Mitarbeiterinnen und Mitarbeiter erhalten in vielen Unternehmen heute Firmenlaptops, Smartphones und Zugang zum internen Netzwerk. Eine klare Vereinbarung zur Nutzung der IT schützt sowohl das Unternehmen als auch die Belegschaft. In der Schweiz sollte eine solche Vereinbarung die rechtlichen Rahmenbedingungen und bewährte Sicherheitspraktiken berücksichtigen.
Daten- und Datenschutz: Mitarbeitende müssen persönliche Daten von Kundinnen, Kunden und Kolleginnen vertraulich behandeln. Die Vereinbarung sollte Bezug auf das schweizerische Datenschutzgesetz (DSG) und, wenn relevant, die europäische DSGVO nehmen. Es darf nur auf Daten zugegriffen werden, die für die Arbeit erforderlich sind; sensible Informationen sind besonders zu schützen.
Erlaubte und unerlaubte Nutzung: Es ist wichtig zu definieren, welche Programme, Websites und Dienste genutzt werden dürfen und welche tabu sind, etwa Filesharing oder illegale Downloads. Auch die Nutzung privater Geräte (Bring Your Own Device) sollte geregelt werden: Sind eigene Laptops oder Smartphones erlaubt, und welche Anforderungen gelten an Virenschutz, Verschluesselung und Gerätesicherheit?
Zugangsdaten und Passwoerter: Die Vereinbarung sollte festlegen, wie sichere Passwoerter aussehen (Länge, Zeichenvielfalt), wie oft sie gewechselt werden müssen und dass sie niemals mit anderen geteilt werden dürfen. Wo möglich, sollte Multi‑Faktor‑Authentifizierung eingesetzt werden.
Zugriffsrechte und Rollen: Mitarbeitende dürfen nur auf Systeme und Informationen zugreifen, die sie für ihre Aufgaben benötigen (Need‑to‑Know). Änderungen von Berechtigungen müssen dokumentiert und von der zuständigen Stelle freigegeben werden.
Umgang mit Unternehmensgeräten: Regeln zum Schutz von Laptops, Tablets und Smartphones, insbesondere ausserhalb des Büros: Geräte sind zu sperren, wenn sie unbeaufsichtigt bleiben; Betriebssysteme und Software müssen regelmässig aktualisiert werden; externe Datentraeger sollten verschluesselt sein.
Nutzung von E‑Mail und Internet: Die berufliche und private Nutzung von E‑Mail und Internet sollte in Grenzen erlaubt und klar geregelt sein. Mitarbeitende müssen Phishing‑Versuche erkennen und melden. Downloads aus unsicheren Quellen sind zu vermeiden.
Arbeit im Homeoffice: Wer von zu Hause aus arbeitet, sollte eine sichere Verbindung (VPN) nutzen. Die Vereinbarung sollte sicherstellen, dass auch im Homeoffice die Geheimhaltungs- und Datenschutzpflichten gelten und dass niemand aus dem privaten Umfeld Zugriff auf Firmendaten erhält.
Meldepflicht bei Sicherheitsvorfällen: Es muss klar sein, wie Mitarbeiterinnen und Mitarbeiter einen Sicherheitsvorfall (verlorenes Gerät, Virusbefall, Verdacht auf Datenleck) sofort melden können. Ein Notfallplan und Kontaktpersonen sollten in der Vereinbarung genannt werden.
Schulung und Sensibilisierung: Die Vereinbarung kann festhalten, dass regelmässig Schulungen zu IT‑Sicherheit stattfinden und dass alle Mitarbeitenden daran teilnehmen müssen. So wird das Bewusstsein für Risiken geschärft und sicheres Verhalten gefördert.
Rechtsgrundlagen und Sanktionen: Verweise auf relevante Gesetze (DSG, Arbeitsrecht) und klare Konsequenzen bei Verstossen gegen die Regeln schaffen Transparenz. Sanktionen können von Abmahnungen bis zu arbeitsrechtlichen Massnahmen reichen.
Eine gut formulierte Vereinbarung zur IT‑Nutzung schafft Vertrauen und Klarheit. Sie trägt dazu bei, Daten und Systeme zu schützen und sollte regelmässig überprüft und an neue Bedrohungen angepasst werden.
Zerberos bietet professionelle Beratungsdienstleistungen im Bereich IT-Sicherheit an, um Unternehmen bei der Entwicklung und Umsetzung wirksamer Sicherheitsrichtlinien zu unterstützen.