Richtlinie zur akzeptablen Nutzung – KMU

Die Richtlinie zur akzeptablen Nutzung (AUP) – KMU-Version (Dokument P03S) wurde entwickelt, um klare, praktikable und durchsetzbare Standards für die verantwortungsvolle Nutzung von durch die Organisation bereitgestellten IT-Ressourcen in kleinen und mittleren Unternehmen (KMU) festzulegen. Der Schwerpunkt liegt darauf, dass alle Personen – einschließlich Mitarbeiter und Auftragnehmer, befristetes Personal und auch Drittdienstleister – ihre Pflichten und Verhaltenserwartungen beim Zugriff auf Systeme der Organisation vollständig verstehen, unabhängig davon, ob vor Ort, remote oder in hybriden Umgebungen gearbeitet wird. Diese Richtlinie ist ausdrücklich auf KMU zugeschnitten, erkennbar an der Verwendung generalisierter Managementrollen wie General Manager statt spezialisierter IT- oder Sicherheitsfunktionen. Dadurch ist sie für Organisationen ohne dedizierte interne IT- oder Sicherheitsteams zugänglich, die dennoch eine strenge ISO/IEC 27001:2022-Compliance anstreben. Umfassend definiert die AUP, was als zulässige bzw. unzulässige Nutzung von unternehmenseigenen Geräten, privaten Geräten (Bring-Your-Own-Device (BYOD)), Netzwerken, Cloud und allen eingesetzten Software-Tools gilt. Sie beschreibt Governance-Mechanismen wie Inventare zugelassener Hardware und Software, Anforderungen an Vorabgenehmigung und sichere Konfiguration von Bring-Your-Own-Device (BYOD) sowie die Führung von Protokollen zur Nachverfolgung von Verstößen oder Vorfällen. Die Überwachung wird durch den IT-Manager oder einen autorisierten externen Anbieter durchgeführt, jedoch stets innerhalb der Grenzen legitimer Geschäftsinteressen und geltender Datenschutzgesetze. Dieser Ansatz schafft ein ausgewogenes Verhältnis zwischen Sicherheit, Datenschutz und organisatorischer Umsetzbarkeit. Die Richtlinie legt außerdem ein umfassendes Rahmenwerk für Risikobehandlung und Ausnahmen fest: Risiken wie Malware-Infektionen, Datenschutzverletzungen und Reputationsschäden infolge von Missbrauch werden durch gestaffelte technische Maßnahmen und Benutzer-Sensibilisierung gemindert. Ausnahmeanträge, z. B. zur Nutzung nicht genehmigter Werkzeuge, müssen formal dokumentiert, risikobeurteilt, zeitlich begrenzt und ausdrücklich genehmigt werden – typischerweise durch den General Manager oder den IT-Provider. Der starke Fokus auf Dokumentation, Review-Auslöser und jährliche Neubewertung der Richtlinie stellt sicher, dass die Richtlinie wirksam bleibt, wenn sich Technologien, Bedrohungen und rechtliche Anforderungen weiterentwickeln. Die Durchsetzungsbestimmungen sind robust. Alle vermuteten oder beobachteten Verstöße müssen unverzüglich gemeldet werden, mit klarer Eskalation an den IT-Manager oder General Manager. Durchsetzungsmaßnahmen können System- oder Zugriffs-Sperrungen, mündliche oder schriftliche Verwarnungen und sogar Vertragsbeendigung sowohl für Personal als auch für Drittdienstleister umfassen. Der vertraglich bindende Charakter der Richtlinie für Drittdienstleister stellt eine konsistente Anwendung von Sicherheitsstandards in der Lieferkette der Organisation sicher. Schließlich stellt die Integration der AUP mit weiteren Kernrichtlinien für KMU – Zugangskontrolle, Informationssicherheits-Sensibilisierungs- und Schulungsrichtlinie, Telearbeitsrichtlinie, Datenschutzrichtlinien und Incident-Response-Richtlinie (P30) – eine ganzheitliche Abdeckung von Sicherheitsverantwortlichkeiten sicher. Das Ergebnis ist ein leicht umsetzbares, an ISO 27001:2022 ausgerichtetes Rahmenwerk für Unternehmen, die Compliance und Risikoreduktion anstreben, auch ohne große IT- oder Sicherheitsabteilungen.