In einer empirischen Erhebung (siehe Kasten) der Nationalen Initiative für Internet-Sicherheit (Nifis e.V.) haben 83 Prozent der Befragten die Meinung geäußert, dass eine der größten Bedrohungen für die Informationssicherheit eines Unternehmens hausgemacht ist: Der eigene Mitarbeiter entpuppt sich mehr und mehr als Risikofaktor. Dabei spielt es zunächst eine untergeordnete Rolle, ob die Sicherheit unbewusst– etwa aufgrund bloßer Unwissenheit um die Verhaltensregeln am Arbeitsplatz – oder böswillig gefährdet wird. Die entscheidende Frage ist: Wie können sich Unternehmen möglichst effizient schützen?

Noch zu wenige Unternehmen erarbeiten Betriebsvereinbarungen oder allgemeinen Richtlinien zur Informationssicherheit, die in die Arbeitsverträge mit den Angestellten einfließen. Bereits zu Beginn der Betriebszugehörigkeit können ausdrückliche Bestimmungen die Weichen dafür stellen, wie sich ein Mitarbeiter künftig zu verhalten und welche Rechte und Pflichten er im Arbeitsverhältnis hat. So lässt sich beispielsweise vertraglich festschreiben, dass keine Programme oder Software ohne Rücksprache mit der IT-Abteilung des Unternehmens auf dem PC am Arbeitsplatz installiert werden dürfen und unsichere E-Mail-Attachments unter keinen Umständen zu öffnen sind. Zu kämpfen haben die meisten Unternehmen überdies damit, dass Mitarbeiter IT-Passwörter leichtfertig weitergeben. In einem Vertrag lässt sich vereinbaren, dass die Passwörter stets geheim zu halten und nie auf Anfrage per E-Mail oder Telefon mitzuteilen sind.

Was kann ein Arbeitgeber beim Verstoß tun?

Für manche Berufsgruppen sollten neben den allgemeingültigen Verhaltensregeln zusätzliche Vereinbarungen im Arbeitsvertrag getroffen werden. So sind etwa die Risiken, die von einem Kraftfahrer ausgehen, der lediglich das Navigationsgerät und ein Handy bedient, heute noch gering. Sinnvoll sind verbindliche Regelungen immer dann, wenn ein Mitarbeiter vollen Zugriff auf die Firmen-Server oder die Datensicherung im Unternehmen hat, da es dann um sicherheitsrelevante IT-Dienste geht.

Festzulegen sind auch Sanktionen für Verstöße gegen vorher vereinbarte Verhaltensregeln. Diese können schlimmstenfalls bis zur Kündigung des Arbeitsverhältnisses reichen. Voraussetzung dafür ist allerdings, dass zuvor ausdrücklich eine Abmahnung erfolgt ist. Die Geltendmachung von Schadensersatz scheitert sehr oft an der Schwierigkeit, einen Schaden nachzuweisen und einen bestimmten Mitarbeiter als Verursacher verantwortlich zu machen. Vertragsstrafen können Mitarbeiter zu korrektem Verhalten bringen, sind aber in vorformulierten Verträgen nur in begrenztem Umfang, insbesondere nur in begrenzter Höhe, zulässig. Nachträgliche Änderungen eines Arbeitsvertrages sind zwar jederzeit möglich, allerdings ist hierfür eine einvernehmliche Vereinbarung zwischen Arbeitgeber und jedem einzelnen Arbeitnehmer notwendig. Niedriger ist die Hürde in Unternehmen, in denen eine betriebliche Mitbestimmung existiert. Dann reicht die Vereinbarung mit dem Betriebsrat aus. Sie gilt für alle Mitarbeiter gleichermaßen.

Sensibilisierung der Mitarbeiter

Sämtliche schriftlichen Vereinbarungen sind jedoch wertlos, wenn sie in der Praxis nicht umgesetzt werden. Verschwinden Verträge in der Schublade, bringen auch die ausgefeiltesten Sicherheitsvorschriften nichts. Der Arbeitgeber muss das Einhalten der Verträge kontrollieren, sonst droht ihm durch die häufig schleichende Änderung des Verhaltens der Angestellten der Verlust seiner Rechte. Verbietet beispielsweise eine Regel im Arbeitsvertrag die private Nutzung des Internets während der Arbeitszeit, wird diese in der Praxis aber geduldet, geht die Rechtsprechung von einer stillschweigend vereinbarten Änderung des Arbeitsvertrages aus, die mit der ausdrücklichen Erlaubnis gleichzusetzen ist. Sicherheitsregeln müssen deshalb durch die regelmäßige Aktualisierung und die entsprechende Aufklärung der Angestellten ein fester Bestandteil der Unternehmenskultur sein. Dabei bieten sich in erster Linie in gleichmäßigen Abständen stattfindende Schulungen an. Denkbar sind sowohl Präsenzschulungen als auch E-Learning-Programme im Zusammenhang mit sicherheitsrelevanten Themen, die die Angestellten von Zeit zu Zeit absolvieren müssen (siehe auch "Anti-Spionage-Tipps"). Dabei ist es wichtig, die Lernfortschritte zu überprüfen. Dies kann zur Erhöhung der Motivation spielerisch in Form von Wettbewerben oder in einem Quiz erfolgen. Auf diese Weise bleibt das Thema Sicherheit aktuell, und Akzeptanz sowie Verständnis für die Notwendigkeit der Maßnahmen setzen sich im Bewusstsein der Mitarbeiter fest.

