Regelungen für den Umgang mit der IT
Einleitung
Die IT ist ein wesentliches Betriebsmittel unseres Unternehmens.
Um Störungen, Ausfälle und Sicherheitsvorfälle zu vermeiden, ist ein eindeutiger und verbindlicher Umgang mit der IT erforderlich.
Diese Regelungen gelten für die gesamte elektronische Datenverarbeitung (IT) der Organisation und sind für alle Mitarbeiter bindend.
Speicherorte
Die Daten des Unternehmens müssen vor unberechtigtem Zugriff, Veränderung und Verlust geschützt werden.
Dies gelingt nur, wenn sie an den dafür vorgesehenen Speicherorten abgelegt werden.
Zweck dieser Richtlinie ist die eindeutige Definition dieser Orte.
Jeder Nutzer trägt Verantwortung für den Schutz der Unternehmensdaten und hält sich an folgende Regeln:
- Jeder Nutzer ist für die ordnungsgemäße Ablage seiner Daten verantwortlich
- Mobile IT-Systeme und Datenträger sind keine sicheren Speicherorte
- Daten dürfen dort nur temporär gespeichert werden
- Sie müssen zeitnah auf die definierten Speicherorte übertragen werden
- Jeder Nutzer verfügt über ein persönliches Homeverzeichnis auf Microsoft OneDrive
- Zusätzlich erhält er bei Bedarf Zugriff auf weitere Verzeichnisse
- Nur diese Verzeichnisse dürfen für die dauerhafte Ablage genutzt werden
- Weitere Speicherorte werden ausschließlich von der verantwortlichen Person bereitgestellt
Installation von Hard- und Software
Neue Hard- oder Software kann Störungen verursachen, wenn sie inkompatibel zur bestehenden Umgebung ist.
Deshalb gelten folgende Regelungen:
- Hard- und Software darf nur installiert werden, wenn sie vom Administrator freigegeben wurde
- Software darf nur aus vertrauenswürdigen Quellen installiert werden
- Im Zweifelsfall ist der Administrator zu kontaktieren
- Siehe dazu auch das Dokument 5 IT-Systeme
Zugriff auf das Internet
Das Internet birgt Risiken, die durch Sicherheitsmaßnahmen reduziert werden.
Folgende Regelungen gelten:
- Eigene Internetzugänge, Fernwartungszugänge oder VPN-Verbindungen dürfen im Büronetz nur durch den Administrator eingerichtet werden
- In Projektumgebungen dürfen Mitarbeitende eigene Zugänge einrichten, sofern dies projektbezogen erforderlich ist
Private Nutzung
Aus Haftungs-, Sicherheits- und Datenschutzgründen ist die private Nutzung der Unternehmens-Hardware und -Software nicht gestattet.
Sicherheitseinrichtungen
Unsere IT enthält verschiedene Sicherheitsmechanismen, z. B.:
- Anti-Viren-Software
- Zugriffsberechtigungen
- Passwortabfragen
- Spezielle Hard- oder Softwarekonfigurationen
Diese sind notwendig für einen sicheren und stabilen Betrieb.
Daher gilt:
- Sicherheitseinrichtungen dürfen im Büronetz nur vom Administrator deinstalliert, deaktiviert oder verändert werden
- In Projektumgebungen dürfen diese nur bei fachlicher Notwendigkeit angepasst werden
Verbot trivialer Authentifizierungsmerkmale
Triviale Passwörter oder andere Authentifizierungsmerkmale sind leicht zu erraten und stellen ein erhebliches Risiko dar.
Regelungen:
- Nutzer dürfen keine leicht zu erratenden Passwörter verwenden
- Standard-Passwörter (z. B. initiale Zugangsdaten oder Hersteller-Defaults) müssen bei der ersten Anmeldung geändert werden
- Im Zweifelsfall ist der Administrator zu konsultieren
Weitergabe von Authentifizierungsmerkmalen (z.B. Passwörter)
Authentifizierungsmerkmale sind personengebunden, um eine klare Zuordnung von Aktionen zu ermöglichen.
Regelungen:
- Authentifizierungsmerkmale des Büronetzes dürfen nicht weitergegeben werden
- Authentifizierungsmerkmale der Projektumgebungen dürfen nur bei projektbedingter Notwendigkeit geteilt werden
- Alle Authentifizierungsmerkmale dürfen nur über https://secrets.farbcode.net weitergegeben werden.
Verbindlichkeit
Diese Regelungen sind verbindlich.
Bei Zuwiderhandlung oder unsachgemäßer Nutzung der IT-Infrastruktur können Zugänge eingeschränkt oder gesperrt werden.
Bei gravierenden Verstößen drohen arbeitsrechtliche Konsequenzen bis hin zur Kündigung sowie Schadenersatzansprüche.
Sollte eine Regelung im Einzelfall nicht zutreffen, ist dennoch eine Lösung im Sinne dieser Richtlinie zu finden.
Anhang – Starke Passwörter wählen
So wählen Sie sichere und merkfähige Passwörter:
| Schritt | Ergebnis |
|---|---|
| 1. Denken Sie sich einen Satz aus | Das ist nur 1 Beispiel – bitte nicht nutzen |
| 2. Wählen Sie die Anfangsbuchstaben und Sonderzeichen aus | Das ist nur 1 Beispiel – bitte nicht nutzen |
| 3. Stellen Sie die Zeichen hintereinander | Din1B-bnn! |
Hinweis:
Der Satz bleibt im Gedächtnis – das Passwort ist jedoch komplex.
Alternativ kann ein Passwortmanager verwendet werden.