Acceptable Use Policy

Wie akzeptabel sind Ihre Nutzungsrichtlinien?

Vawn Himmelsbach ist eine in Toronto ansässige Journalistin für den Bereich Cybersicherheit. Sie begann in den späten 90er Jahren als Reporterin für Tech-Fachmagazine, gefolgt von drei Jahren als Korrespondentin in Asien - und schreibt seitdem über Technik.
Wenn Mitarbeiter die Richtlinien zur Nutzung von Unternehmensressourcen ablehnen, ist es vielleicht Zeit für einen anderen Ansatz. Schaffen Sie Anreize, anstatt zu bestrafen.
Eine Acceptable Use Policy regelt, wie Unternehmensdaten, -geräte und -netzwerke zulässig genutzt werden dürfen. Sie sollten die Regeln dabei so einfach wie möglich gestalten, damit sie von Ihren Mitarbeitern befolgt werden.
Eine Acceptable Use Policy regelt, wie Unternehmensdaten, -geräte und -netzwerke zulässig genutzt werden dürfen. Sie sollten die Regeln dabei so einfach wie möglich gestalten, damit sie von Ihren Mitarbeitern befolgt werden.
Foto: Hadayeva Sviatlana - shutterstock.com

In einer Welt vor Smartphones, sozialen Medien und hybriden Arbeitsplätzen war es viel einfacher: Alle saßen in ihren Büros, wo klar geregelt war, wer wie auf welche Ressourcen zugreifen darf. Heutzutage ist das sehr viel komplizierter. Die Menschen arbeiten an den unterschiedlichsten Orten mit verschiedensten Geräten.

Es kann vorkommen, dass ein Mitarbeiter eine Stelle annimmt und das Büro nicht mehr betritt, sondern von zu Hause aus (oder in der Karibik) an seinem persönlichen Laptop arbeitet. Deshalb ist eine akzeptable Nutzungsrichtlinie (Acceptable Use Policy, AUP) wichtiger denn je - nicht nur zum Schutz des Unternehmens, sondern auch zum Schutz der Mitarbeiter.

Lesetipp: Incident Reporting - Wie sich Remote-Work auf die Meldung von Sicherheitsvorfällen auswirkt

Was ist eine Richtlinie zur akzeptablen Nutzung?

Aus der IT-Perspektive umreißt eine AUP, wie Unternehmensdaten, -geräte und -netzwerke zulässig genutzt werden dürfen. An einem hybriden Arbeitsplatz sollte diese Richtlinie auch die Bedingungen für die Arbeit mit privaten Geräten oder Heimnetzwerken enthalten. Und sie sollte auch für Gäste, Gig Worker, Auftragnehmer und andere nicht fest in die Organisation eingebundenen Mitarbeiter gelten, die Systeme und Netzwerke des Unternehmens nutzen.

Auch wenn einige dieser Bedingungen offensichtlich erscheinen mögen (zum Beispiel das Verbot, auf einem vom Unternehmen zur Verfügung gestellten Laptop Pornos anzuschauen), ist es dennoch wichtig, dass die Mitarbeiter eine solche Richtlinie unterschreiben, damit sie sich der Regeln bewusst sind - und der Konsequenzen, die ein Verstoß gegen sie haben kann.

"Die Menschen wissen, dass Cybersicherheit wichtig ist", sagt Alex Michaels, Principal Adviser bei Gartner. "Sie tun nur nicht das, was wir von ihnen erwarten." Das liege unter anderem daran, dass sie die Cybersicherheit nicht als ihre persönliche Verantwortung betrachteten. Eine große Anzahl von Datenschutzverletzungen werde durch menschliches Versagen verursacht, konstatiert Michaels, beispielsweise durch das Klicken auf einen bösartigen Link.

Das Problem mit Richtlinien sei, dass viele AUPs in technischem Jargon verfasst seien und viele "Du sollst nicht"-Phrasen enthielten. Manche Sicherheitsteams würden einfach irgendeine generische Vorlage ausdrucken, die sie im Internet gefunden haben. Das kann aus Sicht des Analysten jedoch nicht funktionieren: "Es gibt mittlerweile viel fortschrittlichere - und effektivere - Ansätze, um Richtlinien zu entwickeln und durchzusetzen."

"Viele Security-Leute sind in diesem Bereich aufgewachsen", sagt Michaels und fragt: "Aber was ist mit der Einbeziehung von Experten, die über Kenntnisse in Verhaltensökonomie und Veränderungsmanagement verfügen?" Diese Aspekte sollten Teil der Gespräche sein, wenn Unternehmen ihre Richtlinien schreiben und wenn sie damit versuchen, die Wahrnehmung von Sicherheit zu verändern und neu zu gestalten.

AUPs legen Regeln für IT-Sicherheitsrichtlinien fest

Eine AUP legt üblicherweise Regeln für IT-Sicherheitsrichtlinien fest, zum Beispiel für Passwörter, Authentifizierungsverfahren und die Nutzung von öffentlichem Wi-Fi. Außerdem können sie Regeln aufstellen , um Verhaltensstandards auf Social-Media-Kanälen festzulegen.

"Ich glaube, jeder muss das jetzt neu bewerten", so Frank Sargent, Senior Director of SecuritySecurity Workshops bei der Info-Tech Research Group. In der Vergangenheit sei es einfacher gewesen, eine Richtlinie zur akzeptablen Nutzung mit technischen Kontrollen wie Firewalls durchzusetzen. Heutzutage arbeiteten viele Mitarbeiter aus der Ferne, möglicherweise sogar in einem anderen Land (mit oder ohne Wissen ihres Arbeitgebers) - und das kann Auswirkungen auf die Sicherheit und die Einhaltung von Vorschriftenhaben. "Unternehmen müssen sich auf die neue Realität der Arbeitswelt einstellen", betont Sargent. "Man kann es Elon Musk gleichtun und sagen: 'Du sollst wieder im Büro sein', um das zu steuern. Aber das wird nur eine kurzfristige Lösung sein." Alles zu Security auf CIO.de

Organisationen müssten an dieser Stelle die richtige Balance finden - zum Beispiel einem Mitarbeiter entgegenkommen, der im Winter in der Karibik arbeiten möchte -, aber sie müssen auch sicherstellen, dass ihre Richtlinien auch in einer sich verändernden Welt gültig bleiben und von allen Beteiligten eingehalten werden. "Sie müssen als Unternehmen immer wieder lernen und neu bewerten, welche Risiken für Sie bestehen, und Ihre Richtlinien, Ihre Kontrollen und Ihre Risikobewertung ständig anpassen", erklärt der Experte von Info-Tech Research Group.

Lesetipp: Security-Standard - Wie Sie sich auf ein SOC-2-Audit vorbereiten

Zur Startseite