Konflikt-Management verhindert Streitereien

Ratsam ist es, über die Regelungen in Arbeitsverträgen hinaus unterstützende Mechanismen zu etablieren. Dazu gehört in erster Linie ein Konflikt-Management-System, über das die Firma Spannungsfelder frühzeitig identifizieren kann. Streitpunkte entstehen nicht zwangsläufig nur zwischen Mitarbeitern, sondern können auch das Außenverhältnis zu Lieferanten oder Kunden betreffen. Häufig sind solche Kontroversen Ursache für eine wachsende Frustration der Angestellten, was zu sinkender Arbeitsmoral und Gleichgültigkeit gegenüber Sicherheitsvorschriften führt. Es bietet sich an, für eine frühzeitige Konfliktbewältigung Mediatoren oder Konfliktlotsen auszubilden, die über die nötige Kompetenz und Autorität verfügen, um die Brandherde im Keim zu ersticken. Voraussetzung für ein gut funktionierendes Konflikt-Management-System ist die volle Unterstützung seitens der Unternehmensleitung und das Vertrauen der Mitarbeiter. Mediator und Konfliktlotse stehen in der Pflicht, stets ein offenes Ohr für die Kollegen zu haben und im Konfliktfall zügig und unaufgeregt die Probleme zu lösen. Die Unternehmen müssen Mediatoren und Konfliktlotsen die Chance geben, ihre Arbeit vertraulich und ohne Auskunftspflichten zu erfüllen.

Beim Einkauf von Software auf Fehlertoleranz achten

Viele Sicherheitsvorfälle in Unternehmen haben ferner damit zu tun, dass die installierten Softwaresysteme nicht über genügend Fehlertoleranz verfügen. Die eingesetzten Produkte sind nicht vor einer unabsichtlichen Fehlbedienung gefeit oder häufig in der Bedienung zu starr, so dass es den Mitarbeitern schwerfällt, die Anforderungen an die IT-Sicherheit in vollem Umfang zu erfüllen. Fehlertoleranz und einfache Bedienbarkeit sind demnach unabdingbare Voraussetzungen dafür, dass die Informationssicherheit nicht in Gefahr gerät. Die Software sollte derart ausgestaltet sein, dass Bedienungsfehler sofort erkannt und dem Benutzer umgehend mitgeteilt werden. Das Hilfsprogramm zur Behebung des Fehlers muss leicht verständlich und flexibel zur korrekten Lösung führen. Deshalb ist es wichtig, dass ein Unternehmen bereits beim Einkauf der später installierten Produkte explizit die Anforderungen in Bezug auf die IT-Sicherheit formuliert. Ein Katalog mit klaren Soll-Ist-Listen hilft bei der Überprüfung, ob auch alle Vorgaben korrekt umgesetzt worden sind. Der immer noch häufig in Verträgen zu findende Verweis auf die Leistungsbeschreibung der Software oder den "Stand der Technik" reicht jedenfalls nicht aus, um im täglichen Betrieb über eine fehlertolerante Software zu verfügen. Solange sich weder der Auftraggeber noch der Auftragnehmer die notwendige Zeit für die Definierung sicherheitsrelevanter Vorgaben nimmt, wird sich auch die IT-Sicherheit nicht verbessern.erden auch keine im Sinne der IT-Sicherheit erkennbaren Resultate in der Praxis umsetzen lassen.

Firmen müssen sich um eine Sicherheitskultur bemühen

Im Ergebnis bleibt festzuhalten, dass die Vereinbarung von Richtlinien zur Informationssicherheit in Verträgen allein nicht ausreicht. Wichtig ist, dass sich im Unternehmen eine entsprechende Sicherheitskultur etabliert. Die Unternehmen müssen die Beschäftigten über die notwendigen Maßnahmen informieren, für die Gefahren sensibilisieren und zur Mitarbeit am Thema Sicherheit motivieren. (hk)