G 2.2 Unzureichende Kenntnis über Regelungen
Die Festlegung von Regelungen allein sichert noch nicht deren Beachtung und keinen störungsfreien Betrieb. Allen Mitarbeiter müssen die geltenden Regelungen auch bekannt sein, vor allem den Funktionsträgern. Ein Schaden, der entsteht, weil bestehende Regelungen nicht bekannt sind, darf sich nicht mit den Aussagen entschuldigen lassen: "Ich habe nicht gewusst, dass ich dafür zuständig bin." oder "Ich habe nicht gewusst, wie ich zu verfahren hatte."
Beispiele:
- Werden Mitarbeiter nicht darüber unterrichtet, wie sie korrekt mit mobilen Datenträgern und E-Mails umzugehen haben, besteht die Gefahr, dass hierüber Schadprogramme im Unternehmen bzw. in der Behörde verbreitet werden. Dadurch könnten aber auch vertrauliche Daten versehentlich in die Hände Unbefugter geraten.
- In einer Bundesbehörde wurden farblich unterschiedliche Papierkörbe aufgestellt, von denen eine Farbe für die Entsorgung zu vernichtender Unterlagen bestimmt war. Die meisten Mitarbeiter waren von dieser Regelung nicht unterrichtet.
- In einer Bundesbehörde gab es eine Vielzahl von Regelungen zur Durchführung von Datensicherungen, die mündlich zwischen dem IT -Sicherheitsbeauftragten und dem IT-Referat sukzessiv vereinbart wurden. Eine Nachfrage ergab, dass die betroffenen Mitarbeiter keine Kenntnis und keinen Ansprechpartner über die getroffenen "Vereinbarungen" hatten. Die Regelungen zur Datensicherung waren auch nicht dokumentiert. Viele Benutzer haben deshalb auch von den lokalen Daten ihres Arbeitsplatzrechners keine Datensicherung angefertigt, obwohl nur auf den Servern kontinuierliche Datensicherungen zentral durchgeführt werden.
- In einem Rechenzentrum wurde als neue Regelung festgelegt, dass bei Problemen mit der Einbruch- oder Brandmeldeanlage eine Besetzung der Pförtnerloge auch nachts erfolgt. Der Pförtnerdienst war über diese eingeführte Regelung vom Sicherheitsverantwortlichen nicht informiert worden. Als Folge war das Rechenzentrum für mehrere Wochen nachts unzureichend geschützt.