RiLi-Mitarbeitende: Unterschied zwischen den Versionen

Aus ISMS-Ratgeber WiKi
Zur Navigation springenZur Suche springen
KKeine Bearbeitungszusammenfassung
KKeine Bearbeitungszusammenfassung
 
(4 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 2: Zeile 2:
|title=Richtlinien zur Sensibilisierung der Mitarbeitenden
|title=Richtlinien zur Sensibilisierung der Mitarbeitenden
|keywords=ISMS,Richtlinie,Informationssicherheit,Sensibilisierung,Mitarbeitende,Muster,Beispiel
|keywords=ISMS,Richtlinie,Informationssicherheit,Sensibilisierung,Mitarbeitende,Muster,Beispiel
|description=Mustervorlage für eine Richtlinien zur Sensibilisierung der Mitarbeitenden der Organisation.
|description=Diese Richtlinie dient der Anleitung und Sensibilisierung aller Mitarbeitenden der Organisation zu grundlegenden Themen der Informationssicherheit und des Datenschutzes.
}}
}}{{SHORTDESC:Mustervorlage für eine "Richtlinien zur Sensibilisierung der Mitarbeitenden der Organisation"}}
Mustervorlage: '''"Richtlinien zur Sensibilisierung der Mitarbeitenden der Organisation"'''


''Die Richtlinie für Mitarbeitende dient der Anleitung und Sensibilisierung aller Mitarbeitenden der Organisation zu grundlegenden Themen der Informationssicherheit und des Datenschutzes. Da diese Richtlinie klare Anweisungen enthält, die z.T. über das direkte Arbeitsumfeld der Mitarbeitenden hinaus gehen, ist es für diese Richtlinie besonders wichtig die Personalvertretung frühzeitig in die Erstellung der Richtlinie einzubeziehen. Dabei kann es hilfreich sein, zu betonen, dass der Fokus der Richtlinie die Sensibilisierung ist und nicht die Kontrolle oder Sanktionen.''
''Diese Richtlinie dient der Anleitung und Sensibilisierung aller Mitarbeitenden der Organisation zu grundlegenden Themen der Informationssicherheit und des Datenschutzes. Da diese Richtlinie klare Anweisungen enthält, die z.T. über das direkte Arbeitsumfeld der Mitarbeitenden hinaus gehen, ist es für diese Richtlinie besonders wichtig die Personalvertretung frühzeitig in die Erstellung der Richtlinie einzubeziehen. Dabei kann es hilfreich sein, zu betonen, dass der Fokus der Richtlinie die Sensibilisierung ist und nicht die Kontrolle oder Sanktionen.''


''Die Texte sind recht präzise formuliert um euch konkrete Beispiele und Formulierungshilfen zu geben, diese sind jedoch wie bei allen Mustervorlagen den tatsächlichen Gegebenheiten und Regelungen der Organisation anzupassen.''
''Die Texte sind recht präzise formuliert um euch konkrete Beispiele und Formulierungshilfen zu geben, diese sind jedoch wie bei allen Mustervorlagen den tatsächlichen Gegebenheiten und Regelungen der Organisation anzupassen.''
Zeile 232: Zeile 231:


==Schlussbemerkung ==
==Schlussbemerkung ==
===Behandlung von Ausnahmen===
Ausnahmen von den Regelungen dieser Richtlinie sind nur mit einem begründeten Ausnahmeantrag im Rahmen des [[RiLi-Ausnahmemanagement|Ausnahmemanagements]] möglich.
===Revision===
Diese Richtlinie wird regelmäßig, jedoch mindestens einmal pro Jahr, durch den Regelungsverantwortlichen auf Aktualität und Konformität geprüft und bei Bedarf angepasst.
==Inkrafttreten==
==Inkrafttreten==
Diese Richtlinie tritt zum 01.01.2222 in Kraft.
Diese Richtlinie tritt zum 01.01.2222 in Kraft.
Zeile 242: Zeile 245:
[[Kategorie:Mustervorlage]]
[[Kategorie:Mustervorlage]]
[[Kategorie:Richtlinie]]
[[Kategorie:Richtlinie]]
[[Kategorie:Entwurf]]

Aktuelle Version vom 9. November 2024, 09:08 Uhr


Diese Richtlinie dient der Anleitung und Sensibilisierung aller Mitarbeitenden der Organisation zu grundlegenden Themen der Informationssicherheit und des Datenschutzes. Da diese Richtlinie klare Anweisungen enthält, die z.T. über das direkte Arbeitsumfeld der Mitarbeitenden hinaus gehen, ist es für diese Richtlinie besonders wichtig die Personalvertretung frühzeitig in die Erstellung der Richtlinie einzubeziehen. Dabei kann es hilfreich sein, zu betonen, dass der Fokus der Richtlinie die Sensibilisierung ist und nicht die Kontrolle oder Sanktionen.

