Trellix-Logo
Gründe für Trellix
Plattform
Services
Partner
Ressourcen
Info
Erste Schritte
Wurde Ihr Unternehmen kompromittiert?
Support
Kontakt
Hauptmenü
GRÜNDE FÜR TRELLIX
Gründe für Trellix Trellix und Mitbewerber im Vergleich Die Vorteile der Trellix-Plattform Zertifizierungen und Compliance
BEDROHUNGSDATENANALYSEN
Advanced Research Center Trellix Insights Cyberthreats-Reports Aktuelle Forschungsblogs
Hauptmenü
PLATTFORM-FUNKTIONEN
Über unsere Plattform Trellix Wise Modul
PRODUKTKATEGORIEN
Endpoint Security Data Security Network Security Threat Intelligence Email Security Security Operations View All Products
LÖSUNGEN
Erkennung und Abwehr von Ransomware Zero-Trust-Strategie KI und Sicherheitsabläufe CISO Behörden Wahlsicherheit
Hauptmenü
PROFESSIONAL SERVICES
Trellix Thrive Managed Detection and Response (MDR) Lösungen-Services Beratungs-Services
SCHULUNGEN UND WEITERBILDUNGEN
Schulungs-Services Schulungskurse
Hauptmenü
UNSER NETZWERK
Übersicht über Partner Security Innovation Alliance OEM & Embedded Alliances Von Partnern bereitgestellte Services
PARTNERPORTAL
Anmeldung beim Trellix-Partnerportal Partner werden
STRATEGISCHE PARTNER
Amazon Web Services (AWS) Google Cloud Telefónica Tech
Hauptmenü
RESSOURCENZENTRUM
Ressourcenbibliothek Anwenderberichte von Kunden Informationen zum Thema Sicherheitsbewusstsein
WEITERE INFORMATIONEN
Webinare Wöchentliche Tech Talk-Reihe Produktführungen
LOGIN
Trellix-Anmeldung Trellix Hive Developer Portal Marketplace
Hauptmenü
UNTERNEHMEN
Über uns Unsere Führungskräfte Anerkennung in der Branche Anwenderberichte von Kunden Jobs
MEDIEN
Pressemitteilungen Aktuelle News Blogs Presse-Center besuchen
VERBINDEN
Events Kontaktieren Sie uns

Richtlinien und Verfahren

Definition Richtlinie Richtlinienverantwortliche Richtlinien-Audits Demo anfordern

Cyber-Sicherheit ist ein wichtiges Thema für IT-Abteilungen und die Unternehmensführung. Fakt ist jedoch, dass nicht nur IT-Verantwortliche und Top-Manager, sondern alle Mitarbeiter sich über dieses Thema Gedanken machen sollten. Die Bedeutung von Sicherheit lässt sich effektiv kommunizieren, indem Sie eine Cyber-Sicherheitsrichtlinie etablieren, die die Verantwortung jeder einzelnen Person für den Schutz von IT-Systemen und Daten erläutert. Eine Cyber-Sicherheitsrichtlinie legt die Verhaltensstandards für Aktivitäten wie die Verschlüsselung von E-Mail-Anhängen sowie Beschränkungen für die Verwendung sozialer Medien fest.

Cyber-Sicherheitsrichtlinien sind wichtig, weil Cyber-Angriffe und Datenkompromittierungen enorme Kosten verursachen können. Zudem sind Mitarbeiter häufig die schwachen Glieder bei den Sicherheitsmaßnahmen eines Unternehmens. Mitarbeiter geben Kennwörter weiter, klicken auf schädliche URLs und Anhänge, verwenden nicht genehmigte Cloud-Anwendungen und vernachlässigen die Verschlüsselung vertraulicher Dateien.

Sicherheitsrichtlinien sind besonders für öffentliche Einrichtungen und Unternehmen wichtig, die in regulierten Branchen wie Gesundheitswesen, Finanzen oder Versicherungen tätig sind. Diese Einrichtungen und Unternehmen riskieren hohe Strafen, wenn ihre Sicherheitsverfahren als unzureichend eingestuft werden.

Selbst von kleinen Unternehmen, die keinen US-weiten Anforderungen unterliegen, wird erwartet, dass sie Mindeststandards für die IT-Sicherheit erfüllen, und sie können bei einem Cyber-Angriff, der aufgrund von Fahrlässigkeit zum Verlust von Verbraucherdaten führt, strafrechtlich verfolgt werden. Einige US-Bundesstaaten (z. B. Kalifornien und New York) haben Informationssicherheitsanforderungen für Unternehmen eingeführt, die auf ihrem Territorium geschäftlich tätig sind.

