DsiN-Blog

Der IT-Sicher­heitsblog für den Mit­tel­stand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abon­nieren:

Wie viel Sicherheit erlauben die eigenen Mit­ar­beiter?

Video­über­wa­chung am Arbeits­platz, Mas­sen­scree­nings oder E‑Mail-Kon­­trollen sind immer wieder für eine Schlag­zeile gut. Selbst wenn es diese Maß­nahmen bei mit­tel­stän­di­schen Unter­nehmen nicht in die Medien schaffen, ist das Miss­trauen der Mit­ar­beiter groß und inner­be­trieb­liche Dis­kus­sionen über den Beschäf­tig­ten­da­ten­schutz vor­pro­gram­miert. Wie kann man also (IT-)Sicherheit her­stellen und gleich­zeitig die Pri­vat­sphäre der Mit­ar­beiter schützen? 

Vor einiger Zeit widmete ich mich hier im Blog der Frage: Wie viel Sicherheit braucht eigentlich die Unter­­nehmens-IT? Dabei ging es um ver­schiedene Ziel­kon­flikte, wie z.B. dem zwi­schen wirt­schaft­lichem Erfolg und not­wen­diger IT-Sicherheit. Als Lösung plä­dierte ich für eine Analyse der Schutz­be­darfe der Unter­neh­mens­daten und der darauf auf­bau­enden Defi­nition ange­mes­sener Sicher­heits­maß­nahmen. Dieser Beitrag zum beson­deren Span­nungsfeld zwi­schen IT-Sicherheit und Beschäf­tig­ten­da­ten­schutz soll die bis­herige Dar­stellung der Ange­mes­senheit der IT-Sicherheit ergänzen.

Die Mit­ar­beiter sind ein wesent­liches Element der IT-Sicherheit, ohne deren Fähig­keiten und ohne ihre Ein­sicht in die Not­wen­digkeit wird IT-Sicherheit nicht funk­tio­nieren (mehr dazu hier im DsiN-Blog). Von den Sicher­heits­maß­nahmen sind aber auch alle Mit­ar­beiter ‘betroffen’,  also in ihrer Freiheit ein­ge­schränkt.

Ohne Kon­trolle geht es nicht

Unter­scheiden wir, wie in der Daten­si­cherheit üblich, tech­nische und orga­ni­sa­to­rische Sicher­heits­maß­nahmen. Die Wirk­samkeit einer orga­ni­sa­to­ri­schen Maß­nahme, also einer Arbeits­an­weisung o.ä., hängt wesentlich ab, wie  ihre Ein­haltung  kotrol­liert und Fehl­ver­halten sank­tio­niert wird. Ohne Kon­trolle und Sank­tionen gibt es nur einen Sicher­heits­wunsch. Tech­nische Maß­nahmen müssen natürlich auch auf ihre Wirk­samkeit geprüft werden, Fehl­funk­tionen sollten zu einer Anpassung der Maß­nahme führen. Die Wirk­samkeit einer Firewall wird man durch Analyse der Log-Files in regel­mä­ßigen Abständen über­prüfen. Selbst wenn die Kon­trolle hier auf die Technik gerichtet ist, wird die Kon­trolle der Mit­ar­beiter hier genauso möglich. Viele tech­nische Sicher­heits­maß­nahmen ermög­lichen eine detail­liertere Mit­ar­bei­ter­kon­trolle.

Allein der Begriff „Kon­trolle“ löst bei vielen Men­schen schon Abwehr­re­flexe aus. Natürlich ist es voll­kommen nach­voll­ziehbar, dass ein kom­plexes Firewall-Regelwerk geprüft werden muss. Wird nicht erlaubter Traffic unter­bunden? Wird der für die Arbeit erfor­der­liche Traffic feh­lerfrei ermög­licht? Aber wie vielen Mit­ar­beitern ist diese Not­wen­digkeit klar? Damit befindet sich der IT-Sicher­heits­­­be­auf­­tragte in einem Dilemma. Er kann die Sicher­heits­maß­nahme mög­lichst geheim halten. Die Mit­ar­beiter arbeiten dann mit einem dif­fusen Gefühl kon­trol­liert zu werden, von Zeit zu Zeit machen wirre Gerüchte die Runde im Unter­nehmen und sorgen für Unruhe. Erklärt er dagegen die Not­wen­digkeit der Maß­nahme, werden Mit­ar­beiter erkennen, dass auch ihr eigenes Ver­halten pro­to­kol­liert wird.