Die Texte sind recht präzise formuliert um euch konkrete Beispiele und Formulierungshilfen zu geben, diese sind jedoch wie bei allen Mustervorlagen den tatsächlichen Gegebenheiten und Regelungen der Organisation anzupassen.

Abgrenzung zur "Richtlinie Sensibilisierung":

Die "Richtlinie Sensibilisierung" richtet sich in erster Linie an das Management und beschreibt die organisatorischen Rahmenbedingungen. Die "Richtlinie Mitarbeitende" richtet sich direkt an die Mitarbeitenden und hat eher den Charakter eines Leitfadens für Mitarbeitende.

Einleitung

IT Sicherheit geht uns alle an!

In fast jedem Unternehmen werden mittlerweile Daten vorwiegend elektronisch verarbeitet. Die verarbeiteten Daten reichen von personenbezogene Daten von Mitarbeitenden, Kunden und Geschäftspartnern, über Produktions- und Finanzdaten bis hin zu besonders schützenswerte Daten. Viele Unternehmen sind darüber hinaus mit Daten konfrontiert, die keinesfalls in Hände Dritter fallen dürfen – sei es aus Gründen des Datenschutzes oder weil es sich um vertrauliche Unternehmensdaten zu neuen Produkten, Strategien oder Verkaufsergebnissen handelt.

Datensicherheit im Allgemeinen und speziell IT-Sicherheit sind daher unverzichtbar für den Unternehmenserfolg. Unternehmensdaten müssen bestmöglich geschützt werden. Dies gilt sowohl für den Versuch, diese Daten auszuspionieren, als auch für die Gefahr des Datenverlustes durch technische oder menschliche Fehler.

Die nachfolgenden Punkte sind für die Organisation in der sie arbeiten von großer Bedeutung, aber auch sie persönlich können von dieser Richtlinie profitieren.

Geltungsbereich

Diese Richtlinie gilt bindend für alle Mitarbeitenden der Organisation.

Zielsetzung

Die Richtlinie für Mitarbeitende dient der Anleitung und Sensibilisierung aller Mitarbeitenden der Organisation zu grundlegenden Themen der Informationssicherheit und des Datenschutzes.

Gesetzliche Rahmenbedingungen

Rechtliche Grundlage für die Umsetzung von Datenschutz und Informationssicherheit sind u.a.

  • Datenschutzgrundverordnung (DSGVO)
  • Bundesdatenschutzgesetz (BDSG)
  • ggf. Telemediengesetz (TMG)
  • ggf. IT-Sicherheitsgesetz (IT-SiG)
  • ggf. weitere

Regelungen innerhalb der Organisation

Sicherer Umgang mit personenbezogenen Daten

Personenbezogene Daten sind alle Informationen, die sich auf eine natürliche Person beziehen oder zumindest beziehbar sind und so Rückschlüsse auf deren Persönlichkeit erlauben.

Besondere personenbezogene Daten enthalten Informationen über die ethnische und kulturelle Herkunft, politische, religiöse und philosophische Überzeugungen, Sexualität, Gesundheit und Gewerkschaftszugehörigkeit. Sie sind besonders schützenswert.

Betroffene haben vor allem das Recht auf informationelle Selbstbestimmung. Das Speichern und Verarbeiten von personenbezogenen Daten ist nur in engem gesetzlichen Rahmen oder mit Zustimmung des Betroffenen zulässig.

