IT-Sicherheit nicht vergessen:

Bei Einstellung und Austritt von Mitarbeitern schützen genaue Regelungen vor Datenpannen

Jedes IT-Sicherheitssystem ist nur so gut wie das schwächste Glied der gesamten Kette – in den meisten Fällen ist das der einzelne Mitarbeiter. Das gilt insbesondere bei der Einstellung neuer Mitarbeiter, aber auch beim Austritt von Mitarbeitern.

„Neu eingestellte Mitarbeiterinnen und Mitarbeiter müssen zum einen in ihre neue Aufgabe eingearbeitet werden. Zum anderen jedoch auch in die unternehmensinternen Gepflogenheiten und Verfahrensweisen. Dazu gehört auch, über die Strategie zur Informationssicherheit und die einzuhaltenden Sicherheitsmaßnahmen zu informieren“, macht Christian Heutger, IT-Sicherheitsexperte, aufmerksam. Der CTO der PSW GROUP Consulting (www.psw-consulting.de) wird konkret: „Neue Mitarbeiter müssen in die wichtigsten IT-Systeme eingewiesen werden, die IT-Verantwortlichen sowie -Ansprechpartner kennenlernen und die Sicherheitsziele des Unternehmens kennen.“

Zu Beginn eines Arbeitsverhältnisses muss geklärt werden, worauf ein Mitarbeiter Zugriff erhält. Hier gilt: So wenig wie möglich, so viel wie nötig. Zu regeln ist auch, welche Daten auf welchen Geräten gespeichert werden dürfen. Hier bieten sich Sicherheitsrichtlinien an, die fürs gesamte Unternehmen verbindlich gelten. „Einfacher wird das Ganze, wenn die Informationen in Datenschutzklassen und Verantwortlichkeiten unterteilt werden. Beispielsweise in die Klassen Null bis Drei, wobei Daten der Klasse Null keiner Vertraulichkeit unterliegen und die der Klasse Drei höchster Vertraulichkeit“, rät Heutger.

Ebenfalls vor dem Eintritt ins Unternehmen ist zu klären, wie mit Daten jedweder Art umgegangen wird. Beispiele sind hier etwa die vertrauliche Vernichtung von sensiblen Daten, die Datensicherung oder das Weiterleiten von Informationen intern sowie extern. Daneben muss festgehalten werden, was nach dem Austritt eines Mitarbeiters mit den Daten auf seinem Rechner passiert, wer darauf in welchem Umfang zugreifen darf.

Im Verlauf eines Arbeitsverhältnisses sammeln sich sehr viele Daten an, die auf Rechnern oder auf externen Tools wie Smartphone, USB-Stick und Tablet gespeichert werden. „Es muss geklärt sein, dass bei Weggang eines Mitarbeiters geschäftliche Daten keinesfalls mitgenommen werden dürfen. Das bedeutet, dass sichergestellt werden muss, dass weder eine Datensicherung, zum Beispiel auf einem USB-Stick, erfolgen darf, noch die Daten auf andere Art in das neue Unternehmen umziehen. Sämtliche Dokumente und Informationen unterliegen dem Datenschutz und sind somit im Unternehmen zu belassen“, so Christian Heutger.

Der ausscheidende Mitarbeiter sollte zudem verpflichtet werden, alle ihm zur Verfügung gestellten Arbeitsmittel, inklusive externer Speichermedien, bis zum Ende des Arbeitsverhältnisses herauszugeben. „In vielen Unternehmen ist es Mitarbeitern gestattet, private E-Mails auf dem Firmenrechner zu verwalten. Auch hier muss eine klare Regelung darüber her, was mit diesen E-Mails und den gespeicherten Informationen des E-Mail-Accounts nach Ausscheiden des Mitarbeiters geschieht“, gibt Heutger in Hinblick auf das Fernmeldegeheimnis einen Hinweis. Denn greift ein Unternehmer ohne Erlaubnis auf den E-Mail-Account eines Ex-Mitarbeiters zu, kann er sich strafbar machen. „Bezüglich der Löschung privater Daten in E-Mail-Accounts, IT-Systemen, Telefonen und so weiter verfassen Unternehmen deshalb idealerweise eine Pflichtenliste“, so der Experte weiter.

Ein weiterer wichtiger Punkt ist das Thema Verschwiegenheit: Auch nach dem Ausscheiden eines Mitarbeiters bleiben sämtliche Verschwiegenheitserklärungen in Kraft. Keine während der Arbeit erhaltenen Informationen dürfen weitergegeben werden. Zudem sollte ausgeschiedenen Mitarbeitern der Zugang zum Firmengelände, vor allem zu den Räumlichkeiten der IT-Sicherheit, untersagt werden. „Dies gilt übrigens auch bei Funktionsänderung von Mitarbeitern. Dann ist zu prüfen, inwieweit Zutrittsberechtigungen zu bestimmten Räumlichkeiten anzupassen sind“, ergänzt Heutger.

Zum Thema IT-Sicherheit bei Einstellung und Austritt von Mitarbeitern hat die PSW GROUP Consulting eine übersichtliche Checkliste zusammengestellt. Sie steht im PDF-Format zum Download bereit: https://www.psw-consulting.de/blog/wp-content/uploads/2018/12/PSW-GROUP-Consulting-Checkliste.pdf

 

Plansecur-Chef Johannes Sczepan:

„Die finanziellen Folgen von Angriffen auf IT-Systeme lassen sich mit Versicherungen in den Griff bekommen“

Plansecur Geschäftsführer Johannes Sczepan
© Plansecur
„Vorstände, Geschäftsführer und Firmeninhaber, die ihre Unternehmen nicht gegen Gefahren aus dem Internet absichern, handeln grob fahrlässig“, sagt Johannes Sczepan, Geschäftsführer der Finanzberatungsgruppe Plansecur.
„Allerdings ist es angesichts der Vielzahl der möglichen Angriffsszenarien schwierig, die passende Versicherungskombination zu finden“, räumt der Finanzfachmann ein. Er verweist auf die aktuelle Studie „IT-Sicherheit 2019“ des eco – Verband der Internetwirtschaft, der zufolge 90 Prozent der IT-Experten eine weitere Verschärfung der Bedrohungslage erwarten.

Mit der Firmenkreditkarte in die Spielbank

„Hacker, Phishing, Datendiebstahl, Erpressersoftware, Viren, Würmer, Trojaner, Botnetz-Angriffe und immer neue IT-Sicherheitslücken – die Gefahr wird jeden Monat größer. Firmenchefs, die einfach nur hoffen, dass sie nicht betroffen sind, statt sich durch Versicherungen im Fall der Fälle zu schützen, können genauso gut mit der Firmenkreditkarte in die Spielbank gehen“, urteilt Johannes Sczepan.

Eigene Schäden und Haftpflicht für Fremdschäden

Die „Cyberdeckung“, also die Absicherung gegen ausufernde und häufig existenzbedrohende Schäden durch Hacker und sonstige Cyberangriffe und IT-Sicherheitslücken, sollte zwei Fälle berücksichtigen, rät Plansecur: die eigenen Nachteile und eventuelle Schädigungen anderer durch Pflichtverletzungen des Unternehmens. Wenn beispielsweise eine Datenbank mit Personendaten entwendet wird, können die davon betroffenen Personen Ansprüche gegen die Firma wegen Datenschutzverletzungen geltend machen. Oder Kunden können erhebliche Forderungen erheben, wenn sie zeitweise einen Onlineservice nicht erreichen können. „Alle diese Schäden lassen sich durch eine Haftpflichtversicherung abdecken“, sagt Plansecur-Geschäftsführer Johannes Szepan.

Hinzu kommen die unmittelbaren Eigenschäden beim angegriffenen Unternehmen. Wiederherstellung von IT-Systemen, Datenbanken und Webseiten, Benachrichtigung der Betroffenen, Computerforensik, Rechtsberatung, Krisenkommunikation und im schlimmsten Fall sogar die Betriebsunterbrechung – je nach Angriffsszenario kann die Kostenlawine sehr groß werden.

Über 100.000 Fälle beim BKA, hohe Dunkelziffer

Das Bundeskriminalamt hält Deutschland für ein bevorzugtes Ziel international agierender Hackerbanden. „Im Angesicht von rund 100.000 dem Bundeskriminalamt bekannten Fällen von Internetkriminalität im letzten Jahr ist Versicherungsschutz dringend angeraten“, drängt Plansecur-Chef Johannes Sczepan, und meint: „Die Dunkelziffer dürfte um ein Vielfaches höher liegen.“

Mobiles Internet der Dinge

Hinzu kommt die wachsende Gefahr durch das mobile Internet und das Internet der Dinge, warnt Plansecur. „Ein Firmensmartphone enthält heute beinahe genau soviel Betriebsgeheimnisse von Kunden- bis zu Zugangsdaten wie ein zentrales Rechenzentrum“, gibt Johannes Sczepan ein anschauliches Beispiel für das Gefährdungspotenzial. Und weiter: „Für das Internet der Dinge rüsten immer mehr Unternehmen Alltagsprodukte mit einem Internetzugang aus. Erweist sich dieser Zugang als unsicher, werden möglicherweise Millionen eben dieser Alltagsgegenstände zum Einfallstor für Cyberangreifer. Es gibt also immer mehr und häufig noch gar nicht bedachte Sicherheitsrisiken, die es nicht nur technisch, sondern eben auch versicherungstechnisch abzudecken gilt.“

-PM Plansecur-