Allgemeine organisatorische Handlungsempfehlungen
I) Schulung und Sensibilisierung der Mitarbeiter
Die Mitarbeiter des Unternehmens sollen hinsichtlich der permanenten Gefährdungslage aus dem Internet regelmäßig geschult und sensibilisiert werden. Insbesondere sollen die Mitarbeiter Phishing-E-Mails und Webseiten selbstständig erkennen und riskante Webseiten vermeiden können. Weiterhin sollen die Nutzer nur E-Mail-Anhänge öffnen, deren Absender als sicher gilt. Neben der technischen Sensibilisierung sollte insbesondere auch eine Sensibilisierung hinsichtlich des sog. Social Engineerings betrieben werden.
II) Einrichtung kompetenter Ansprechpartner für IT-Sicherheitsfragen sowie eines „Jour Fixe“
Neben der regelmäßigen Schulung der Mitarbeiter sollte im Unternehmen ein kompetenter Ansprechpartner eingerichtet werden, an den sich die Mitarbeiter im Falle von Problemen oder IT-Sicherheitsvorfällen wenden können. Ein Jour Fixe, also ein regelmäßiges Treffen aller IT-Nutzer, beispielsweise einmal im Monat, soll die aktuellen Bedürfnisse und Probleme der Mitarbeiter erfassen und Lösungsvorschläge sowie Praxistipps unterbreiten.
III) Erstellung von IT-Sicherheitsrichtlinien und Verpflichtung der Mitarbeiter zur Einhaltung
Das Unternehmen sollte IT-Sicherheitsrichtlinien aufstellen, die eine Vielzahl an Regulierungen und von den Mitarbeitern zu beachtenden Vorsichtsmaßnahmen enthält. In diesen IT-Sicherheitsrichtlinien kann etwa die private Nutzung der Unternehmenscomputer und des Internet oder die Nutzung privater Endgeräte und USB-Sticks untersagt werden. Die Mitarbeiter sollten die IT-Sicherheitsrichtlinien unterzeichnen und sich zur Einhaltung verpflichten.
IV) Verpflichtung zur Verwendung sicherer Passwörter und Sperrung des Computers bei Inaktivität
Passwörter müssen bestimmten Qualitätsanforderungen entsprechen. Es sollte länger als sieben Zeichen sein, nicht im Wörterbuch vorkommen, nicht aus Namen bestehen und außerdem Sonderzeichen und Ziffern enthalten. Passwörter dürfen nicht öffentlich einsehbar notiert werden. Für unterschiedliche IT-Dienste sollten unterschiedliche Passwörter verwendet werden. Ebenso sollten die Passwörter in regelmäßigen Abständen geändert werden. Hierfür bieten sich technische Maßnahmen an, die dies kontrollieren.
Arbeitsplatzrechner sollte bei Verlassen immer gesperrt werden.
V) Verbot der Nutzung eigener Endgeräte und eigener Speichermedien
Die Nutzung eigener Endgeräte durch die Mitarbeiter („Bring your own device“) ist zu untersagen. Neben Notebooks sollte dies auch Speichermedien, wie private USB-Sticks, betreffen. Arbeitet ein Mitarbeiter von außerhalb des Unternehmens, etwa von zu Hause aus, ist diesem Mitarbeiter ein geeignetes Gerät zur Verfügung zu stellen.
VI) Verbot der privaten Computer- und Internetnutzung
Die private Computer- und Internetnutzung sollte den Mitarbeitern auf den Arbeitsplatzrechnern untersagt werden. Soll den Mitarbeitern die private Computer- und Internetnutzung erlaubt werden, sollen hierfür separate Computer bereitgestellt werden (bspw. ein Computer pro Abteilung / Gang / Etage), die wiederum nicht für Arbeitsangelegenheiten genutzt werden dürfen.
VII) Meldung und Dokumentation von Zwischenfällen
Es muss verbindlich geregelt werden, dass Mitarbeiter sicherheitsrelevante Vorfälle, wie z.B. Virenscannermeldungen, grundloser Datenverlust oder sonstige Systemmeldungen, dem IT-Verantwortlichen unverzüglich zu melden haben.
VIII) Erstellung eines qualifizierten Notfallplans
Es sollte ein Notfallplan erstellt werden, der im Falle eines Virusbefalls oder Hackerangriffs Handlungsanweisungen für den Nutzer und den Systemadministrator enthält. Denkbar wäre hierbei etwa die Aufforderung des Nutzers zur Änderung all seiner Passwörter oder der Erstellung von Backups des Systems. Weiterhin sollten im Falle eines Virusbefalls alle externen Laufwerke von dem befallenden Rechner getrennt werden.
IX) Einrichtung von ausreichenden Zutrittskontrollen zum Unternehmensgebäude und v.a. zu sensiblen Rechenanlagen
Neben technischen Zugriffsbeschränkungen auf Computer-Systeme müssen diese auch physisch vor fremder Nutzung gesichert werden. Hierzu sollen ausreichende Zutrittskontrollen zum Unternehmensgebäude und zu den Rechenanlagen eingerichtet werden, um ein unautorisiertes Betreten zu unterbinden.
X) Ausschluss der Einsichtnahme durch Positionierung von Monitoren/Druckern/Faxgeräten
Monitore, Drucker, Faxgeräte und andere Peripherie die zur Darstellung von sensiblen Informationen geeignet sind, müssen so positioniert werden, dass eine Einsichtnahme durch unautorisierte Personen (bspw. Mitarbeiter des Unternehmens, die mit der konkreten Angelegenheit nicht befasst sind oder Besucher/Kunden des Unternehmens) ausgeschlossen ist.