Bitte beachten sie folgende Punkte:

  • Erheben bzw. verarbeiten sie nur die Daten, die Sie tatsächlich benötigen, um den Zweck zu erfüllen, für den Sie sie erheben oder verarbeiten. Vermeiden Sie die Erhebung von überflüssigen Daten.
  • Personenbezogene Daten müssen vor unbefugten Zugriff, Missbrauch oder Verlust geschützt werden. Nur bei schriftlicher Zustimmung dürfen diese Daten an Dritte weitergegeben werden.
  • Bei jeglicher Weitergabe der Daten muss auf einen sicheren Kommunikationsweg geachtet werden. Eine unverschlüsselte E-Mail oder ein USB-Stick erfüllt diese Anforderung nicht.
  • Nach dem Ausscheiden aus dem Betrieb oder dem Wechsel der Arbeitsstelle dürfen sie personenbezogene Daten, die ihnen beruflich zugänglich gemacht wurden, nicht weitergeben oder für andere Zwecke nutzen.
  • Die Offenlegung, der Verlust oder ein vermuteter Missbrauch personenbezogener Daten muss unverzüglich gemeldet werden!

Clear Desk Policy

Unter der "Clear Desk Policy" versteht man, dass Mitarbeiterinnen und Mitarbeiter alle vertraulichen Dokumente, die sich auf ihrem Arbeitsplatz befinden, verschließen. Unberechtigte Personen (Reinigungspersonal, unbefugte Kolleginnen und Kollegen, oder Besucher) dürfen keinen Zugriff darauf erhalten.

Bitte beachten sie folgende Punkte:

  • Bei Verlassen des Arbeitsplatzes müssen alle Ausdrucke, Kopien oder dergleichen so verstaut werden, dass diese Dokumente nicht für Dritte zugänglich sind (Schreibtisch, verschließbare Schränke, Datenträgersafe).
  • Lassen sie keine Ausdrucke im Drucker/Kopierer liegen.
  • Bewahren sie unter keinen Umständen Login-/Passwortnotizen an Ihrem Arbeitsplatz auf.
  • Sperren sie Ihren Computer, wenn sie Ihren Arbeitsplatz verlassen (z. B. unter Windows mit „Windows-Taste + L“)! Unbeaufsichtigte, nicht gesperrte Computer sind ein hohes Sicherheitsrisiko.

Umgang mit Passwörtern

Stellen sie sich ein Passwort wie einen Schlüssel zu ihrer Wohnung oder zu ihrem Haus vor. Zuhause möchte sie auch ein gutes Schloss besitzen, welches vor einem unbefugten Zutritt schützt. Genauso verhalten sich auch Passwörter. Passwörter schützen vor unbefugten Zugriff.

Bitte beachten sie folgende Punkte:

  • Verwenden sie innerhalb der Organisation keine Passworte, die sie auch im privaten Umfeld (z.B. in sozialen Medien, Internet-Shopping) nutzen und umgekehrt.
  • Passwörter sind geheim zu halten:
    • Passworte dürfen nicht schriftlich notiert werden (auch nicht in Excel Tabellen o.ä.),
    • Passworte dürfen nicht per Email oder anderen Messengerdiensten versendet werden,
    • Passworte dürfen nicht per Telefon mitgeteilt werden,
    • Die Passworteingabe muss geheim (unbeobachtet) erfolgen,
    • Das Speichern von Passworte ist nur in dem dafür vorgesehen und freigegebenen Passwortsafe erlaubt. Insbesondere eine Speicherung auf Funktionstasten oder ähnlich automatisierte Eingabefunktionen ist nicht erlaubt.
  • Passworte die leicht zu erraten sind, sind nicht erlaubt. Zu vermeiden sind insbesondere:
    • Zeichenwiederholungen,
    • Zahlen und Daten aus dem Lebensbereich des Benutzers (z.B. Geburtsdatum),
    • Trivialpassworte wie Namen, Begriffe des Berufs oder Alltags,
    • Zeichenfolgen, die durch nebeneinander liegende Tasten eingegeben werden (z.B. qwertz).
  • Ändern sie ihr Passwort unverzüglich, wenn sie den Verdacht haben, es könnte jemand erfahren habe.
  • Sie sind für ihr Passwort selbst verantwortlich und sind damit auch ein Teil der Sicherheit der Organisation.
  • Melden sie jeden Verdacht auf einen Missbrauch!
  • Ihr Passwort sollte mindestens acht Zeichen lang sein und aus unterschiedlichen Zeichengruppen bestehen. Näheres beschreibt die Passwort-Richtlinie der Organisation.

Speicherung von Daten

Insbesondere für Mitarbeitende im Homeoffice oder mit viel Reisetätigkeit ist die Verfügbarkeit der benötigten Informationen und Daten oft ein Problem, besonders bei schlechten Netzanbindungen zuhause oder unterwegs. Achten sie darauf, dass Daten nur in den dafür vorgesehenen Bereichen gespeichert werden. Eine Speicherung auf lokalen Datenträgern wie Smartphones oder USB Sticks oder in öffentlichen Cloud-Speichern ist nicht zulässig. Auch die lokale Festplatte von Notebooks darf nur verwendet werden, wenn diese besonders gesichert (verschlüsselt) ist.

Dokumente und Datenträger richtig entsorgen

Sorglos weggeworfene Dokumente stellen ein ernstes Sicherheitsproblem dar, wenn diese Daten in falsche Hände geraten. Aus diesem Grund müssen Dokumente, Datenträger (USB Stick, Festplatte, SD Karte, CD/DVD…) sicher entsorg werden. Für die sichere Entsorgung eignet sich ein Aktenvernichter oder Schredder oder ein Dienstleistungsunternehmen, dass sich auf die sichere Entsorgung spezialisiert hat. Hierfür werden entsprechende verschlossene Container aufgestellt, mit einem Schlitz zum Einwurf von Papierdokumenten.

Bitte beachten sie folgende Punkte:

  • Werfen sie Datenträger oder wichtige Dokumente auf keinen Fall in den Papierkorb! Sofern es sich um Inhalte handelt, die Außenstehenden nicht zugänglich gemacht werden dürfen, müssen die Datenträger und Dokumente sicher entsorgt werden.
  • Übergeben sie die nicht mehr benötigten Datenträger den Verantwortlichen Ihrer IT-Abteilung bzw. einer eigens zu diesem Zweck bestimmten Person, die für die sichere Entsorgung zuständig ist.

Umgang mit mobilen IT-Geräten

Mobile IT Geräte (Notebooks, Tablets, Smartphones...) stellen durch ihre mobile Verwendung ein erhöhtes Sicherheitsrisiko dar. Portable Geräte sind für Diebe ein attraktives Ziel.

Bitte beachten sie folgende Punkte:

  • Lassen sie das Gerät nicht unbeaufsichtigt.
  • Überlassen sie das Gerät nicht anderen Personen.
  • Achten sie bei Passworteingabe am Gerät auf ihren Sichtschutz – ähnlich wie bei einem Bankautomaten.
  • Verwenden sie ihre privaten Cloud-Speicher oder USB-Sticks nicht für Unternehmensdaten.
  • Installieren sie nur Anwendungen, die ihnen als vertrauenswürdig und sicher bekannt sind und von ihrer IT-Abteilung frei gegeben wurden.
  • Melden sie einen Diebstahl oder Verlust unverzüglich.

Wechselmedien

Als Wechselmedien gelten alle externen Datenträger wie z.B. USB-Sticks, SD Karten, externe Festplatten, CD’s, DVD’s, Smartphones die per USB angeschlossen werden. Der Einsatz stellt ein großes Sicherheitsrisiko dar. Speziell wenn diese Datenträger nicht aus der Organisation stammen. Auf diesen Wechselmedien kann sich Schadsoftware verstecken, die sich über das Netzwerk intern weiter verbreiten kann. Generell ist die Verwendung von Wechselmedien untersagt. Bitte beantragen sie eine Ausnahmegenehmigung, falls sie dennoch Wechselmedien verwenden müssen und nutzen sie nur Medien die ihnen von der Organisation speziell dafür zur Verfügung gestellt werden.

Installation von Applikationen

Die eigenständige Installation von Applikationen (Programme, Anwendungen, Tools, Apps) ist untersagt. Dies gilt sowohl für Windows oder Linux Geräte (PC’s, Notebooks, Server), wie auch für firmeneigene Mobilgeräte wie Smartphone und Tablets. Falls sie eine Applikation benötigen, beantragen sie diese über ihren Vorgesetzten. Auch harmlos wirkende Applikationen können Schadsoftware enthalten, oder sind Lizenzrechtlich nicht für den Firmeneinsatz freigegeben.

E-Mail Nutzung

E-Mail gehört schon zur Standardausrüstung jedes Arbeitsplatzes. Dadurch lohnt es sich auch für Kriminelle diese Form der Kommunikation zu nutzen. Somit landen oft auch Spam-, Hoax- oder Phishing-Mails sowie mit Schadprogrammen verseuchte Nachrichten in ihrem Posteingang. Die Organisation ist bemüht dieses durch geeignete Maßnahmen zu reduzieren, solche unerwünschten Nachrichten – mit mehr oder weniger gefährlichem Inhalt – lassen sich jedoch nicht vollständig vermeiden.

Bitte beachten sie folgende Punkte:

  • Öffnen sie keine E-Mails, wenn ihnen Absender oder Betreffzeile verdächtig erscheinen.
  • Öffnen sie niemals Dateianhänge, die ihnen verdächtig vorkommen. Auch bei vermeintlich bekannten und vertrauenswürdigen Absendern ist zu prüfen: Passt der Text der E-Mail zum Absender (englischer Text von deutschsprachigem Absender, unsinniger Text, fehlender Bezug zu aktuellen Vorgängen etc.)? Erwarten sie die beigelegten Dateien und passen sie zum Absender, oder kommen sie völlig unerwartet?
  • Öffnen sie keine E-Mails mit Spaßprogrammen, da diese Schadsoftware enthalten können.
  • Sogenannte Phishing-Mails, die zur Übermittlung von persönlichen Online-Banking-Daten oder Passwörtern (z.B. PIN oder TAN) auffordern, müssen sofort gelöscht werden. Die angeforderten, vertraulichen Informationen dürfen sie auf keinen Fall weitergeben.
  • Werden sie nach einem Klick auf einen Link aufgefordert sich an einem bekannten System erneut anzumelden, achten sich besonders auf die Adresszeile in ihrem Browser, ob es sich um die korrekte URL des Servers handelt. Im Zweifel fragen sie nach.
  • Beantworten sie keine Spam-Mails! Die Rückmeldung bestätigt dem Spam-Versender nur die Gültigkeit Ihrer Mail-Adresse und erhöht dadurch Ihr Risiko, weitere Zusendungen zu erhalten. Das Abbestellen von E-Mails ist nur bei seriösen Zustellern sinnvoll.
  • Benachrichtigen sie auch Ihre Kolleginnen und Kollegen über verdächtige Zusendungen. Besprechen sie die aktuellen E-Mails, die sie als Phishing-Versuche oder Virus-Mails erkannt haben, um gemeinsam die typischen Kennzeichen kennenzulernen. Sie können auf diese Weise sehr rasch Ihre Erkennungsfähigkeit trainieren und verbessern.
  • Denken sie bei ihrem Urlaubsantritt oder bei Abwesenheit an den Abwesenheitsassistenten, um die Absender über ihre Abwesenheit zu informieren.
  • Wenn eine Kollegin oder ein Kollege versehentlich eine Email an alle Mitarbeitenden der Organisation oder einen sehr großen Verteiler gesendet hat, antworten sie nicht darauf und schon gar nicht als "Allen antworten"! Sie produzieren damit nur eine Flut von Emails und möglicherweise eine Überlastung der Email-Server.
  • Melden Sie Auffälligkeiten, insbesondere wenn sie auf einen Link geklickt haben und sich nicht sicher sind ob das korrekt war.

Social Engineering

Social Engineering ist eine Art von Manipulationstechnik, die von Cyberkriminellen und anderen bösartigen Akteuren genutzt wird, um Menschen dazu zu bringen, vertrauliche Informationen preiszugeben oder Handlungen auszuführen, die sie normalerweise nicht ausführen würden.

