshops, Newslettern und Veröffentlichungen im Intranet über Posterkampagnen und Prospekte im Postkorb der Mitarbeiter bis hin zu Gewinnspielen mit einem Security-Quiz, speziellen Videos oder Bildschirmschonern mit Sicherheitshinweisen.
Wie dieser Beitrag zeigt, sind Security Policies ein sehr individuelles Thema, für das es keine allgemeingültigen Rezepte gibt. Denn Sicherheitsrichtlinien sind immer eine Gradwanderung zwischen Produktivität und Sicherheit und müssen auf die individuellen Bedürfnisse und Ressourcen eines Unternehmens angepasst werden. Eines haben jedoch alle Richtlinien gemeinsam: Wenn bei ihrer Erstellung nicht von Anfang an alle betroffenen Abteilungen eines Unternehmens beteiligt waren, wird eine Richtlinie aller Wahrscheinlichkeit nach in der Praxis scheitern. Denn die wahre Kunst ist es, das Sicherheitsbedürfnis des IT-Security-Managers mit den rechtlichen Anliegen der Personalabteilung und den Freiheitswünschen der Arbeitnehmer und ihrer Vertreter zu vereinen. Fehlt nur einer der drei bei der Erstellung, so wird die Richtlinie ihr Ziel mit hoher Wahrscheinlichkeit verfehlen.
