In vier Schritten zu einer IT-Sicherheitskultur

Internetkriminalität nimmt immer mehr zu und so stellt IT-Sicherheit eines der größten Risiken für Unternehmen dar. Während Unternehmen Vorkehrungen treffen können, um ihre Netzwerke und Daten zu schützen, ist einer der riskantesten Faktoren kaum einschätzbar: der Mensch. Die schwächsten Glieder in der Kette sind häufig die Mitarbeiter eines Unternehmens und nicht die IT-Infrastruktur. Wie lässt sich dieses Risiko mindern?

Grafik: Paessler

Wer den Faktor Mensch in die IT-Sicherheit einbinden will, muss eine Sicherheitskultur im Unternehmen schaffen. Dies mag einfach klingen, doch deren Durchsetzung ist eine komplexe Aufgabe. Solch eine Kultur kann nur etabliert werden, wenn sich jeder in einer Organisation in der Verantwortung sieht: Mitarbeiter, Manager, Auftragnehmer und sogar Reinigungskräfte.

Die folgenden vier Schritte können Sie dabei unterstützen, eine IT-Sicherheitskultur in Ihrem Unternehmen zu etablieren.

1.) Beim Management fängt alles an: Veränderungen müssen von der Spitze der Organisation initiiert werden. Das Management muss Bemühungen für eine IT-Sicherheitskultur unterstützen und ermöglichen. Es muss auf der Einhaltung von Sicherheitsrichtlinien bestehen. Noch wichtiger ist, dass das obere Management sich zum Vorleben der neuen Richtlinien verpflichtet. Nur so kann eine Sicherheitskultur in der Organisation Fuß fassen.

2.) Definieren, Dokumentieren und Kommunizieren von Sicherheitsrichtlinien: Vielen Mitarbeitern ist nicht bewusst, dass ihr Verhalten die IT-Sicherheit gefährden kann. Deshalb ist es wichtig, IT-Sicherheitsrichtlinien zu definieren und zu dokumentieren. Diese sollten klarmachen, was Mitarbeiter tun und lassen sollten. Dabei sollte alles einbezogen werden, von der Handhabung vertraulicher Daten bis hin zum Umgang mit fremden USB-Sticks.

Nachdem alle Grundsätze definiert und dokumentiert sind, müssen sie im gesamten Unternehmen gut kommuniziert werden:

  • Veröffentlichen Sie die Richtlinien an einem zentralen Ort, auf den alle zugreifen können, zum Beispiel im Intranet oder im Unternehmens-Wiki.
  • Führen Sie IT-Sicherheitstrainings durch, um den Mitarbeitern die Richtlinien zu erläutern und sicherzustellen, dass sie das Konzept verstanden haben. Beachten Sie, dass verschiedene Unternehmensbereiche unterschiedliche Rollen haben und daher auch unterschiedlichen Sicherheitsrisiken ausgesetzt sind. Stellen Sie sicher, dass Sie Ihr Training auf die einzelnen Bereiche und Abteilungen abstimmen.

Technologie entwickelt sich ständig weiter, und so auch die Sicherheitsrisiken, denen sich ein Unternehmen stellen muss. Halten Sie die Sicherheitsrichtlinien deshalb immer auf dem neuesten Stand und informieren Sie die Mitarbeiter über Änderungen.

3.) Richten Sie Kommunikationskanäle ein: Stellen Sie sicher, dass Ihre Mitarbeiter wissen, wohin sie sich mit Fragen zur IT-Sicherheit wenden können. Sie müssen auch eine Anlaufstelle haben, um Verstöße gegen die Richtlinien oder auch andere Sicherheitsrisiken melden zu können.

4.) Belohnen Sie Mitarbeiter, die es richtig machen: Würdigen und belohnen Sie vorbildliches Sicherheitsverhalten und Sicherheitsbewusstsein Ihrer Mitarbeiter. Das bestätigt den Mitarbeiter in seinem Verhalten und inspiriert andere im Unternehmen, ebenso zu handeln.

Zwar können wir Ihnen von Paessler den Umgang mit dem Faktor Mensch nicht vereinfachen, doch können Sie mit unserer Software PRTG Network Monitor Ihr Netzwerk überwachen und so potenzielle Gefahren aufspüren. Und während sich PRTG um Ihre IT-Infrastruktur kümmert, haben Sie Zeit, sich um Ihre Mitarbeiter zu kümmern. Weitere Informationen und die kostenlose Testversion finden Sie auf der Website von Paessler.