Lösungen müssen trans­parent sein

Da die meisten Mit­ar­beiter sich regel­konform ver­halten wollen, ist nach meiner Erfahrung die Kon­trolle zur Auf­de­ckung von Fehl­ver­halten durchaus mehr­heits­fähig. Deutlich sen­sibler reagieren die Mit­ar­beiter auf die Mög­lichkeit der Leis­tungs­be­ur­teilung. Ein dau­erhaft ver­füg­bares lücken­loses Pro­tokoll über den Beginn der Arbeit am Com­puter, das Ende, Arbeits­un­ter­bre­chungen durch pri­vates Surfen und ähn­liches ist den meisten Mit­ar­beitern dann doch nicht recht.

Als Lösung bietet es sich an, die Sicher­heits­lösung nicht im stillen Käm­merlein zu ent­wi­ckeln. Eine klare Ziel­vorgabe durch die Geschäfts­führung, wie Senkung Schadcode-bedingter Aus­fallzeit oder Senkung der Inven­tur­mi­nus­dif­fe­renzen, ist ein guter Aus­gangs­punkt. Die in Frage kom­menden Sicher­heits­lö­sungen sollten mög­lichst früh­zeitig mit Inter­es­sen­ver­tretern der Mit­ar­beiter dis­ku­tiert werden, also Mit­be­stim­mungs­gremien oder auch fachlich geeig­neten Mit­ar­beitern. Dabei sind zwei wesent­liche Fragen zu klären:

• Ist die Sicher­heits­lösung geeignet, das Ziel zu erreichen?
• Welche der Alter­na­tiven stellt die geringste Beein­träch­tigung für die Mit­ar­beiter da?

Das Ergebnis dieses mög­li­cher­weise kon­tro­versen Pro­zesses wird die für das eigene Unter­nehmen pas­sendste Sicher­heits­lösung ent­werfen. Ein wesent­licher Vorteil dieses anfänglich schwe­reren Weges: Es wird nun deutlich leichter, die Mit­ar­beiter von der Not­wen­digkeit der Sicher­heits­vor­keh­rungen zu über­zeugen und sie zu schulen.

Lessons to learn:
Die Wirk­samkeit der Sicher­heits­maß­nahme hängt von der Ein­bindung der Mit­ar­beiter ab. Feh­lende Betei­ligung der Mit­ar­beiter kann darüber hinaus wirt­schaft­lichen Schaden anrichten, wenn die Sicher­heits­maß­nahme als Kon­trolle wahr­ge­nommen wird. Ein wesent­liches Werkzeug ist hier die Daten­­schutz- und Sicher­heits­schulung der Mit­ar­beiter.

PS: Das Span­nungsfeld zwi­schen Sicherheit, Kon­trolle und Mit­ar­beitern betrifft nicht nur die Sicher­heits­be­auf­tragten, Daten­schutz­be­auf­tragten und Betriebsräte. Auch die Per­so­nal­ma­nager befassen sich täglich mit dieser Her­aus­for­derung. Zum Thema “Daten­schutz und Per­so­nal­ma­nagement” läuft noch bis zum 28. März 2013 unter hr-und-datenschutz.de eine Befragung von BITKOM Consult und Kienbaum, bei der Ihre Meinung gefragt ist.

Foto: © press­master / Fotolia.com

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Lars Kripko, T‑Systems MMS

Über den Autor:

Lars Kripko berät in Pro­jekten zum Daten­schutz und ist Daten­schutz­be­auf­tragter ver­schie­dener Unter­nehmen. Bereits in seiner Diplom­arbeit hat er sich mit dem Daten­schutz­audit aus­ein­an­der­ge­setzt, danach viele Jahre als interner Daten­schutz­be­auf­tragter und Con­troller gear­beitet. Er ist Referent und Coach in der Aus­bildung von Daten­schutz­be­auf­tragten und Autor ver­schie­denster Daten­schutz­pu­bli­ka­tionen, u.a. der Studien „Daten­schutz im HR“.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mit­tel­stand.