Richtlinie zur akzeptablen Nutzung von Technologie am Arbeitsplatz

Was ist eine Richtlinie zur akzeptablen Nutzung (AUP)?

Jeder, der schon einmal ein Unternehmen beliebiger Größe besessen (oder in einem solchen gearbeitet) hat, kennt die Acceptable Use Policy. Entweder wurden sie mit der Erstellung eines solchen Dokuments beauftragt oder — was wahrscheinlicher ist — gebeten, es zu lesen und zu unterschreiben, um zu bestätigen, dass sie das Verhalten und die Maßnahmen verstehen, die ihr Arbeitgeber von ihnen erwartet.

Abgesehen von dem Aspekt der Beschäftigung sind AUPs überall zu finden. Von Software-Lizenzvereinbarungen bis hin zum Zugriff auf Informationen von Websites - Richtlinien zur akzeptablen Nutzung sind in vielen Unternehmen gang und gäbe, auch wenn sie manchmal unbemerkt bleiben, da das „Kleingedruckte” gerne übersehen wird.

Nichtsdestotrotz sind AUPs, egal ob sie nur oberflächlich betrachtet oder gründlich geprüft werden, verbindliche Vereinbarungen zwischen den Anbieter*innen eines Produkts oder einer Dienstleistung und den Nutzer*innen des Produkts oder der Dienstleistung.

Doch bevor wir uns mit der Frage beschäftigen, warum AUPs wichtig sind oder was sie beinhalten, sollten wir sie zunächst einmal definieren.

Da es keine direkte Definition (zumindest im Wörterbuch) für AUP gibt, lassen Sie uns den Begriff auf seine beiden Grundbegriffe herunterbrechen: „akzeptable Nutzung” und „Richtlinie”.

Ersteres ist einfach: für den Empfänger*innen angenehm; zufriedenstellend; angenehm; willkommen.

Letztere, die Politik: ein bestimmter Kurs oder eine bestimmte Methode des Handelns, der/die unter Alternativen und im Lichte gegebener Bedingungen ausgewählt wird, um gegenwärtige und zukünftige Entscheidungen zu leiten und zu bestimmen.

Nimmt man beides zusammen, kommt man zu dem grundlegenden Verständnis der Acceptable Use Policy: eine Reihe von Regeln, die die Nutzungsmöglichkeiten eines Produkts oder einer Dienstleistung einschränken und gleichzeitig Richtlinien für die Nutzung festlegen.

Häufig enthalten AUPs auch Formulierungen, die bestimmte Verhaltensweisen und Handlungen festlegen, die die Nutzung des Produkts einschränken.

In Bezug auf die Verwendung von Technologierichtlinien am Arbeitsplatz werden AUPs für Unternehmen, Schulen und Dienstanbieter*innen wie ISPs, Cloud-basierte Anwendungen und Websites verfasst, oft um:

• Verringerung der Haftung bei Rechtsstreitigkeiten
• Aufrechterhaltung der Dienstqualität (QoS)
• Erwartungen an die Nutzung festlegen
• Einhaltung der behördlichen Aufsichtsbestimmungen
• Durchsetzung von Geschäftspraktiken und Kontinuität

AUP Beispiel: Daten und Streaming

Ein Unternehmen, das vor kurzem auf eine dezentrale Arbeitsumgebung umgestellt hat, ist darauf angewiesen, dass seine Mitarbeiter*innen produktiv bleiben, um den Geschäftsbetrieb aufrechtzuerhalten. Zu diesem Zweck hat das Unternehmen seinen Mitarbeiter*innen MacBook Pro Laptops und Apple iPhones im Rahmen eines COPE-Eigentumsmodells zur Verfügung gestellt, das es den Endbenutzern ermöglicht, die Geräte auch für den privaten Gebrauch zu nutzen.

Eine gängige Erwartung im Zusammenhang mit Mobilfunkplänen von Unternehmen ist, dass Datenpools von allen Mitarbeiter*innen gemeinsam genutzt werden. Wenn ein Mitarbeiter/eine Mitarbeiterin fünfzig Prozent des ihm für den Monat zugewiesenen Datenvolumens nutzt, indem er den ganzen Tag lang Videos streamt, könnte dies zwei Probleme verursachen:

1. Es kann sein, dass der Mitarbeiter/die Mitarbeiterin das ihm zugewiesene Arbeitspensum nicht bewältigt, weil er sich Videostreams ansieht, anstatt während der Arbeitszeit produktiv zu sein;
2. Die übermäßige Bandbreitennutzung könnte die Datenpools schneller als erwartet erschöpfen, sodass für andere Nutzer*innen, die produktiv bleiben wollen, wenig oder gar keine Bandbreite zur Verfügung steht.