Cyber-Sicherheitsrichtlinien sind auch für die Reputation und Glaubwürdigkeit eines Unternehmens von entscheidender Bedeutung. Kunden, Partner, Anteilseigner und potenzielle Mitarbeiter möchten Nachweise dafür, dass das Unternehmen ihre vertraulichen Daten schützen kann. Ohne eine Cyber-Sicherheitsrichtlinie lässt sich ein solcher Nachweis möglicherweise nicht erbringen.

Definieren einer Cyber-Sicherheitsrichtlinie

Cyber-Sicherheitsrichtlinien definieren die Regeln, nach denen Mitarbeiter, Berater, Partner, Vorstandsmitglieder und andere Endbenutzer auf Online-Anwendungen und Internetressourcen zugreifen, Daten über Netzwerke senden und sich in anderen Situation verantwortungsbewusst verhalten. Im ersten Teil einer Cyber-Sicherheitsrichtlinie werden meist die allgemeinen Sicherheitserwartungen, Rollen und Zuständigkeiten im Unternehmen beschrieben. Zu den Verantwortlichen gehören externe Berater, IT-Personal, Finanzmitarbeiter usw. Diese werden im Abschnitt "Rollen und Zuständigkeiten" oder "Informationen und Zuständigkeiten" der Richtlinie erläutert.

Die Richtlinie kann dann Abschnitte für verschiedene Cyber-Sicherheitsbereiche enthalten, z. B. Anforderungen an Virenschutz-Software oder bei der Verwendung von Cloud-Anwendungen. Das SANS Institute bietet Beispiele für viele Arten von Cyber-Sicherheitsrichtlinien, z. B. Vorlagen für eine Richtlinie für Remote-Zugriffe, eine Richtlinie für die drahtlose Kommunikation, eine Kennwortschutzrichtlinie, eine E-Mail-Richtlinie und eine Richtlinie für digitale Signaturen.

Unternehmen in regulierten Branchen können Online-Ressourcen zu bestimmten rechtlichen Anforderungen konsultieren, z. B. die HIPAA Compliance Checklist des HIPAA Journal oder den IT-Governance-Artikel zur Erstellung einer DSGVO-konformen Richtlinie.

Bei großen Unternehmen sowie Unternehmen in regulierten Branchen umfasst die Cyber-Sicherheitsrichtlinie oft dutzende Seiten. Bei kleinen Unternehmen kann die Sicherheitsrichtlinie hingegen wenige Seiten umfassen und grundlegende Sicherheitspraktiken abdecken. Folgende Bereiche können enthalten sein:

  • Regeln für die Verwendung von E-Mail-Verschlüsselung
  • Schritte für den Remote-Zugriff auf geschäftliche Anwendungen
  • Richtlinien für die Erstellung und den Schutz von Kennwörtern
  • Regeln für die Verwendung sozialer Medien

Unabhängig vom Umfang der Richtlinie sollten die Bereiche priorisiert werden, die für das Unternehmen von größter Bedeutung sind. Dazu können die Sicherheit äußerst vertraulicher oder regulierten Daten oder die Behebung der Ursachen früherer Datenkompromittierungen gehören. Mit einer Risikoanalyse können Bereiche identifiziert werden, die in der Richtlinie priorisiert werden sollen.

Die Richtlinie sollte außerdem einfach und gut lesbar sein und technische Informationen in referenzierten Dokumente umfassen, insbesondere wenn diese Informationen häufig aktualisiert werden müssen. Beispielsweise kann die Richtlinie festlegen, dass Mitarbeiter alle personenbezogenen Informationen verschlüsseln sollen. Die Richtlinie muss jedoch nicht angeben, welche Verschlüsselungssoftware verwendet und welche Schritte zum Verschlüsseln der Daten durchgeführt werden sollen.

Wer sollte die Cyber-Sicherheitsrichtlinien erstellen?

