Dazu ist es wichtig, IT-Sicherheit nicht nur als eine technische, sondern auch als eine organisatorische Herausforderung zu betrachten. Die Kommunikation innerhalb des Unternehmens und die Informationsflüsse zu IT-Sicherheitsfragen sollten klar strukturiert sein. Immerhin kommen häufig neue Mitarbeiter hinzu, und Kollegen verlassen samt ihrem Know-how das Unternehmen.

Mitarbeiterrichtlinien sind ein geeignetes Mittel, um klare Basisstrukturen in Sachen IT-Sicherheit zu etablieren. Die meisten Unternehmen verfügen deshalb über explizite Mitarbeiterregeln für den Umgang mit den Informationssystemen: In 80 Prozent der Fälle sind solche Regelungen vorhanden, vier von fünf Unternehmen legen diese auch schriftlich nieder. Dass sich dabei noch Lücken auftun, zeigt sich, wenn detailliert nach Inhalten dieser Richtlinien gefragt wird.

Hier ist die Unsicherheit der Mitarbeiter groß:

- Geht es beispielsweise um private E-Mails und die private Internetnutzung, so gibt es in einem Viertel der Fälle keine explizite Regelung, oder der Befragte kennt sie nicht.