In diesem Beispiel hilft die Forderung, dass alle Benutzer*innen die Regeln lesen und durch Unterzeichnung einer AUP bestätigen müssen, dass sie sie verstanden haben, diese Handlungen einzudämmen:

1. Festlegung von Beschränkungen für den Zugriff auf Streaming-Plattformen während der Arbeitszeiten;
2. Erläuterung der Funktionsweise von Datenpools und Angabe des theoretischen Limits für jeden Mitarbeiter/jede Mitarbeiterin.

Was sollte ein AUP enthalten?

Alles! Ok, vielleicht nicht alles, aber auf jeden Fall alles, was dazu beiträgt, dass Ihre Richtlinien zur akzeptablen Nutzung für Mitarbeiter*innen wirksam sind. Für AUPs gibt es keine Einheitslösung, die für alle gilt. Es gibt AUP-Vorlagen, die Ihnen den Einstieg erleichtern können, aber AUPs unterscheiden sich unbeabsichtigt von Organisation zu Organisation, genauso wie ihre Bedürfnisse unterschiedlich sind.

Im Folgenden finden Sie einige Leitlinien für die Abfassung prägnanter, wirksamer AUPs:

• Geben Sie Beispiele und/oder zulässige Alternativen an
• Abdeckung der Arten von absichtlichen und versehentlichen Verstößen
• Erklären Sie, wie Sie die Compliance der Richtlinien überwachen und durchsetzen
• Detaillierte Behebungsmaßnahmen und Konsequenzen bei Verstößen
• Alle Benutzer*innen einbeziehen - keine Ausnahmen
• Skizzieren Sie die Gebote und Verbote der Nutzung sozialer Medien
• Machen Sie es einzigartig für Ihre Organisation
• Seien Sie kristallklar im Wortlaut - lassen Sie keine Interpretation zu

Zusätzliche Punkte, die Sie in Ihrer AUP berücksichtigen sollten

ZYOD/COPE

Stellt Ihr Unternehmen den Mitarbeiter*innen Hardware für die berufliche Nutzung zur Verfügung? Ist die persönliche Nutzung erlaubt? Wenn ja, in welchem Ausmaß?

BYOD

Müssen Geräte, die sich im Besitz von Mitarbeiter*innen befinden, beim MDM des Unternehmens registriert werden? Welche Arten von Befehlen können Administrator*innen auf Geräten ausführen, die ihnen persönlich gehören?

Datenschutz

Wie wird der Datenschutz der Endbenutzer*innen behandelt? Auf welche Daten hat die Organisation Zugriff? Wo wird das gespeichert und wie lange?

Arbeitsumgebungen

Wenn Ihr Unternehmen vollständig dezentralisiert oder hybrid ist oder dies plant, sollten Sie unbedingt angeben, wie die Richtlinien anzuwenden sind, wenn die Benutzer*innen von verschiedenen physischen Standorten und anderen Ländern aus arbeiten. Es ist wichtig zu wissen, dass einige Regionen strengere Gesetze haben als andere, was sich direkt auf die Genauigkeit und Wirksamkeit Ihrer AUP auswirkt.

Internationale Erwägungen

Wenn Ihre Organisation zum Beispiel mit Daten aus Europa arbeitet, unterliegen Sie möglicherweise den GDPR-Gesetzen. Wenn ein Mitarbeiter/eine Mitarbeiterin eine Software verwendet, die nicht GDPR-zertifiziert ist, könnte dies zu Compliance-Verstößen führen, unabhängig davon, wo sich der Hauptsitz Ihres Unternehmens befindet.

Konformität

Ihr Unternehmen – und die Mitarbeiter*innen, die es unterstützen – unterliegen möglicherweise lokalen, staatlichen, bundesstaatlichen und/oder regionalspezifischen Gesetzen. Dazu gehören verschiedene Vorschriften, die regions-, länder- und/oder branchenspezifisch sein können. Um kostspielige Verstöße gegen die Vorschriften zu vermeiden, die teure zivil- und/oder strafrechtliche Strafen nach sich ziehen können, ist es von entscheidender Bedeutung, die jeweiligen Besonderheiten zu kennen.

