Die unter dem Titel „Employee Education Gap“ vorgelegte Studie verweist auf große Mankos bei der Einweisung vor allem neuer Mitarbeiter und die unnötigen Sicherheitsrisiken, die Unternehmen damit eingehen. In ihrem Rahmen wurden 1.000 kleine und mittelständische Unternehmen (50 bis 250 Mitarbeiter) in ganz Europa befragt.
Das „Schwarze-Peter-Spiel“ zwischen Arbeitgeber und Arbeitnehmer
Bezüglich der Mehrheit der Sicherheitsprobleme glauben Unternehmen, dass Angestellte mehr Schuld als die Arbeitgeber tragen. Daraus ergeben sich wichtige Auswirkungen auf die Haftung von Arbeitnehmern und Arbeitgebern. So sind 55% der Befragten der Meinung, dass ein Arbeitnehmer für eine persönliche E-Mail haften sollte, mit der er einen Virus in das Firmennetzwerk eingeschleust hat. Ebenso sehen 67% beim Diebstahl eines Laptops den Arbeitnehmer in der Verantwortung. Zwar haben die Mitarbeiter eine klare Verpflichtung zur Sicherung des Unternehmenseigentums, aber die mangelnde Qualität und in machen Fällen das gänzliche Fehlen von Einführungsprozessen setzt die Arbeitnehmer unfairen Gefahren aus. Die Arbeitgeber sollten auch zur Kenntnis nehmen, dass juristische Präzedenzfälle in Europa geschaffen worden sind*, die erhebliche Zahlungen seitens der Arbeitgeber für E-Mail-Nachrichten von Mitarbeitern zur Folge hatten. In diesen E-Mails wurden die Empfänger diffamiert beziehungsweise die Vertraulichkeit oder ein Kundenvertrag verletzt.
Die Unternehmen müssen ganz klar definieren, was im Verantwortungsbereich der Mitarbeiter liegt und was zur Aufsichtspflicht des Arbeitgebers gehört. Die Studienergebnisse zeigen, dass aktuelle Auffassungen zur Schuldfrage unter Umständen falsch sind. Zwar können Handlungen der Mitarbeiter zur Verletzung der Sicherheit führen. Der Arbeitgeber ist aber oft der in letzter Konsequenz Verantwortliche für die Rahmenbedingungen, die bei Sicherheitsverletzungen eine Rolle spielen.
Greg Day (Bild), Security Analyst bei McAfee erklärt: „Viele Unternehmen messen der Einführung neuer Mitarbeiter zwar Priorität zu. Aber die meisten leisten keine effektive Informationsarbeit über wichtige Elemente des Arbeitsalltags wie über den Umgang mit dem PC oder über Regeln zur Internet-Nutzung. Die Unternehmen versäumen damit eine Chance, gerade über die Neuangestellten schrittweise Wachsamkeit und Sicherheitsbewusstsein in der Belegschaft aufzubauen. Dieses Manko in Verbindung mit einer inkonsequenten Umsetzung von Regeln erhöht das Risiko, dass neue Mitarbeiter bewusst oder versehentlich unternehmensinterne Sicherheitsabläufe verletzen.“
Die wichtigsten Ergebnisse:
- Mangelndes Sicherheitsbewusstsein herrscht vor – Bei nur 32% der befragten europäischen Unternehmen findet das Thema IT-Sicherheit bei der Einführung neuer Mitarbeiter Beachtung.
- Großbritannien ist bei Aufklärungsarbeit führend – Britische Unternehmen bieten am ehesten Einführungsveranstaltungen für alle Mitarbeiter an. Dagegen findet bei mehr als einem Drittel der Unternehmen in Frankreich und Italien keine generelle Einführung für Mitarbeiter statt.
- Kontrolle ist zwingend erforderlich – 70% der Befragten glauben, dass Arbeitgeber im Hinblick auf solche Risiken vorsichtiger als vor drei Jahren sind, welche durch eine mangelhafte Einführung neuer Mitarbeiter in IT-Sicherheitsregeln entstehen.
- Risikominimierung? – Nur 39% der Unternehmen verfügen über Mitarbeiterrichtlinien für E-Mail-Inhalte und E-Mail-Wortwahl. Vorgaben für die Verwendung von portablen Speichergeräten geben nur 28% aus. Lediglich 23% legen Richtlinien für die mobile Nutzung von Laptops außerhalb des Unternehmens aus.
