Acceptable Use Policy
Wie akzeptabel sind Ihre Nutzungsrichtlinien?
Weiterentwicklung Ihrer Nutzungsrichtlinien
Eine AUP muss überprüfbar und durchsetzbar sein, fordern die Experten - doch es sei ein schwieriger Spagat: Einerseits müsse der Schutz der Mitarbeiter gewährleistet werden und andererseits dürften diese nicht das Gefühl bekommen, dass sie für ein autoritäres Regime arbeiten. "Die Policies sollten für den Endbenutzer geschrieben werden und nicht für die technische Person, die im Sicherheitsbereich arbeitet", hebt Gartner-Experte Michaels hervor. "Eine der Fallen, die wir bei der Entwicklung von Richtlinien sehen, ist, dass der Sicherheitsverantwortliche entweder die Erstellung der Richtlinie selbst in die Hand nimmt oder sie an jemanden aus seinem Team delegiert, ohne sich um Feedback zu bemühen und zu überprüfen, ob er auf dem richtigen Weg ist."
Ausgereiftere Sicherheitsprogramme holen Feedback ein und pflegen eine engere Partnerschaft mit der Personalabteilung und anderen Unternehmensbereichen. Aber viele Firmen "haben immer noch nur die Abwehr im Blick", so Michaels. "Sie konzentrieren sich immer noch mehr auf die Technologie und den Prozess als auf die Menschen".
Die AUP sollte zudem klar, prägnant und leicht verständlich sein - kein "Technik-Kauderwelsch" oder "Juristendeutsch", fordert Lewis Eisen, Experte für die Erstellung von Richtlinien. Um die Zustimmung der Mitarbeiter zu erhalten, kommt es auch auf die Wortwahl an. Respektvolle Sprache und Politik seien aus Sicht Eisens der Schlüssel für die notwendige Akzeptanz. "Respektvolle Sprache bedeutet Richtlinien, die nicht so klingen, als würden Eltern ihre Kinder anschreien. Anstelle des Satzes 'Sie müssen die Erlaubnis des Geschäftsführers einholen, bevor Sie einen Laptop ausleihen können', könnten Sie zum Beispiel sagen: 'Laptops können mit Erlaubnis des Geschäftsführers ausgeliehen werden'", so Eisen.
Durchsetzung von Nutzungsrichtlinien
Eine AUP ist das Papier nicht wert, auf dem sie gedruckt ist, wenn sie nicht durchsetzbar ist, lautet das Fazit des Experten. Aber "Sicherheitsleute sind keine Personalverantwortlichen. Sie haben die Rolle des Disziplinars übernommen, was meiner Meinung nach nicht angemessen ist". Dazu komme, dass sich die Security-Leute in dieser Rolle gar nicht wohl fühlten - "sie haben sich verpflichtet, im Bereich der Informationssicherheit zu arbeiten und nicht, Mitarbeiter zu überwachen."
Das Sicherheitsteam verfüge zwar über das nötige Fachwissen, um zu bestimmen, was einen Verstoß darstellt und wie hoch das damit verbundene Risiko ist. Aber, so Eisen, Disziplinarmaßnahmen sollten von der Personalabteilung getroffen werden, die bereits über Verfahren für solche Angelegenheiten verfügt.
"Die Personalabteilung von heute ist nicht mehr die Personalabteilung von früher", sagt Claudiu Popa, CEO von Datarisk Canada. Jetzt seien Personaler auch für die Durchsetzung von Richtlinien verantwortlich. Die Ausrede 'Oh, das ist aber offensichtlich eine technische Richtlinie', gilt nicht mehr. Daher müssten die Mitarbeiter der Personalabteilung heutzutage auch in Sicherheitsfragen geschult sein.
Popa empfiehlt Sicherheits- wie auch Datenschutzschulungen für die Personalabteilungen. Des Weiteren sollten sie auch bei den Sitzungen der Sicherheitsteams teilnehmen, "weil sie verstehen müssen, was sie durchsetzen".
Wie, das ist wieder eine andere Frage. Experten empfehlen: Eine Richtlinie sollte zwar mit Zähnen versehen sein, doch um sie wirklich nachhaltig in der Organisation durchzusetzen gelte es, Anreize für gutes Verhalten zu schaffen, anstatt Verstöße gegen die Regeln zu bestrafen.
Gestalten Sie die Regeln so einfach wie möglich
"Die Wahrscheinlichkeit, dass die Mitarbeiter das tun, was das Sicherheitsteam von ihnen verlangt, ist exponentiell höher, wenn sie sich für die Cybersicherheit und die Auswirkungen auf das Unternehmen verantwortlich fühlen", betont Gartner-Experte Michaels.
Das PIPE-Framework (Practices, Influences, Platforms, and Expertise) von Gartner zielt genau darauf ab: alle Aspekte für die Verankerung von Regelwerken mit einzubeziehen - vom Bewusstsein über das Verhalten bis hin zur Kultur. Dazu gehört auch die Anwendung des von Gartner geprägten Begriffs "Cyber Judgement", der die Anwendern dazu befähigen soll, in Abwesenheit von Sicherheits- oder Risikomanagementverantwortlichen fundierte Entscheidungen über Risiken zu treffen.
Die andere Seite der Gleichung bestehe darin, es den Benutzern so einfach wie möglich zu machen, die Regeln zu befolgen, indem digitale Reibungsverluste reduziert werden, sagt Michaels. Ein Beispiel: Geht es um Passwörter, würde die Tatsache, dass die Benutzer ihre Passwörter alle sechs Monate ändern müssten, ein hohes Maß an Reibung bedeuten. Während ein geringes Maß an digitaler Reibung darin bestünde, Passwörter ganz abzuschaffen und zu biometrischen Daten für die Zugangskontrolle zu IT-Systemen überzugehen.
Technologie kann hier eine Rolle spielen, beispielsweise durch den Einsatz von maschinellem Lernen (ML) und künstlicher Intelligenz (KI), um Entscheidungen zu treffen und gezielte Schulungen darüber anzubieten, was Benutzer in einer bestimmten Situation tun oder lassen sollten. Michaels beobachtet, dass fortgeschrittenere Unternehmen ihre AUP in Kollaborationstools oder den Helpdesk einbinden oder sie den Nutzern automatisch auf der Grundlage ihrer Rolle in einem bestimmten Projekt zukommen lassen.
"Man verlässt sich also nicht mehr auf Dinge, die man vor 12 Monaten schnell durchgeklickt und vermeintlich gelernt hat", sagt Michaels. "Die Informationen werden in Echtzeit bereitgestellt, und zwar genau dann, wenn man sie tatsächlich braucht. Wir beobachten, dass sich immer mehr Unternehmen und Anbieter genau darauf konzentrieren."
Wenn ein Unternehmen seine AUP aktualisiert oder weiterentwickelt, sollte der Schwerpunkt nicht nur darauf liegen, was die Mitarbeiter nicht tun sollten, sondern auch darauf, was das Unternehmen als Ganzes tun kann, um eine Sicherheitskultur zu schaffen.
"Es besteht ein Unterschied zwischen der Befolgung von Sicherheitsregeln und der Einführung einer Sicherheitskultur im Unternehmen", sagt Richtlinienexperte Eisen. "Schließen wir Menschen in Käfige ein und stellen Wachen an jede Tür? Ist das die Art von Kultur, die Sie wollen? Oder führen wir Kontrollen ein, die dem Niveau dessen, was wir verlangen, angemessen sind?" (jm)
Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.
Tipp: Sie wollen weitere interessante Beiträge rund um das Thema IT-Sicherheit lesen? Unser kostenloser Newsletter liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten.