G 2.2 Unzureichende Kenntnis über Regelungen
Die Festlegung von Regelungen allein sichert den störungsfreien IT-Einsatz noch nicht. Allen Mitarbeiter müssen die geltenden Regelungen auch bekannt sein, vor allem den Funktionsträgern. Der Schaden, der sich aus einer unzureichenden Kenntnis über bestehende Regelungen ergeben kann, darf sich nicht mit den Aussagen entschuldigen lassen: "Ich habe nicht gewusst, dass ich dafür zuständig bin." oder "Ich habe nicht gewusst, wie ich zu verfahren hatte."
Beispiele:
- Werden Mitarbeiter nicht über die Verfahrensweise des Umgangs mit übersandten Datenträgern und E-Mails unterrichtet, besteht die Gefahr, dass ein Computer-Virus im Unternehmen bzw. in der Behörde verbreitet wird.
- In einer Bundesbehörde wurden farblich unterschiedliche Papierkörbe aufgestellt, von denen eine Farbe für die Entsorgung zu vernichtender Unterlagen bestimmt war. Die meisten Mitarbeiter waren von dieser Regelung nicht unterrichtet.
- In einer Bundesbehörde gab es eine Vielzahl von Regelungen zur Durchführung von Datensicherungen, die mündlich zwischen dem IT-Sicherheitsbeauftragten und dem IT-Referat sukzessiv vereinbart wurden. Eine Nachfrage ergab, dass die betroffenen IT-Benutzer keine Kenntnis und keinen Ansprechpartner über die getroffenen "Vereinbarungen" hatten. Die Regelungen zur Datensicherung waren auch nicht dokumentiert. Viele Benutzer haben deshalb auch von den lokalen Daten ihres Arbeitsplatzrechners keine Datensicherung angefertigt, obwohl nur auf den Servern kontinuierliche Datensicherungen zentral durchgeführt werden.
- In einem Rechenzentrum wurde als neue Regelung festgelegt, dass bei Problemen mit der Einbruch- oder Brandmeldeanlage eine Besetzung der Pförtnerloge auch nachts erfolgt. Der Pförtnerdienst war über diese eingeführte Regelung vom Sicherheitsverantwortlichen nicht informiert worden. Als Folge war das Rechenzentrum für mehrere Wochen nachts unzureichend geschützt.