Richtlinie zur zulässigen Nutzung

Die Richtlinie zur akzeptablen Nutzung (AUP) legt die Standards für die verantwortungsvolle, sichere und rechtmäßige Nutzung der Informationssysteme der Organisation, der Rechenressourcen und der Datenumgangspraktiken fest. Der übergeordnete Zweck besteht darin, sowohl zulässige als auch verbotene Aktivitäten bei der Interaktion mit der Computing-Infrastruktur des Unternehmens zu definieren, einschließlich Arbeitsstationen, mobilen Geräten, Servern, Cloud-Diensten und Netzwerken. Diese Richtlinie stellt sicher, dass alle Benutzer – von Mitarbeitern und Auftragnehmern bis hin zu Drittanbietern – ihre Verantwortlichkeiten zum Schutz von Vertraulichkeit, Integrität und Verfügbarkeit der Informations-Assets der Organisation kennen. Gemäß der Richtlinie ist der Geltungsbereich umfassend und betrifft jede Person und jede Einheit, der Zugriff gewährt wird, sowie alle Formen von Technologie und Unternehmensdaten. Sie gilt gleichermaßen für Unternehmensbüros, Telearbeitsrichtlinien-Setups und Außendienststandorte. Nicht nur traditionelle IT-Benutzer müssen die Richtlinie einhalten, sondern auch alle Personen, die unter Bring-Your-Own-Device (BYOD)-Vereinbarungen oder in hybriden Umgebungen arbeiten. Jeder Benutzer muss die Richtlinie als Voraussetzung für System- und Datenzugriff bestätigen; diese Richtlinienbestätigung wird für Audit und Compliance aufbewahrt. Die Ziele der Richtlinie betonen die Bedeutung klarer Grenzen für erlaubte und verbotene Handlungen. Sie verlangt die Verhinderung von unbefugtem Zugriff oder Datenleckage durch verhaltensgetriebene Bedrohungen wie fahrlässige Nutzung, Installation nicht autorisierter Software oder Umgehung von Sicherheitskontrollen. Zur Sicherstellung der Compliance werden Rollen und Verantwortlichkeiten festgelegt für die oberste Leitung (Richtliniengenehmigung und Rechtsaufsicht), IT- und Sicherheitsteams (technische Durchsetzung, Überwachung, Untersuchung), Führungskräfte (lokale Aufsicht, Umgang mit geringfügigen Verstößen), Personalwesen und Recht (Disziplinarmaßnahmen, Rechtmäßigkeit der Richtlinie) sowie alle Benutzer (ethische Nutzung, Vorfallmeldung, Schutz von Authentifizierungsdaten). Governance- und Durchsetzungsmaßnahmen sind gezielt gestaltet. Benutzer müssen eine formale Richtlinienbestätigung abgeben und an wiederkehrenden Schulungen teilnehmen, um Sensibilisierung und sicherheitsbewusstes Verhalten zu stärken. IT- und Sicherheitsteams implementieren Web- und E-Mail-Filtersysteme, Endpunktschutz und Überwachungssysteme, um Regeln technisch durchzusetzen, während regelmäßige Überprüfungen sicherstellen, dass Kontrollen wirksam bleiben. Verbotene Aktivitäten sind ausdrücklich aufgeführt, darunter unbefugter Zugriff, Ausbringen von Schadsoftware, Nutzung zu privaten Erwerbszwecken, übermäßige Nutzung von Rechenressourcen und Versuche, Authentifizierungsmechanismen zu umgehen. Es gibt zudem strenge Vorgaben zur BYOD-Nutzung, Verschlüsselung und Telearbeitsrichtlinien-Praktiken, einschließlich technischer und prozeduraler Anforderungen an Geräte- und Datensicherheit. Incident-Response-Mechanismen verlangen, dass Benutzer Sicherheitsereignisse, unbefugten Zugriff oder Geräteverlust unverzüglich über offizielle Meldekanäle für Sicherheitsvorfälle melden. Verstöße werden mit verhältnismäßigen Disziplinarmaßnahmen geahndet – von gezielter Nachschulung und Aussetzung von Zugriffsrechten bis hin zu Beendigungsprozessen oder rechtlicher Verfolgung – und werden für rechtliche und Audit-Zwecke dokumentiert. Wichtig ist, dass die Richtlinie die Anonymität im Hinweisgebersystem schützt und Vergeltungsmaßnahmen untersagt, wodurch eine Kultur der Rechenschaftspflicht gefördert wird. Ausgerichtet an anerkannten internationalen Standards wie ISO/IEC 27001:2022 (Clause 5.10 und ausgewählte Annex-A-Kontrollen), NIST SP 800-53, EU-DSGVO, NIS2, EU DORA und COBIT 2019 ist die AUP so gestaltet, dass sie Prüfungen aus Compliance-, Rechts- und Audit-Perspektive standhält. Sie wird durch festgelegte Überprüfungszyklen, Versionierung und Anforderungen an Richtlinien- und Verfahrenslebenszyklusmanagement gesteuert, um ihre Relevanz bei sich entwickelnden Risiken und regulatorischen Änderungen sicherzustellen. Darüber hinaus verweist die Richtlinie ausdrücklich auf verwandte Schlüsselrichtlinien wie Zugriffskontrollrichtlinie, Risikomanagementrahmen und Telearbeitsrichtlinie und stellt so einen ganzheitlichen, mehrschichtigen Ansatz für die Governance von Cyberrisiken der Organisation sicher.