Foto: Hadayeva Sviatlana - shutterstock.com
In einer Welt vor Smartphones, sozialen Medien und hybriden Arbeitsplätzen war es viel einfacher: Alle saßen in ihren Büros, wo klar geregelt war, wer wie auf welche Ressourcen zugreifen darf. Heutzutage ist das sehr viel komplizierter. Die Menschen arbeiten an den unterschiedlichsten Orten mit verschiedensten Geräten.
Es kann vorkommen, dass ein Mitarbeiter eine Stelle annimmt und das Büro nicht mehr betritt, sondern von zu Hause aus (oder in der Karibik) an seinem persönlichen Laptop arbeitet. Deshalb ist eine akzeptable Nutzungsrichtlinie (Acceptable Use Policy, AUP) wichtiger denn je - nicht nur zum Schutz des Unternehmens, sondern auch zum Schutz der Mitarbeiter.
Lesetipp: Incident Reporting - Wie sich Remote-Work auf die Meldung von Sicherheitsvorfällen auswirkt
Was ist eine Richtlinie zur akzeptablen Nutzung?
Aus der IT-Perspektive umreißt eine AUP, wie Unternehmensdaten, -geräte und -netzwerke zulässig genutzt werden dürfen. An einem hybriden Arbeitsplatz sollte diese Richtlinie auch die Bedingungen für die Arbeit mit privaten Geräten oder Heimnetzwerken enthalten. Und sie sollte auch für Gäste, Gig Worker, Auftragnehmer und andere nicht fest in die Organisation eingebundenen Mitarbeiter gelten, die Systeme und Netzwerke des Unternehmens nutzen.
Auch wenn einige dieser Bedingungen offensichtlich erscheinen mögen (zum Beispiel das Verbot, auf einem vom Unternehmen zur Verfügung gestellten Laptop Pornos anzuschauen), ist es dennoch wichtig, dass die Mitarbeiter eine solche Richtlinie unterschreiben, damit sie sich der Regeln bewusst sind - und der Konsequenzen, die ein Verstoß gegen sie haben kann.
"Die Menschen wissen, dass Cybersicherheit wichtig ist", sagt Alex Michaels, Principal Adviser bei Gartner. "Sie tun nur nicht das, was wir von ihnen erwarten." Das liege unter anderem daran, dass sie die Cybersicherheit nicht als ihre persönliche Verantwortung betrachteten. Eine große Anzahl von Datenschutzverletzungen werde durch menschliches Versagen verursacht, konstatiert Michaels, beispielsweise durch das Klicken auf einen bösartigen Link.
Das Problem mit Richtlinien sei, dass viele AUPs in technischem Jargon verfasst seien und viele "Du sollst nicht"-Phrasen enthielten. Manche Sicherheitsteams würden einfach irgendeine generische Vorlage ausdrucken, die sie im Internet gefunden haben. Das kann aus Sicht des Analysten jedoch nicht funktionieren: "Es gibt mittlerweile viel fortschrittlichere - und effektivere - Ansätze, um Richtlinien zu entwickeln und durchzusetzen."
"Viele Security-Leute sind in diesem Bereich aufgewachsen", sagt Michaels und fragt: "Aber was ist mit der Einbeziehung von Experten, die über Kenntnisse in Verhaltensökonomie und Veränderungsmanagement verfügen?" Diese Aspekte sollten Teil der Gespräche sein, wenn Unternehmen ihre Richtlinien schreiben und wenn sie damit versuchen, die Wahrnehmung von Sicherheit zu verändern und neu zu gestalten.
AUPs legen Regeln für IT-Sicherheitsrichtlinien fest
Eine AUP legt üblicherweise Regeln für IT-Sicherheitsrichtlinien fest, zum Beispiel für Passwörter, Authentifizierungsverfahren und die Nutzung von öffentlichem Wi-Fi. Außerdem können sie Regeln aufstellen , um Verhaltensstandards auf Social-Media-Kanälen festzulegen.
