Schluss mit den Ausreden – Security Policies gehen jeden etwas an

Dabei müssen sich Security Policies bei dem Softwarekonzern so entwickeln, dass sie den Veränderungen an Technologie- und Geschäftsanforderungen angepasst werden können. “Unsere eigenen Policies entwickeln so selbst einen gewissen Reifegrad. Die ersten Policies, die wir verwendeten, waren sehr spezifisch; es waren eher Richtlinien und Prozeduren als Policies. Viele unserer älteren Policies beinhalten zahlreiche Informationen zu Abläufen. Diese Prozedere-Informationen verwirren aber den eigentlichen Ansatz eines Policy-Statements. Deshalb arbeiten wir daran, Prozeduren von Policy-Statements zu trennen”, sagt Taub.

Dabei hat der Konzern zunächst bei der Umsetzung experimentiert und versucht jetzt sich anzupassen: “Wir haben in regelmäßigen Abständen E-Mails, die sich mit unseren Policies befassen, an alle Mitarbeiter im Unternehmen versandt. Nun werden wir aber ein unternehmensweites Programm starten, das ein gewisses Sicherheitsbewusstsein schaffen soll. Wir gehen damit weiter, als wir es mit unseren E-Mails bisher getan haben. Wir haben Kontrollmechanismen im Einsatz, die die Sicherheit aus dem Blickwinkel eines Kosten-Risiko-Verhältnisses betrachten. Wo es Sinn macht, sind Kontrollen automatisiert. Wenn diese nicht effektiv implementiert werden können, verwenden wir andere Mechanismen zur Aufdeckung, falls die Situation eine Kontrolle und Durchsetzung erforderlich macht.”

Policies zwischen Technik und Mensch

Matthias Lohmann, Leiter Verification Services bei TÜV Rheinland Secure IT, hält es hingegen für notwendig, zunächst einmal zwischen verschiedenen Begriffen zu unterscheiden. “Es gibt zwei Typen von Policies: die organisatorische Benutzer-Policy und die technische Firewall-Policy”, sagt er. Beide Typen sind in den meisten Firmen vorhanden. “Was oft fehlt, ist eine Strukturierung der Policies nach dem Bedarf – nicht nach dem Vorhandensein”, sagt er.

Als “Sammelsurium” können die Regeln die Unternehmens-IT aber nicht unterstützen. Zusätzlich falle den Anwendern der richtige Umgang damit schwer, da sie oft nicht feststellen können, welche Vorgaben verbindlich sind. “Dazu kommt, dass Firmen heute schwer an der Frage tragen, was in eine Policy hineingehört und was nicht, außerdem ist vielfach unklar wer sie schreiben soll und wer für die Einhaltung verantwortlich ist”, sagt Lohmann. “Unternehmen wählen da oft einfach den Administrator des Spam-Filters. Das kann gut gehen, hat aber bisher noch nie funktioniert.”

Seiner Erfahrung nach sind die Policies, die es heute in Deutschland gibt, entweder sehr einseitig – also ohne Blick auf Benutzer und Business – oder aber zu detailliert, überreguliert und damit verwirrend. “Welchen Anwender in der Abteilung interessiert schon die Einstellung XY am Server oder woher die Spamlisten-Updates kommen?” Auch dies könne zu schlechter Akzeptanzlage führen. Er empfiehlt als Grundlage für alle Security Policies ein übergreifendes Regelwerk, in dem grundsätzliche Sicherheitsanforderungen oder -vorgaben gemacht werden. “Die Norm ISO 17799 bietet sich hier an.” Dahinter verbirgt sich ein System aus elf Themen mit 136 Best Practices. Eine übergeordnete Policy also zur Übersetzung strategischer Unternehmensziele für Informationsschutz und IT, darunter eine oder mehrere Themen-Policies, die sich aus den Best Practices zusammensetzen lassen.

In Lohmanns Beispiel: “Eine Spam-Policy enthält die Organisation, sprich die Verantwortlichkeiten, Personalzuweisung in Bezug auf Benutzertraining und Awareness; Change-, Capacity-Management und Monitoring für den Betrieb der Spam-Filter; Business Continuity; Incident Management; Systemdesign; Einhaltung gesetzlicher Vorschriften wie die erlaubte Privatnutzung von E-Mail und Internet durch Mitarbeiter und schließlich interne Kontrolle, Reviews und Tests.”

Der Fachmann von TÜV Rheinland Secure IT empfiehlt dringend eine systematische Herangehensweise. Ferner müsse es einen Verantwortlichen für das Coaching beim Schreiben von Policies geben. Vorgaben für Aufbau und sinnvolle Inhalte sowie eine regelmäßige Prüfung gegen die Policies, um Schwächen zu erkennen und Verbesserungen einzuleiten, sind ihm zufolge ebenso unabdingbar.

Der Fallstrick lauert im Detail

Wer entscheidet dies aber, und auf welcher Grundlage? Diese Frage ist nicht nur für Rechtsanwälte spannend, sondern genauso für Arbeitnehmer und Arbeitgeber, um sich abzusichern und nicht aufs Glatteis zu geraten. Sowohl bei Siemens als auch bei CA werden die Policies gründlich mit den aktuellen Paragraphen und Rechten abgestimmt. Das empfiehlt sich für jede Firma in unterschiedlichem Maß. “Security Policies, die vom Arbeitgeber für den innerbetrieblichen Umgang mit IT und Daten erlassen werden, sind Ausfluss des Weisungsrechts, des so genannten Direktionsrechts, das jedem Arbeitgeber gegenüber seinen Arbeitnehmern zusteht” stellt Joachim Schrey, Rechtsanwalt und Partner der Frankfurter Kanzlei Clifford Chance, klar. Und als Ausfluss dieses Weisungsrechts seien solche Policies dann auch gegenüber den Mitarbeitern verbindlich und von diesen zu beachten.

Um den Effekt einer erteilten Weisung nachvollziehbar zu erzielen, müsste der Arbeitgeber jedoch im Zweifel nachweisen können, dass er diese konkrete Weisung (hier: die Security Policy) einem konkreten Arbeitnehmer auch tatsächlich erteilt hat. “Dafür ist es empfehlenswert, aber nicht für ihre Wirksamkeit konstitutiv, dass die Security Policy schriftlich abgefasst und den Mitarbeitern in nachvollziehbarer Form an die Hand gegeben wird. Das sicherste ist natürlich, wenn man sich von jedem Arbeitnehmer den Empfang der Security Policy schriftlich quittieren lässt”, merkt er an. Also: Entweder es gibt im Ernstfall Zeugen für ein solches Gespräch, oder eben Dokumente.