McAfee, Inc. (NYSE: MFE) gab heute die Ergebnisse einer neuen Studie bekannt, die den Stellenwert angemessener Einweisung von Mitarbeitern in Sicherheitsregelungen belegt. Die unter dem Titel „Employee Education Gap“ vorgelegte Studie verweist auf große Mankos bei der Einweisung vor allem neuer Mitarbeiter und die unnötigen Sicherheitsrisiken, die Unternehmen damit eingehen. In ihrem Rahmen wurden 1.000 kleine und mittelständische Unternehmen (50 bis 250 Mitarbeiter) in ganz Europa befragt.

Die wichtigsten Ergebnisse:

· Mangelndes Sicherheitsbewusstsein herrscht vor – Bei nur 32% der befragten europäischen Unternehmen findet das Thema IT-Sicherheit bei der Einführung neuer Mitarbeiter Beachtung.

· Großbritannien ist bei Aufklärungsarbeit führend – Britische Unternehmen bieten am ehesten Einführungsveranstaltungen für alle Mitarbeiter an. Dagegen findet bei mehr als einem Drittel der Unternehmen in Frankreich und Italien keine generelle Einführung für Mitarbeiter statt.

· Kontrolle ist zwingend erforderlich – 70% der Befragten glauben, dass Arbeitgeber im Hinblick auf solche Risiken vorsichtiger als vor drei Jahren sind, welche durch eine mangelhafte Einführung neuer Mitarbeiter in IT-Sicherheitsregeln entstehen.

· Risikominimierung? – Nur 39% der Unternehmen verfügen über Mitarbeiterrichtlinien für E-Mail-Inhalte und E-Mail-Wortwahl. Vorgaben für die Verwendung von portablen Speichergeräten geben nur 28% aus. Lediglich 23% legen Richtlinien für die mobile Nutzung von Laptops außerhalb des Unternehmens aus.

Das „Schwarze-Peter-Spiel“ zwischen Arbeitgeber und Arbeitnehmer

Bezüglich der Mehrheit der Sicherheitsprobleme glauben Unternehmen, dass Angestellte mehr Schuld als die Arbeitgeber tragen. Daraus ergeben sich wichtige Auswirkungen auf die Haftung von Arbeitnehmern und Arbeitgebern. So sind 55% der Befragten der Meinung, dass ein Arbeitnehmer für eine persönliche E-Mail haften sollte, mit der er einen Virus in das Firmennetzwerk eingeschleust hat. Ebenso sehen 67% beim Diebstahl eines Laptops den Arbeitnehmer in der Verantwortung. Zwar haben die Mitarbeiter eine klare Verpflichtung zur Sicherung des Unternehmenseigentums, aber die mangelnde Qualität und in machen Fällen das gänzliche Fehlen von Einführungsprozessen setzt die Arbeitnehmer unfairen Gefahren aus. Die Arbeitgeber sollten auch zur Kenntnis nehmen, dass juristische Präzedenzfälle in Europa geschaffen worden sind*, die erhebliche Zahlungen seitens der Arbeitgeber für E-Mail-Nachrichten von Mitarbeitern zur Folge hatten. In diesen E-Mails wurden die Empfänger diffamiert beziehungsweise die Vertraulichkeit oder ein Kundenvertrag verletzt.

Die Unternehmen müssen ganz klar definieren, was im Verantwortungsbereich der Mitarbeiter liegt und was zur Aufsichtspflicht des Arbeitgebers gehört. Die Studienergebnisse zeigen, dass aktuelle Auffassungen zur Schuldfrage unter Umständen falsch sind. Zwar können Handlungen der Mitarbeiter zur Verletzung der Sicherheit führen. Der Arbeitgeber ist aber oft der in letzter Konsequenz Verantwortliche für die Rahmenbedingungen, die bei Sicherheitsverletzungen eine Rolle spielen.

Greg Day, Security Analyst bei McAfee erklärt: „Viele Unternehmen messen der Einführung neuer Mitarbeiter zwar Priorität zu. Aber die meisten leisten keine effektive Informationsarbeit über wichtige Elemente des Arbeitsalltags wie über den Umgang mit dem PC oder über Regeln zur Internet-Nutzung.

Website