Mehr Schulung für mehr IT-Sicherheit

Im Rahmen der Veranstaltung "Security 06" des europäischen Zentrums für E-Commerce und Internet-Recht [e-center] hat sich am Donnerstag alles um den "Sicherheitsfaktor Mitarbeiter" gedreht. Konsens war dabei, dass mehr Schulung nötig ist, um die Sicherheit zu verbessern.

Durchleuchtet wurden bei der Expertenrunde im Schwurgerichtssaal des Landesgerichts für Strafsachen Wien nicht nur die Rechte von Arbeitnehmern und -gebern - etwa in Sachen Internet-Nutzung am Arbeitsplatz. Es wurde auch versucht, Lösungsansätze zu zeigen, wie die Sicherheit in Unternehmen verbessert werden könnte.

Mitarbeiter als Sicherheitsbedrohung?

"Sicherheit ist nicht Aufgabe der IT, sondern aller", stellte dabei Martin Nowak von der Wirtschaftsprüfung Deloitte voran. Ein Bewusstsein dafür müsse quer durch alle Unternehmensbereiche aufgebaut werden.Die Sicherheit von Unternehmen werde sowohl extern [51 Prozent] als auch intern [49 Prozent], also durch Mitarbeiter, bedroht.

Nicht immer hegten Angestellte dabei kriminelle Absichten, Schuld an Sicherheitsverfehlungenn seien auch einfach Unkenntnis bzw. Sorglosigkeit. Das "Täterprofil" lässt sich laut Nowak leicht eingrenzen: männlich, rund 40 Jahre alt und überdurchschnittlich gebildet.

Der wichtigste Weg, um solchen Sicherheitsverstößen vorzubeugen, sei demnach die richtige Schulung der Mitarbeiter sowie die Bewusstmachung der Gefahren.

Das Wiener e-center versteht sich als Think Tank und Task-Force für Rechtssicherheit im E-Commerce und Mobile Business und kooperiert als größte europäische Initiative für Rechtsfragen im E-Business mit namhaften Unternehmen aus der Branche.

• E-center

"Schulung wichtig wie Zahnpflege"

Gerhard Göschl, seines Zeichens Sicherheitssprecher von Microsoft Österreich, stieß ins selbe Horn. Der Mitarbeiter sei neben Viren und Co die größte Gefahr für die IT-Sicherheit von Unternehmen.

Microsoft stelle zwar jede Menge Werkzeuge bereit, diese müssten aber auch beherrscht werden. Deswegen seien regelmäßige Schulungen und Workshops genauso wichtig wie der regelmäßige Gang zum Zahnarzt.

Kontrolle vs. Privatsphäre

Das Kontrollinteresse von Unternehmen kollidiert in Sachen Sicherheit jedoch nicht selten mit der Privatsphäre der Mitarbeiter.

Georg Kresbach von der Anwaltskanzlei Wolf Theiss klärte deshalb über die rechtlichen Grenzen der Überwachung von Mitarbeitern auf. Vor allem im Bereich der Internet-Nutzung herrsche hier in österreichischen Unternehmen wenig Rechtssicherheit.

Wenn kein ausdrückliches Verbot seitens des Arbeitgebers ausgesprochen werde und es auch keine Policy über die private Nutzung der Betriebsmittel gebe, komme es auf die "Branchenüblichkeit" an.

Auch die EU-Kommission hat jüngst die mangelhafte Netz- und Informationssicherheit in Europa kritisiert und fordert eine EU-weite Strategie zur Stärkung dieser. Gerade einmal zwischen fünf und 13 Prozent der IT-Ausgaben würden derzeit für Sicherheit aufgewendet.

• Eigene Mitarbeiter bedrohen IT-Sicherheit

• IT-Sicherheit verschlechtert sich weiter

• EU mahnt Stärkung der IT-Sicherheit ein

Nutzung genau regeln

Während das Informieren etwa über Zugfahrpläne und das Speichern von Privatdateien auf dem Firmen-PC meist geduldet würden, sehe es beim Download von Dateien aus dem Netz [etwa Spielen] und der Übernahme von Dateien aus E-Mail-Attachments schon anders aus.

Eine Kontrolle der diesbezüglichen Aktivitäten von Mitarbeitern sei jedoch nur zulässig, solange keine personenbezogenen Daten ausgewertet, also die Log-Daten nicht mit User-IDs verknüpft werden. Sollte das doch geschehen, müsse auf jeden Fall die Zustimmung des Betroffenen eingeholt werden.

Generell rät Kresbach Unternehmen aber, die Nutzung im Vorhinein so genau wie möglich zu regeln, um Missverständnissen vorzubeugen.