Warum sind AUPs für Arbeitnehmer*innen wichtig?

Die Organisation, die ein Produkt oder einen Dienst verwaltet, schreibt, wie oben erwähnt, AUPs. Dies geschieht in erster Linie zum Schutz ihrer Interessen. Eine ordnungsgemäß verfasste AUP besteht jedoch nicht nur aus einer klaren, prägnanten Formulierung, die die Erwartungen im Zusammenhang mit der Nutzung eines Produkts oder einer Dienstleistung erläutert, sondern bietet auch ein gewisses Maß an Schutz für den Nutzer*innen (in diesem Fall die Mitarbeiter*innen).

AUPs sind ein wesentlicher Bestandteil eines soliden Rahmens für die Informationssicherheit. Wenn man weiß, was die Benutzer*innen tun können und was nicht, was sie tun sollten und was nicht, kann man sie von Handlungen abhalten, die sich möglicherweise negativ auf sie (und das Unternehmen) auswirken könnten. Dies hilft ihnen, Situationen zu vermeiden, die als ungerecht empfunden werden und sogar zu administrativen und/oder rechtlichen Maßnahmen führen können.

Wie kann meine Organisation AUPs durchsetzen?

Um auf das obige Szenario zurückzukommen: Der Mitarbeiter/die Mitarbeiterin hat ein Dokument unterschrieben, in dem die zulässige Nutzung beschrieben ist. Die Leitlinien sind klar und einfach zu verstehen. Aber was nun? Hindert eine AUP really den Mitarbeiter*innen daran, während der Arbeitszeit zu streamen und den gemeinsamen Datenpool zu nutzen?

Mit einem Wort: Nein. Wie bei den meisten IT-Angelegenheiten gibt es jedoch mehrere Möglichkeiten, Kontrollen zur Durchsetzung von Verwaltungsrichtlinien zusammenzustellen. AUPs sind nichts anderes, außer dass sie die schriftlichen Richtlinien liefern, die erklären, wie sich die Endnutzer*innen verhalten sollen und was sie tun und lassen sollen.

Durch die Kombination mit einer Software wie Jamf Data Policy, die Inhalte filtert und Datenbeschränkungen durchsetzt, können IT-Administrator*innen nun Sicherheitskontrollen implementieren, die verhindern, dass bestimmte Websites bei der Durchsetzung von Nutzungsrichtlinien erreicht werden können. Außerdem erhalten die Administrator*innen eine Warnung, wenn der Mitarbeiter*innen – wissentlich oder unwissentlich – einen konfigurierten Schwellenwert erreicht. Dann sperrt die Lösung automatisch den Zugang zu Internet-Ressourcen oder drosselt einfach die Mobilfunkverbindung auf eine wesentlich niedrigere Geschwindigkeit.

Was kann Software, die AUPs durchsetzt, für mein Unternehmen tun?

• Vermeiden Sie „Rechnungsschocks” aufgrund von Bandbreitenüberlastung
• Legt Daten-Obergrenzen für Benutzer*innen fest, um eine übermäßige Nutzung einzudämmen
• Detaillierte Protokollierung der Nutzung
• Beschränkung des Zugriffs auf illegale/nicht konforme Websites
• Erlauben Sie den Mitarbeiter*innen, produktiv zu bleiben
• Warnmeldungen in Echtzeit für Benutzer*innen und Administrator*innen senden
• Erlauben Sie der IT-Abteilung, die Einstellungen bei Bedarf zu ändern.

Was Sie in Ihre AUP aufnehmen und wie Sie die Einhaltung der Bestimmungen durchsetzen wollen, hängt letztlich allein von den Bedürfnissen Ihres Unternehmens, den von Ihnen angebotenen Produkten und Dienstleistungen und den Erwartungen an das Verhalten Ihrer Mitarbeiter*innen ab. Berücksichtigen Sie zusätzlich den Standort aller Betriebsstätten und die Standorte Ihrer Endnutzer*innen und Kund*innen oder Klient*innen. Nehmen Sie sich Zeit für alle anderen Details, die für den Betrieb Ihrer Produkte und Dienstleistungen entscheidend sind oder die für Ihr Unternehmen einzigartig sind.