Bundesamt für Sicherheit in der Informationstechnik

M 3.77 Sensibilisierung zur sicheren Internet-Nutzung

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Vorgesetzte, Leiter Personal

Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter, Personalabteilung

Das Internet kann in Unternehmen oder Behörden für eine Vielzahl von Zwecken und über verschiedenste Dienste benutzt werden. Hierzu gehören beispielsweise die Kommunikation mit Kunden über E-Mail, Instant Messaging, Diskussionsforen oder Blogs, die Darstellung der Institution über eigene Webseiten oder die Informationssuche. Um das Internet aus Sicht einer Institution sicher nutzen können, kann die Nutzung bestimmter Dienste oder Angebote untersagt oder eingeschränkt werden. Da die Nutzung aller unerwünschten Dienste nicht technisch unterbunden werden kann, unter anderem weil ständig neue Angebote und Dienste hinzukommen, ist es sinnvoller, die Mitarbeiter darin zu schulen, wie sie das Internet sicher und zweckmäßig nutzen können. Dazu gehört auch, die Mitarbeiter darüber zu informieren, wie sie durch richtiges Verhalten und optimale Konfiguration der Internet-Anwendungen, beispielsweise der Browser, vermeiden können, bei der Internet-Nutzung unerwünschten Datenspuren zu hinterlassen.

Die Mitarbeiter müssen über mögliche Gefährdungen und einzuhaltende Sicherheitsmaßnahmen bei der Internet-Nutzung sensibilisiert werden. Sie sollten insbesondere aufgeklärt sein über

  • die bestehenden Regelungen der Institution zur Internet-Nutzung (eventuell gibt es neben einer Richtlinie zur Internet-Nutzung separate Richtlinien zum Umgang mit E-Mails, Blogs, etc. ),
  • den Umgang mit heruntergeladenen Dateien und die Regelungen zur Installation von Software und PlugIns aus dem Internet,
  • mögliche Gefährdungen bei der Internet-Nutzung und wie die ergriffenen Sicherheitsmaßnahmen gegen diese wirken,
  • aktive Inhalte, wie Java-Applets, ActiveX-Controls und JavaScript, und die Entscheidung der Institution, wie mit aktiven Inhalten umzugehen ist,
  • die Informationspolitik der Institution, d. h. welche Informationen nicht im Internet weitergegeben werden dürfen, beispielsweise weil die Inhalte vertraulich oder nicht zur Veröffentlichung geeignet sind,
  • das korrekte Verhalten bei der Nutzung von Internet-Diensten, da sie als Mitarbeiter im Namen der Behörde bzw. des Unternehmens agieren,
  • Strategien zur Spam-Vermeidung,
  • rechtliche Vorgaben (Urheberrecht, z. B. bezüglich der Nutzung von Material aus dem Internet, illegale, verfassungsfeindliche oder extremistische Inhalte, pornografische Inhalte, etc.),
  • Basiswissen zu Verschlüsselung und digitale Signaturen, um SSL und Verschlüsselungsprogramme korrekt nutzen zu können,
  • die Tatsache, dass Informationen und Angebote im Internet, wie bei vielen anderen Medien auch, aus unterschiedlich vertrauenswürdigen Quellen stammen und bei der weiteren Verwendung kritisch hinterfragt oder überprüft werden müssen.

Die Mitarbeiter sollten nicht nur einmal in die sichere Internet-Nutzung eingewiesen werden, sondern immer wieder über die aktuellsten Entwicklungen informiert werden. Dazu sind neben klassischen Schulungen auch webbasierte interaktive Programme und Hinweise im Intranet denkbar. Aktuelle Entwicklungen können auch mit Hilfe von Newslettern oder Rundbriefen und im Rahmen regelmäßiger Veranstaltungen wie Abteilungsbesprechungen kommuniziert werden.

Prüffragen:

  • Sind die Mitarbeiter über aktuelle Gefahren und Sicherheitsmaßnahmen bei der Internet-Nutzung informiert?

Stand: 12. EL Stand 2011