Informationssicherheitsrichtlinien liegen in erster Linie in der Verantwortung der IT-Abteilung, oft des CIO oder CISO. Häufig tragen jedoch andere Verantwortliche abhängig von ihren Kenntnissen und Rollen innerhalb der Unternehmen zur Formulierung der Richtlinie bei. Dies sind die wichtigsten Verantwortlichen, die wahrscheinlich an der Richtlinienerstellung beteiligt sind:

  • Führungskräfte aus der Unternehmensführung: Sie definieren die wichtigsten geschäftlichen Anforderungen an die Sicherheit sowie die Ressourcen, die zur Unterstützung einer Cyber-Sicherheitsrichtlinie zur Verfügung stehen. Das Erstellen einer Richtlinie, die aufgrund unzureichender Ressourcen nicht implementiert werden kann, ist reine Verschwendung von Personalkosten.
  • Rechtsabteilung: Sie stellt sicher, dass die Richtlinie den gesetzlichen Anforderungen und gesetzlichen Bestimmungen entspricht.
  • Personalabteilung (HR): Sie ist für die Erläuterung und Erzwingung von Mitarbeiterrichtlinien verantwortlich. Das Team der Personalabteilung stellt sicher, dass alle Mitarbeiter die Richtlinie gelesen haben, und setzt bei Verstößen Disziplinarverfahren durch.
  • Beschaffungsabteilung: Sie ist dafür verantwortlich, Anbieter von Cloud-Diensten zu überprüfen, Verträge für Cloud-Dienste zu verwalten und andere relevante Dienstanbieter zu überprüfen. Mitarbeiter dieser Abteilung können überprüfen, ob die Sicherheitsmaßnahmen eines Cloud-Anbieters den Cyber-Sicherheitsrichtlinien des Unternehmens entsprechen, und die Wirksamkeit anderer ausgelagerter relevanter Dienste verifizieren.
  • Vorstandsmitglieder bei börsennotierten Unternehmen und Gesellschaften: Sie überprüfen und genehmigen Richtlinien im Rahmen ihrer Zuständigkeiten. Abhängig von den unternehmensspezifischen Anforderungen können sie mehr oder weniger an der Richtlinienerstellung beteiligt sein.

Wenn Sie Mitarbeitern vorschlagen, sich an der Richtlinienentwicklung zu beteiligen, berücksichtigen Sie dabei die Personen, die für den Erfolg der Richtlinie besonders wichtig sind. Idealerweise sind zum Beispiel Abteilungsleiter oder Geschäftsführer involviert, die die Richtlinie durchsetzen werden bzw. Ressourcen für die Implementierung bereitstellen.

Aktualisierungen und Audits von Cyber-Sicherheitsverfahren

Technologie unterliegt einem ständigen Wandel. Aktualisieren Sie Cyber-Sicherheitsverfahren regelmäßig, idealerweise einmal im Jahr. Legen Sie fest, dass die Verfahren einmal jährlich geprüft und aktualisiert werden, und beziehen Sie wichtige Verantwortliche ein.

Vergleichen Sie beim Überprüfen einer Informationssicherheitsrichtlinie die in der Richtlinien definierten Vorgaben mit den tatsächlich im Unternehmen angewendeten Verfahren. Führen Sie ein Audit oder eine Überprüfung durch, um festzustellen, welche Regeln sich nicht mehr auf aktuelle Arbeitsprozesse anwenden lassen. Mit einem Audit können Sie feststellen, an welchen Stellen die Durchsetzung der Cyber-Sicherheitsrichtlinie verbessert werden sollte.

Das InfoSec Institute, ein Beratungs- und Schulungsunternehmen für IT-Sicherheit, schlägt die folgenden drei Ziele für Richtlinien-Audits vor:

  • Vergleichen Sie die Cyber-Sicherheitsrichtlinie des Unternehmens mit den tatsächlich angewendeten Verfahren.
  • Bestimmen Sie die Anfälligkeit des Unternehmens gegenüber internen Bedrohungen.
  • Bewerten Sie das Risiko externer Sicherheitsbedrohungen.

Eine aktuelle Cyber-Sicherheitsrichtlinie ist eine wichtige Sicherheitsressource für alle Unternehmen, da Endbenutzer andernfalls Fehler machen und Datenkompromittierungen verursachen können. Nachlässigkeit kann zu erheblichen Kosten in Form von Geldbußen, Rechtskosten, Bußgeldern, Verlust des öffentlichen Vertrauens und Reputationsschäden führen. Durch die Erstellung und Pflege einer Cyber-Sicherheitsrichtlinie lassen sich diese negativen Folgen vermeiden.

Explore more Security Awareness topics

View Cybersecurity Topics View All Security Awareness