"Ich glaube, jeder muss das jetzt neu bewerten", so Frank Sargent, Senior Director of Security Workshops bei der Info-Tech Research Group. In der Vergangenheit sei es einfacher gewesen, eine Richtlinie zur akzeptablen Nutzung mit technischen Kontrollen wie Firewalls durchzusetzen. Heutzutage arbeiteten viele Mitarbeiter aus der Ferne, möglicherweise sogar in einem anderen Land (mit oder ohne Wissen ihres Arbeitgebers) - und das kann Auswirkungen auf die Sicherheit und die Einhaltung von Vorschriftenhaben. "Unternehmen müssen sich auf die neue Realität der Arbeitswelt einstellen", betont Sargent. "Man kann es Elon Musk gleichtun und sagen: 'Du sollst wieder im Büro sein', um das zu steuern. Aber das wird nur eine kurzfristige Lösung sein."
Organisationen müssten an dieser Stelle die richtige Balance finden - zum Beispiel einem Mitarbeiter entgegenkommen, der im Winter in der Karibik arbeiten möchte -, aber sie müssen auch sicherstellen, dass ihre Richtlinien auch in einer sich verändernden Welt gültig bleiben und von allen Beteiligten eingehalten werden. "Sie müssen als Unternehmen immer wieder lernen und neu bewerten, welche Risiken für Sie bestehen, und Ihre Richtlinien, Ihre Kontrollen und Ihre Risikobewertung ständig anpassen", erklärt der Experte von Info-Tech Research Group.
Lesetipp: Security-Standard - Wie Sie sich auf ein SOC-2-Audit vorbereiten
Weiterentwicklung Ihrer Nutzungsrichtlinien
Eine AUP muss überprüfbar und durchsetzbar sein, fordern die Experten - doch es sei ein schwieriger Spagat: Einerseits müsse der Schutz der Mitarbeiter gewährleistet werden und andererseits dürften diese nicht das Gefühl bekommen, dass sie für ein autoritäres Regime arbeiten. "Die Policies sollten für den Endbenutzer geschrieben werden und nicht für die technische Person, die im Sicherheitsbereich arbeitet", hebt Gartner-Experte Michaels hervor. "Eine der Fallen, die wir bei der Entwicklung von Richtlinien sehen, ist, dass der Sicherheitsverantwortliche entweder die Erstellung der Richtlinie selbst in die Hand nimmt oder sie an jemanden aus seinem Team delegiert, ohne sich um Feedback zu bemühen und zu überprüfen, ob er auf dem richtigen Weg ist."
Ausgereiftere Sicherheitsprogramme holen Feedback ein und pflegen eine engere Partnerschaft mit der Personalabteilung und anderen Unternehmensbereichen. Aber viele Firmen "haben immer noch nur die Abwehr im Blick", so Michaels. "Sie konzentrieren sich immer noch mehr auf die Technologie und den Prozess als auf die Menschen".
Die AUP sollte zudem klar, prägnant und leicht verständlich sein - kein "Technik-Kauderwelsch" oder "Juristendeutsch", fordert Lewis Eisen, Experte für die Erstellung von Richtlinien. Um die Zustimmung der Mitarbeiter zu erhalten, kommt es auch auf die Wortwahl an. Respektvolle Sprache und Politik seien aus Sicht Eisens der Schlüssel für die notwendige Akzeptanz. "Respektvolle Sprache bedeutet Richtlinien, die nicht so klingen, als würden Eltern ihre Kinder anschreien. Anstelle des Satzes 'Sie müssen die Erlaubnis des Geschäftsführers einholen, bevor Sie einen Laptop ausleihen können', könnten Sie zum Beispiel sagen: 'Laptops können mit Erlaubnis des Geschäftsführers ausgeliehen werden'", so Eisen.
Durchsetzung von Nutzungsrichtlinien
Eine AUP ist das Papier nicht wert, auf dem sie gedruckt ist, wenn sie nicht durchsetzbar ist, lautet das Fazit des Experten. Aber "Sicherheitsleute sind keine Personalverantwortlichen. Sie haben die Rolle des Disziplinars übernommen, was meiner Meinung nach nicht angemessen ist". Dazu komme, dass sich die Security-Leute in dieser Rolle gar nicht wohl fühlten - "sie haben sich verpflichtet, im Bereich der Informationssicherheit zu arbeiten und nicht, Mitarbeiter zu überwachen."
Das Sicherheitsteam verfüge zwar über das nötige Fachwissen, um zu bestimmen, was einen Verstoß darstellt und wie hoch das damit verbundene Risiko ist. Aber, so Eisen, Disziplinarmaßnahmen sollten von der Personalabteilung getroffen werden, die bereits über Verfahren für solche Angelegenheiten verfügt.
