Projekt Hibiskus

StartMaßnahmenSicherheitsrichtlinien

Organisatorische Maßnahme

Sicherheitsrichtlinien & IT-Policies

Priorität: Hoch Rollen · Onboarding · Offboarding · Inventar
Grundlage jeder Sicherheit
Technik allein schützt nicht. Ohne klare Richtlinien wissen Mitarbeiter nicht, was erlaubt ist, was verboten ist und was im Ernstfall zu tun ist. Sicherheitsrichtlinien sind die Betriebsanleitung für eine sichere Organisation.

Welche Richtlinien ein KMU braucht

Dokument 1

IT-Sicherheitsrichtlinie

Grundlegendes Regelwerk: Passwortregeln, Gerätenutzung, Umgang mit Firmendaten, private Nutzung, Social Media, BYOD-Regelung.

Dokument 2

Homeoffice-Richtlinie

Anforderungen an Heimarbeitsplätze: verschlüsseltes WLAN, VPN-Pflicht, kein Zugang Dritter zum Arbeitsgerät, gesperrter Bildschirm.

Dokument 3

Klassifizierungsrichtlinie

Wie werden Informationen eingestuft? Öffentlich, intern, vertraulich, streng vertraulich. Für jede Stufe gelten unterschiedliche Handhabungsregeln.

Rollen und Verantwortlichkeiten

Jedes Unternehmen braucht eine Person, die für IT-Sicherheit verantwortlich ist – auch wenn es kein dediziertes IT-Team gibt. Klare Verantwortung verhindert, dass Sicherheitsaufgaben in der Lücke zwischen Abteilungen verschwinden.

  • IT-Sicherheitsbeauftragter – koordiniert Maßnahmen, erste Anlaufstelle bei Vorfällen
  • Datenschutzbeauftragter – ab 20 Mitarbeitern mit Datenzugang ggf. gesetzlich Pflicht
  • Systemadministrator – technische Umsetzung, Zugangsverwaltung
  • Alle Mitarbeiter – Einhaltung der Richtlinien, Meldung verdächtiger Vorfälle

Onboarding: Sicherer Start

Jeder neue Mitarbeiter stellt ein initiales Sicherheitsrisiko dar – nicht aus böser Absicht, sondern weil er die Systeme und Richtlinien noch nicht kennt.

  1. Konto anlegen mit minimalen Rechten (Least Privilege)
  2. Starkes, einzigartiges temporäres Passwort vergeben
  3. MFA sofort beim ersten Login einrichten
  4. Security-Awareness-Training absolvieren lassen
  5. IT-Sicherheitsrichtlinie unterschreiben lassen
  6. Inventar aktualisieren: Gerät dem Mitarbeiter zuweisen

Offboarding: Sicheres Ende

Häufig vergessen
Ausgeschiedene Mitarbeiter mit aktiven Zugängen sind eine der häufigsten Ursachen für Datenpannen. Offboarding muss am letzten Arbeitstag – nicht Tage später – abgeschlossen sein.
  • Alle Accounts sofort sperren (AD, M365, SaaS-Apps)
  • E-Mail-Weiterleitung und Abwesenheitsnotiz einrichten
  • Gerät einsammeln, auf Werkseinstellungen zurücksetzen
  • SSH-Keys, API-Tokens und Zertifikate widerrufen
  • Passwörter für geteilte Accounts ändern
  • Offboarding-Checkliste dokumentieren und archivieren

Asset-Inventarisierung

Man kann nur schützen, was man kennt. Ein aktuelles Inventar aller IT-Systeme ist Voraussetzung für Patch-Management, Endpoint-Security und Notfallmanagement.

  • Hardware: alle Computer, Laptops, Smartphones, Drucker, Router
  • Software: installierte Anwendungen, Versionen, Lizenzen
  • Cloud-Dienste: alle genutzten SaaS-Anwendungen
  • Datenbestände: wo liegen welche Daten (inkl. Backups)
  • Inventar vierteljährlich prüfen und aktualisieren

Checkliste: Sicherheitsrichtlinien