Beim Social Engineering geben sich Angreifer gerne als Mitarbeiterinnen oder Mitarbeiter aus. Vielleicht behaupten sie auch, eine Behörde oder ein wichtiges Kundenunternehmen zu vertreten oder zu Ihrer IT-Abteilung zu gehören. Ihre Opfer werden durch firmeninternes Wissen oder Kenntnisse spezieller Fachbegriffe getäuscht, die sie sich zuvor durch Telefonate oder Gespräche mit anderen Kollegen erworben haben. Beim Angriff appellieren sie dann als „gestresster Kollege“ an Ihre Hilfsbereitschaft oder drohen als „Kunde“ mit dem Verlust eines Auftrages. Kommt ein Angreifer bei einer Mitarbeiterin oder einem Mitarbeiter nicht ans Ziel, wird der Angriff bei der nächsten Ansprechperson wiederholt – bis er erfolgreich ist.

Bitte beachten sie folgende Punkte:

  • Seien sie bei Telefonanrufen oder E-Mails skeptisch, speziell wenn der Wunsch oder der Auftrag der Kollegin oder des Kollegen außergewöhnlich ist.
  • Falls möglich, besprechen sie die Angelegenheit mit ihrem Kollegen oder mit ihrer Kollegin persönlich.
  • Wenn sie sich nicht sicher sind, stellen sie Rückfragen die nur die Person wissen kann, für die sich der potentielle Angreifer ausgibt und die er nicht in sozialen Netzwerken oder anderweitig recherchieren kann.
  • Bedenken sie, dass Social Engineering sehr oft angewandt wird, aber meistens lange Zeit unentdeckt bleibt.
  • Geben sie keine vertraulichen Informationen per Telefon oder E-Mail weiter. Insbesondere Passworte werde von seriösen Gesprächspartnern nie am Telefon erfragt.
  • Melden sie verdächtige Anrufe oder Emails und informieren auch Kolleginnen und Kollegen.

Protokollierung

Beachten sie, dass jeder Datenverkehr der Organisation einer Protokollierung und Auswertung unterliegt, um eventuelle Datenschutzverletzungen, Schadcodeverbreitung oder technische Probleme frühzeitig erkennen zu können. Die Auswertung erfolgt nur unter klar definierten Vorgaben.

Umgang mit Besuchern

Im Rahmen ihrer Tätigkeit ist ggf. nötig das sie Besucher empfangen. Das können z.B. Geschäftspartner, Kunden, Techniker oder Berater sein. Auch wenn sie die Besucher persönlich kennen, ist ein verantwortungsvoller Umgang mit Besuchern nötig.

Bitte beachten sie folgende Punkte:

  • Besucher dürfen nur in autorisierte Bereiche der Organisation und müssen sich vor dem Betreten des Gebäudes anmelden.
  • Jeder Besucher muss eine gültige Identifikation vorlegen und einen Besucherausweis tragen, der während des gesamten Aufenthalts gut sichtbar ist.
  • Besucher dürfen sich nur in Begleitung eines Mitarbeitenden in sensiblen Bereichen des Unternehmens aufhalten.
  • Achten sie stets darauf wo sich ihre Besucher aufhalten.
  • Besucher müssen sich an die Verhaltensregeln des Unternehmens halten, z.B. keine Aufnahmen oder Fotos machen und keine vertraulichen Informationen offenlegen.
  • Geben sie Besuchern keine Informationen, die für den Zweck des Besuchs nicht notwendig sind.
  • Melden sie verdächtige Aktivitäten oder Personen die sie nicht kennen.

Private Nutzung der IT

Die Nutzung der organisationseigenen IT für private Zwecke ist untersagt. Dies betrifft sowohl die Nutzung der Geräte an sich (PCs, Notebooks, Smartphones…) als auch ihr Organisationspostfach (E-Mail) und den Internetzugang.

oder

Die Nutzung der organisationseigenen IT für private Zwecke ist in angemessenem Maß erlaubt. Ein angemessenes Maß bedeutet:

  • Es darf die Ziele und Geschäftsprozesse der Organisation und die Aufgabenerfüllung der Mitarbeitenden nicht beeinträchtigen.
  • Es darf die Sicherheit der Organisation, der Informationen und Daten der Organisation, seiner Geschäftspartner und Kunden nicht beeinträchtigen.
  • Alle technischen und organisatorischen Maßnahmen, insbesondere die Sicherheitsmaßnahmen (z.B. Verbot der Installation von Applikationen) müssen auch bei privater Nutzung beachtet werden.
  • Die Nutzung darf die Funktion der IT nicht beeinträchtigen (z.B. erhöhter Verschleiß an Systemen, Einschränkung von Netz- und Speicherressourcen durch private Nutzung).