"Die Personalabteilung von heute ist nicht mehr die Personalabteilung von früher", sagt Claudiu Popa, CEO von Datarisk Canada. Jetzt seien Personaler auch für die Durchsetzung von Richtlinien verantwortlich. Die Ausrede 'Oh, das ist aber offensichtlich eine technische Richtlinie', gilt nicht mehr. Daher müssten die Mitarbeiter der Personalabteilung heutzutage auch in Sicherheitsfragen geschult sein.
Popa empfiehlt Sicherheits- wie auch Datenschutzschulungen für die Personalabteilungen. Des Weiteren sollten sie auch bei den Sitzungen der Sicherheitsteams teilnehmen, "weil sie verstehen müssen, was sie durchsetzen".
Wie, das ist wieder eine andere Frage. Experten empfehlen: Eine Richtlinie sollte zwar mit Zähnen versehen sein, doch um sie wirklich nachhaltig in der Organisation durchzusetzen gelte es, Anreize für gutes Verhalten zu schaffen, anstatt Verstöße gegen die Regeln zu bestrafen.
Gestalten Sie die Regeln so einfach wie möglich
"Die Wahrscheinlichkeit, dass die Mitarbeiter das tun, was das Sicherheitsteam von ihnen verlangt, ist exponentiell höher, wenn sie sich für die Cybersicherheit und die Auswirkungen auf das Unternehmen verantwortlich fühlen", betont Gartner-Experte Michaels.
Das PIPE-Framework (Practices, Influences, Platforms, and Expertise) von Gartner zielt genau darauf ab: alle Aspekte für die Verankerung von Regelwerken mit einzubeziehen - vom Bewusstsein über das Verhalten bis hin zur Kultur. Dazu gehört auch die Anwendung des von Gartner geprägten Begriffs "Cyber Judgement", der die Anwendern dazu befähigen soll, in Abwesenheit von Sicherheits- oder Risikomanagementverantwortlichen fundierte Entscheidungen über Risiken zu treffen.
Die andere Seite der Gleichung bestehe darin, es den Benutzern so einfach wie möglich zu machen, die Regeln zu befolgen, indem digitale Reibungsverluste reduziert werden, sagt Michaels. Ein Beispiel: Geht es um Passwörter, würde die Tatsache, dass die Benutzer ihre Passwörter alle sechs Monate ändern müssten, ein hohes Maß an Reibung bedeuten. Während ein geringes Maß an digitaler Reibung darin bestünde, Passwörter ganz abzuschaffen und zu biometrischen Daten für die Zugangskontrolle zu IT-Systemen überzugehen.
Technologie kann hier eine Rolle spielen, beispielsweise durch den Einsatz von maschinellem Lernen (ML) und künstlicher Intelligenz (KI), um Entscheidungen zu treffen und gezielte Schulungen darüber anzubieten, was Benutzer in einer bestimmten Situation tun oder lassen sollten. Michaels beobachtet, dass fortgeschrittenere Unternehmen ihre AUP in Kollaborationstools oder den Helpdesk einbinden oder sie den Nutzern automatisch auf der Grundlage ihrer Rolle in einem bestimmten Projekt zukommen lassen.
"Man verlässt sich also nicht mehr auf Dinge, die man vor 12 Monaten schnell durchgeklickt und vermeintlich gelernt hat", sagt Michaels. "Die Informationen werden in Echtzeit bereitgestellt, und zwar genau dann, wenn man sie tatsächlich braucht. Wir beobachten, dass sich immer mehr Unternehmen und Anbieter genau darauf konzentrieren."
Wenn ein Unternehmen seine AUP aktualisiert oder weiterentwickelt, sollte der Schwerpunkt nicht nur darauf liegen, was die Mitarbeiter nicht tun sollten, sondern auch darauf, was das Unternehmen als Ganzes tun kann, um eine Sicherheitskultur zu schaffen.
"Es besteht ein Unterschied zwischen der Befolgung von Sicherheitsregeln und der Einführung einer Sicherheitskultur im Unternehmen", sagt Richtlinienexperte Eisen. "Schließen wir Menschen in Käfige ein und stellen Wachen an jede Tür? Ist das die Art von Kultur, die Sie wollen? Oder führen wir Kontrollen ein, die dem Niveau dessen, was wir verlangen, angemessen sind?" (jm)
Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.
Tipp: Sie wollen weitere interessante Beiträge rund um das Thema IT-Sicherheit lesen? Unser kostenloser Newsletter liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten.