Die größte Gefahr für Datenverluste im Unternehmen geht von den Mitarbeitern aus und nicht – wie gemeinhin vermutet wird – von Hackern. In der Regel passiert es ungewollt, dass Mitarbeitern firmenrelevante Daten abhanden kommen. Irren ist eben menschlich. Die Unternehmen hingegen sehen sich mit wachsenden Problemen konfrontiert, besonders seitdem die Risiken für potenzielle Datenverluste durch IT-Trends wie Cloud Computing und die vermehrte Nutzung mobiler Endgeräte ohnehin gestiegen sind. In der Praxis hat daher längst ein Umdenken eingesetzt. Viele Unternehmen haben mittlerweile effektive IT-Sicherheitskonzepte entwickelt, mit denen sich die Anzahl der durch Mitarbeiter verursachten Datenverluste beständig reduzieren lässt.
Bei Adacor setzt man in diesem Zusammenhang verstärkt auf integrative Mittel, welche die Sensibilisierung der Mitarbeiter für das Thema Datensicherheit zum Ziel haben. Sämtliche Handlungsweisen, wie die Entwicklung eines Zutrittskontrollkonzepts, die Personalweiterbildung, Unterweisungen und Verpflichtungen der Mitarbeiter auf Richtlinien und Gesetze sowie weitere effektive Awareness-Aktionen und die Festlegung entsprechender Verantwortlichkeiten, sind Teil eines übergeordneten IT-Sicherheitskonzepts. Das Gesamtkonzept leitet sich aus der IT Security Policy ab, in der das Adacor-Management in Anlehnung an drei Kriterienkataloge (IT-Grundschutz nach BSI, ISO 27001, COBIT) die übergeordneten IT-Sicherheitsziele für das Unternehmen definiert hat.
Immer up to date: Mehr Sicherheitsbewusstsein durch aktuelle Richtlinien
Dass sich Adacor seit Jahren intensiv mit dem Thema Datensicherheit beschäftigt, kommt dem Hosting-Experten in vielerlei Hinsicht zugute: „Inzwischen haben wir in unserer gesamten Wertschöpfungskette standardisierte Prozesse etabliert. Dank derer können wir den Inhalt unserer Sicherheitsrichtlinien bei Bedarf schnell und einfach anpassen“, kommentiert CIO und IT-Sicherheitsbeauftragter Andreas Bachmann den Stand der Dinge. Eine aktuelle Fassung der Direktive steht den Mitarbeitern im Intranet zur Verfügung. Das System ist dabei so eingestellt, dass es jeden Einzelnen in regelmäßigen Intervallen dazu auffordert, die Normen erneut zu lesen. Wiederum online bestätigen die Mitarbeiter, dass sie den Inhalt gelesen und verstanden haben. „Mit unseren Vorgaben wollen wir unseren Mitarbeitern Orientierung geben. Dafür haben wir einen Rahmen geschaffen, der ihnen zeigt, dass das, was sie gerade machen, in Ordnung und richtig ist. Zusätzlich werden unsere Mitarbeiter durch bauliche und organisatorische Maßnahmen entlastet. Im besten Fall brauchen sie sich um eine gewisse Vorgehensweise keine Gedanken mehr zu machen.“
Ganzheitliches Konzept sorgt für Information Security Awareness
Um die praktische Umsetzung der IT-Sicherheitsrichtlinien zu gewährleisten, hat Adacor einen umfassenden Maßnahmenkatalog entwickelt. Das Verzeichnis umfasst externe und interne Schulungen sowie begleitende Awareness-Maßnahmen. Sämtliche Aktionen sind in einem speziellen Auditkalender mit Terminen hinterlegt. Ob die Mitarbeiter die bestehenden Sicherheitsvorgaben und neu gelernten Richtlinien korrekt anwenden, kontrollieren Andreas Bachmann und seine Managementkollegen via Audits und Online-Tests.
Die internen Audits gelten im Übrigen als eine der einflussreichsten Komponenten bei der Sensibilisierung der Mitarbeiter für IT-Sicherheitsthemen: „Durch unsere Audits gewinnen wir einen ganz exakten Überblick, was gut funktioniert und in welchen Bereichen die Information, die Security Awareness betreffend, noch besser werden müssen.“
Verstößt ein Mitarbeiter wiederholt gegen Vorgaben oder weiß er auf Nachfrage mit einer bestimmten Norm nichts anzufangen, dann klärt Andreas Bachmann das weitere Vorgehen in einem persönlichen Gespräch: „Mit der Durchführung von Kontrollmaßnahmen wollen wir unsere Mitarbeiter keinesfalls drangsalieren. Vielmehr geht es uns darum, dass alle im Team in Sachen IT-Sicherheit auf dem gleichen Stand sind. In unserer Branche ist die strenge Einhaltung von IT-Sicherheitsnormen oberstes Gebot. Tut sich ein Mitarbeiter schwer damit, bieten wir unsere Hilfe an, um seinen Konflikt zu lösen.“
Weiterbildung mit 2-fachem Nutzen: Qualifikation und Sicherheitsbewusstsein
Die Notwendigkeit für eine konsequente Personalweiterbildung ergibt sich für Adacor bereits aus dem Gesetz (z. B. BDGS , KonTraG ) oder aus strategischen Überlegungen. Darüber hinaus wird das Thema IT-Sicherheit in speziellen internen und externen Schulungen adressiert und ist regelmäßig Bestandteil bei Technik- und Produktschulungen. Zusätzlich werden Awareness-Maßnahmen eingesetzt, welche die Einhaltung der IT-Sicherheitsnormen unterstützen. Dazu zählen informative Rundmails, monatliche IT-Security-Newsletter, Schreibtischunterlagen mit den wichtigsten Richtlinien-Punkten als Schlagworte oder die oben im Bild gezeigte Poster-Kampagne, bei der besonders kritische Punkte visuell aufbereitet wurden.