Schluss mit den Ausreden – Security Policies gehen jeden etwas an

Policies sind zwingende Grundlagen für die IT-Security in Unternehmen. Hier steht, was erlaubt ist, wer es darf und wie es gemacht wird. Doch die Entscheider winden sich, sobald es an die Implementierung geht.

Das heiße natürlich nicht, dass Arbeitgeber solche Security Policies nicht auch im Rahmen des Arbeitsvertrages vereinbaren können, insbesondere mit neuen Mitarbeitern. Allerdings müsste die Formulierung so gewählt sein, dass künftige Veränderungen nicht ausgeschlossen sind, neue Gesetze und neue Technik erfordern dies. Insbesondere denkt der Anwalt hierbei an technische Fortschritte und die notwendigen Anpassungen. Doch so oder so – seiner Ansicht nach kommt niemand um das Thema herum. Nicht umsonst wird die Regelwirksamkeit im Unternehmen, die so genannte Compliance, in den USA umschrieben mit “keeping the CEO out of jail” – etwa: den Chef nicht ins Gefängnis bringen.

“Da das Management jedes Unternehmens gesetzlich zu aktivem Risikomanagement verpflichtet ist, gehört es zu den originären Aufgaben des Managements, Security Policies als Teil einer umfassenden IT-Sicherheitsstrategie zu entwickeln und zu erlassen. Nach der Rechtsprechung des Bundesgerichtshofes genügt es dabei nicht, solche Richtlinien nur zu erlassen; vielmehr muss der Arbeitgeber deren Einhaltung auch in unregelmäßigen Abständen und für die betroffenen Mitarbeiter überraschend überprüfen sowie Verstöße ahnden.”

Klare Verantwortung schaffen

Und das gilt gerade für Mittelständler, die im Ernstfall kein finanzielles Fettpolster haben, um Rechtsstreitigkeiten unbeschadet zu überstehen. Doch wie sich immer wieder zeigt, gehen gerade kleinere Firmen reichlich unbekümmert mit dem Thema um. Thorsten Schneider, Geschäftsführer des Nürnberger IT-Schulungszentrums Webmasters Akademie, fürchtet, dass das Thema nach wie vor bei den Großunternehmen zuhause ist.

Und nicht einmal hier ist es ihm zufolge so präsent wie es sein müsste, sondern eher die Frage einer Sensibilität, die nur wenige Industriebereiche mitbringen. “In manchen Branchen ist die Sensibilität gegenüber dem Thema hoch, bei Banken und Versicherungen beispielsweise. Doch in manchen wird es noch eher stiefmütterlich behandelt, unter anderem im Gesundheitsbereich, obwohl es da sehr wichtig wäre. Es müssten sich aber eigentlich alle Branchen dafür interessieren”, sagt er.

In kleinen und mittelständischen Unternehmen fehlen seiner Erfahrung nach die Zeit, die Ressourcen und die Sensibilisierung für das Thema. Außerdem betrachtet er als Akzeptanzhemmnis, dass das Thema sehr komplex ist und es in vielen Firmen niemanden gibt, der Zeit oder Interesse hat, sich damit zu beschäftigen. Gerade für Mittelständler, aber auch allgemein wünscht er sich für Deutschland, dass “die Verwaltungs-, Vorschriften- und Regulierungswut massiv dereguliert wird”. “Dann hätten die verantwortlichen Geschäftsführer und IT-Manager mehr Zeit, sich mit den wirklich wichtigen Themen wie diesem zu beschäftigen. Sie kommen aber auch dann nicht drum herum, Verantwortliche fest zu bestimmen und deren Aufgaben klar zu legen. Das ist ein dringend notwendiger Anfang auf dem Weg zur wirksamen Security Policy.