Die Mitarbeitenden stimmen ausdrücklich zu, dass alle Funktionen zur Gewährleistung eines sicheren Betriebs wie z.b. die Spamfilter, die Überwachung und Protokollierung sowie die technische Auswertung der Protokolle im Falle einer privaten Nutzung auch für die privaten Nutzung zur Anwendung kommen.

Die Organisation behält sich vor, die private Nutzung jederzeit einzuschränken oder ganz zu verbieten wenn Belange der Organisation durch die private Nutzung negativ beeinflusst werden.

Offene Kommunikation

Die Organisation verfolgt intern den Ansatz der offenen Kommunikation.

Sollten ihnen irgendwelche Unregelmäßigkeiten auffallen z.B.:

  • Warnungen oder Fehlermeldungen die sie selbst nicht verursacht haben, bzw. die sie nicht lösen können,
  • ungewöhnliche Reaktionen von Programmen, ungewöhnliche Anzeigen, vermeintlich falsche oder geänderte Daten,
  • ungewöhnliche Emails oder Anrufe,
  • Personen die sie nicht kennen in Bereichen wo normalerweise keine Besucher erlaubt sind,
  • mögliche Fehler die ihnen selbst unterlaufen sein könnten,

Melden sie solche Vorfälle unverzüglich! Für das Melden von Sicherheitsvorfällen werden sie keine Nachteile oder Sanktionen zu erwarten haben, selbst wenn sie glauben das Problem selbst durch einen Fehler verursacht zu haben. Es gibt eine klare Vereinbarung mit der Organisationsleitung, dass das Melden von Sicherheitsvorfällen für den Meldenden grundsätzlich sanktionsfrei bleibt, getreu dem Motto "Melden macht frei". Ausgenommen sind vorsätzliche Handlungen.

Meldewege

Hier ist zu beschreiben welche Meldewege für Sicherheitsvorfälle es in der Organisation gibt, z.B.

  • Direkte Ansprechpartner (Name, Telefon, Raum.Nr.)
  • Email-Funktionspostfächer
  • Servicedesk / Ticketsystem

Ausscheiden aus der Organisation

Bei Verlassen der Organisation behält sich die Organisation das Recht vor, E-Mail-Adressen des ausscheidenden Mitarbeitenden weiter zu verwenden, um den Unternehmensablauf nicht zu beeinträchtigen. Darüber hinaus verpflichtet sich der Mitarbeitende, sämtliche Dokumente, IT-Systeme und Unterlagen bei Austritt unaufgefordert der Organisation zu übergeben. In einem Beschäftigungsverhältnis ist in der Regel der Arbeitgeber der Inhaber des generierten Geistigen Eigentums. Speziell im Hinblick auf Dokumente, Berechnungen oder dergleichen ist dies ein wesentlicher Punkt.

Eine willkürliche Löschung von Dokumenten, E-Mails, oder sonstigen organisationsrelevanten Daten ist untersagt. Ebenso ist es untersagt Informationen der Organisation zu kopieren oder weiter zu verwenden.

Außerhalb der Organisation und im Privaten

Zugangsdaten von Web-Portalen

Die Zugangsdaten für Web-Portale, oder sonstige Dienste die eine Autorisierung vorsehen, müssen in sicher gespeichert werden. E-Mail oder Dateiablage sind hierfür nicht zulässig. Nutzen sie stattdessen den freigegebenen digitaler Passwortsafe der Organisation.

Wo immer möglich, ist für jeden Mitarbeitenden eigene individuelle Zugangsdaten zu nutzen.

Selbstverständlich dürfen keine Zugangsdaten nach Austritt aus dem Unternehmen gespeichert, verwendet, oder in irgendeiner Form weitergegeben werden.

Verschlüsselte Kommunikation

Bitte achten sie auf eine verschlüsselte Kommunikation. Ihr Browser beispielsweise signalisiert dies mit einem Schloss oder einem "https://" am Anfang der URL. Alle übermittelten Daten und alle Daten, die sie zum Beispiel in ein Formular auf dieser Webseite eingeben, sind damit verschlüsselt. Die verschlüsselte Kommunikation mittels E-Mail gestaltet sich etwas schwieriger. Bitte beachten sie, dass eine normale E-Mail keine sichere Kommunikation darstellt da sie nicht verschlüsselt ist. vertrauliche Informationen müssen also vor dem versenden gesondert verschlüsselt werden oder dürfen garnicht per Email von/nach außerhalb der Organisation übermittelt werden.