Streng geheim
Vor dem Hintergrund, dass Arbeitsplätze immer häufiger gewechselt werden, haben die Unternehmen mit mehr „Neueinsteigern“ zu tun als je zuvor. Allein in Großbritannien haben im Jahr 2005/2006 sieben Millionen Menschen ihren Arbeitsplatz gewechselt, was bedeutet, dass mehr als ein Viertel der arbeitenden Bevölkerung (29 Millionen) in einem Zeitraum von 12 Monaten eine neue Stelle angetreten hat. In Deutschland scheint die Mobilität geringer zu sein, nimmt aber im Berufsleben zu, wenn auch nicht in demselben Maße. Jedes mittelgroße Unternehmen, das keine eigene IT-Abteilung hat, muss die Mitarbeiteraufklärung über Informationssicherheit sehr ernst nehmen. Obwohl 73% der Befragten ihre Richtlinien für die Einführung neuer Mitarbeiter in den vergangenen 12 Monaten überprüft haben, scheinen die Firmen den Zugang zu diesen Informationen nach der Erstschulung unnötig zu erschweren, indem sie diese als Hardcopy-Akte aufbewahren oder den Zugriff im Firmennetzwerk einschränken. Nur ein Drittel der Befragten macht solche Dokumente über ein Firmen-Intranet oder einen Shared Folder für alle zugänglich. Day erklärt, dass „es bei manchen Unternehmen bei Lippenbekenntnissen bleibt, anstatt Geschäftsprozesse zu schaffen, die mit der dokumentierten Politik übereinstimmen. Wenn es um die Einführung neuer Mitarbeiter geht, glauben einige Unternehmen, sie hätten Prozesse, die greifen. Diese werden aber oft nicht von problemlos verfügbarer Policy-Dokumentation gestützt.“
Uneinheitliche Einführungsprozeduren
In der Regel sind die Einführungsveranstaltungen in Deutschland am kürzesten – für die komplette Einführung benötigen hier 36% der Unternehmen weniger als drei Stunden. Am anderen Ende der Skala steht Spanien mit Einführungsveranstaltungen, die länger als zwei Tage dauern (32% der Befragten). Britische und französische Unternehmen liegen mit einem halben Tag dazwischen. Billy Hamilton Stent, Director bei Loudhouse Research, dem Beratungsunternehmen, das die Studie durchgeführt hat, kommt zum Schluss, dass „die Einweisung neuer Mitarbeiter eine ideale Gelegenheit dafür ist, bei den Angestellten ein geschärftes Bewusstsein für Informationssicherheit zu etablieren. Es geht dabei nicht um eine Liste der Ge- und Verbote, sondern um einen Prozess, der für Vertrauen, Sicherheit und klare Arbeitsabläufe sorgt und der das Risiko für Arbeitnehmer und Arbeitgeber reduziert. Es ist sehr schade, dass dies nur eine Minderheit von Unternehmen so sieht.“
Eine Frage des Vertrauens?
Es ist deutlich, dass sich die Unternehmen der Gefahren, die schlecht informierte Mitarbeiter darstellen können, bewusst sind. So sind 70% der Befragten mittlerweile sensibler gegenüber Risiken durch neue Mitarbeiter als noch vor drei Jahren. Aber die Unternehmen müssen bei der Durchführung von Kontrollen Vorsicht walten lassen. 72% glauben, dass den Mitarbeitern bewusst ist, enger von ihren Arbeitgebern überwacht zu werden. 29% gehen davon aus, dass diese Situation mehr Vertrauen geschaffen hat, wohingegen 28% glauben, dass sie das Vertrauen untergraben kann. Day hierzu: „Das Maß an Sicherheitsbewusstsein in Bezug auf Mitarbeiteraktivitäten und besonders neue Mitarbeitern kann Einfluss darauf nehmen, wie eine Firma an die Einführung von Neueinsteigern herangeht. Das wichtigste Problem ist, dass ein Ausgleich geschaffen wird zwischen der Überwachung der Mitarbeiteraktivitäten, deren Eigenständigkeit und der Wahrung einer offenen und konstruktiven Beziehung zum Personal. Vertrauen ist ein extrem wichtiger Faktor am Arbeitsplatz, und unangemessene Prozesse können sich negativ darauf auswirken.“ Die folgenden fünf Punkte bilden entsprechend den Ergebnissen der Studie eine sinnvolle Grundlage für die Entwicklung einer Sicherheits-Checkliste:
- Kümmern Sie sich um eine starke Abwehr: Stellen Sie sicher, dass vorhandenes Material für Einführungsveranstaltungen ausreichend auf Sicherheitsrisiken eingeht; es können darin auch Mängel im aktuellen Sicherheitskonzept Ihres Unternehmens angesprochen werden.
- Versetzen Sie sich in die Lage Ihrer Mitarbeiter: Stellen Sie fest, wie informiert die vorhandenen Mitarbeiter in Bezug auf Sicherheitsthemen wie beispielsweise Haftungsausschlussklauseln (Disclaimer) in E-Mails, Spam-Mail und Tele-Arbeit sind.
- Stellen Sie die Verantwortung für Risiken klar: Beginnen Sie Ihre Risikobewertung, indem Sie das Wissen über die Verantwortung für Sicherheitsprobleme im Unternehmen auffrischen. Websites von privatwirtschaftlichen Unternehmen und staatlichen Stellen können hier wertvolle Anregungen enthalten.
- Unabhängige Analysen: Laden Sie einen unabhängigen Dritten, ein Partnerunternehmen oder einen Kunden ein, ihren Einführungsprozess für Neueinsteiger zu durchlaufen und holen Sie Feedback zu den Bereichen ein, über die die Informationen verbessert werden könnten.
- Ernennen Sie virtuelle Sicherheitsbeauftragte: Identifizieren Sie Schlüsselpersonen, die die Verantwortung dafür übernehmen können, dass das Thema Informationssicherheit mehr Aufmerksamkeit erfährt und dass den Mitarbeitern ein Sicherheitsbewusstsein vermittelt wird.
Forschungsmethode
Es wurden 1185 Online-Interviews mit Verantwortlichen von Unternehmen geführt, die für die Einführung neuer Mitarbeiter entweder aus einer Linienmanagement- oder Personal-Perspektive zuständig sind. Die befragten Unternehmen stammen aus unterschiedlichen Branchen und verfügen über 50 bis 250 Mitarbeiter.