So nützlich das Internet bei der Abwicklung einer Vielzahl von Geschäftsprozessen ist, so viele Gefahren birgt es auch. So kann die IT-Infrastruktur von außen bspw. durch Viren und Trojaner angegriffen werden. Aber auch von innen droht Gefahr, bspw. können Systemausfälle der betrieblichen IT den Betriebsablauf empfindlich stören, zu Datenverlust führen und das Kundenvertrauen nachhaltig beeinträchtigen. Der Schutz der IT-Infrastruktur in Unternehmen ist eine ständige Herausforderung, die neben technischen Maßnahmen auch aktive und kompetente Mitarbeiter erfordert. Daher ist es für Unternehmen besonders wichtig, ihre Mitarbeiter für das Thema IT-Sicherheit zu sensibilisieren.

Die Studie "Netz- und Informationssicherheit in Unternehmen 2010" des BMWi/NEG-Verbundprojektes "Sichere E-Geschäftsprozesse in KMU und Handwerk" zeigt, dass Unternehmen sich der Gefahr durch (ehemalige) Mitarbeiter durchaus bewusst sind. Die Befragten halten nach externen Dritten ehemalige Mitarbeiter für die Personengruppe, die die größte Gefrahr für die IT-Sicherheit darstellen. Und auch die aktuellen Mitarbeiter sind für einen nicht zu verachtenden Teil der Sicherheitsverletzungen in einem Unternehmen verantwortlich. Dies geschieht selten aus Vorsatz oder krimineller Energie, sondern vielmehr aus Unwissenheit oder Bequemlichkeit. So können bspw. durch den Download einer Software aus unbekannter Quelle im Internet Unternehmensinterna ausspioniert werden und an die Außenwelt gelangen.

Aus diesem Grund ist es wichtig für Unternehmen, bei ihren Mitarbeitern ein Bewusstsein dafür zu schaffen, dass die Einhaltung und Umsetzung der vorgeschriebenen Sicherheitsmaßnahmen zu den selbstverständlichen Pflichten innerhalb des Unternehmens gehört. Dies beginnt schon bei der Einstellung eines neuen Mitarbeiters. Ebenso wie die Einweisung in bestimmte Prozesse sollte auch eine Einweisung in die IT-Infrastruktur und die Nutzungsregeln sein. So sollten Mitarbeiter über ihre Nutzungsrechte und -pflichten unterrichtet werden, maßgebliche Funktionen sollten erläutert werden und zentrale Vorgaben zur Speicherung und Weitergabe von Daten sollten vermittelt werden. Außerdem sollten neue Mitarbeiter über die schutzwüdigen Werte des Unternehmens, Angriffsmöglichkeiten auf diese Werte und Maßnahmen zur Vermeidung von Angriffen unterrichtet werden.

Eine Unterweisung ist aber nicht nur für neue Mitarbeiter unabdingbar. Auch Mitarbeiter, die schon länger im Unternehmen tätig sind, sollten regelmäßig zum Thema Sicherheit geschult werden. Häufig empfinden Mitarbeiter die Schutzmaßnahmen im Unternehmen als überzogen, ungeeignet und arbeitshindernd. Daher ist es von besonderer Bedeutung, den Mitarbeitern zu erläutern, wozu die einzelnen Maßnahmen dienen und warum sie wichtig sind. Den Mitarbeitern muss verständlich gezeigt werden, dass unter Umständen ein großes Risiko von unbedachten Handlungen ausgehen kann, z.B. durch die unverschlüsselte Nutzung von sensiblen Daten oder unsicheren Passwörtern. Dabei ist es von besonders großer Bedeutung, dass alle zusammenarbeiten, vom Manager über die IT-Abteilung bis hin zu jedem einzelnen Mitarbeiter. Nur wenn eine grundlegende positive Einstellung zum Schutz der IT-Infrastruktur herrscht, werden die Mitarbeiter die getroffenen Maßnahmen auch konsequent umsetzen.

Es liegt nun in der Verantwortlichkeit der Unternehmen, solch ein Bewusstsein zu schaffen. Schulungen sind eine gute Möglichkeit, die eigenen Mitarbeiter regelmäßig über neue Gefahren und Abwehrmaßnahmen zu informieren und erneut Aufmerksamkeit für das Thema der IT-Sicherheit zu schaffen. Die Studie "Netz- und Informationssicherheit in Unternehmen 2010" zeigt, dass bereits zwei Drittel der Unternehmen ihre Mitarbeiter zum Thema IT-Sicherheit schulen. Umgekehrt heißt dies aber auch, dass immer noch ein Drittel keine Schulungen für Mitarbeiter durchführt. Hauptgrund für mangelnde Schulungsaktivitäten scheint nach wie vor ein Informationsdefizit bei Unternehmen. Zudem werden Weiterbildungsangebote von Mitarbeitern häufig nur dann wahrgenommen, wenn sie verpflichtend sind. Daher sollte zumindest eine Schulung zum Thema IT-Sicherheit für alle Mitarbeiter verpflichtend sein.

Über Weiterbildungsangebote hinaus sollte zudem eine schriftlich fixierte Sicherheitsrichtlinie existieren, an die alle Mitarbeiter gebunden sind und über deren Inhalt alle Mitarbeiter informiert werden. Zudem sollten alle Mitarbeiter die Einhaltung der Vorgaben schriftlich bestätigen. Zur Sicherheitsrichtlinie sollten regelmäßige Informationsveranstaltungen stattfinden, um neue Mitarbeiter einzuweisen und bestehende Mitarbeiter über Änderungen zu informieren.

Das BMWi/NEG-Verbundprojekt "Sichere E-Geschäftsprozesse in KMU und Handwerk" informiert unter www.kmu-sicherheit.de neutral und kostenfrei zum Thema IT-Sicherheit. Hier finden Sie vielfältige Materialien wie Checklisten, Informationsbroschüren, Handlungsanleitungen und Studienergebnisse rund um das Thema IT-Sicherheit.