Umgang mit Sozialen Medien

Soziale Medien wie Facebook, Instagram, Twitter, Snapchat und Co. erfreuen sich immer größerer Beliebtheit. Sozialen Medien bringen viele Vorteile mit sich. Man Informiert sich über Rezepte, oder wie ein elektronisches Gerät funktioniert und kann sich gleich mit anderen Personen darüber austauschen. Jedoch haben soziale Medien auch einige Nachteile.

Speziell für Unternehmen werden soziale Medien mehr und mehr zum Problem in Punkto Sicherheit. Dieses Sicherheitsproblem wird meist ungewollt von Mitarbeitern verursacht, die nur schnell mal ein Foto vom Arbeitsplatz posten, oder nur kurz über den bevorstehenden Betriebsausflug posten. Generell sollte man sich vor Augen führen, dass jede Information, sei sie noch so unwichtig, für irgendjemanden wichtig sein kann – dies sollte auch im privaten Umfeld beachten werden. Ein Foto von ihrem Arbeitsplatz kann z.B. Ordner zeigen, wo Kundennamen ersichtlich sind. Die Information, dass das gesamte Unternehmen auf Betriebsausflug fährt, könnte einem Hacker das nötige Zeitfenster aufzeigen, um sich unbemerkt digital Zutritt zu verschaffen. Daher gehen sie mit organisationsbezogenen Informationen, die sie preisgeben, sorgsam um.

Bitte berücksichtigen sie folgende Punkte:

  • Posten sie keine Fotos von ihrem Arbeitsplatz.
  • Posten sie keine Statusinformationen die das Unternehmen betreffen.
  • Geben sie in keinen Foren oder sozialen Medien irgendwelche internen Informationen über das Unternehmen preis.
  • Stimmen sie Unternehmens-Informationen in Foren oder soziale Medien, immer vorher mit der Pressestelle ab.
  • Nutzen sie keine Email-Adressen oder Passworte aus Ihrem Arbeitsumfeld in privaten Sozialen Medien.

Internetnutzung

Auch beim normalen Surfen im Internet lauern Gefahren, die nicht gleich als solche erkannt werden. Jeder Mitarbeitende hat eine besondere Verantwortung, solche Bedrohungen zu erkennen und entsprechend darauf zu reagieren.

Bitte beachten sie folgende Punkte:

  • Achten sie auf Plausibilität: Wenn sie z.B. keinen Handy Vertrag mit Vodafone oder T-Mobile haben, handelt es sich bei eingegangen E-Mails von Vodafone oder T-Mobile meistens um betrügerische E-Mails.
  • Übermitteln sie keine persönlichen Daten, vor allem nicht, wenn die Verbindung nicht als Sicher (https:// bzw. das Schloss-Symbol vor der URL) markiert wird.
  • Webseiten, die mit dem Download kostenloser Zusatzsoftware oder unseriösen Gewinnspielen locken, ist grundsätzlich zu misstrauen.
  • Rufen sie keine Websites mit pornografischen, gewaltverherrlichenden oder strafrechtlich bedenklichen Inhalten auf. Das kann gravierende rechtliche Probleme – auch für ihr Unternehmen – nach sich ziehen.
  • Fragen sie lieber einmal zu viel bei ihrer IT-Abteilung nach.

Schlussbemerkung

Behandlung von Ausnahmen

Ausnahmen von den Regelungen dieser Richtlinie sind nur mit einem begründeten Ausnahmeantrag im Rahmen des Ausnahmemanagements möglich.

Revision

Diese Richtlinie wird regelmäßig, jedoch mindestens einmal pro Jahr, durch den Regelungsverantwortlichen auf Aktualität und Konformität geprüft und bei Bedarf angepasst.

Inkrafttreten

Diese Richtlinie tritt zum 01.01.2222 in Kraft.

Freigegeben durch: Organisationsleitung

Ort, 01.12.2220,

Unterschrift, Name der Leitung