Was ist eine Richtlinie zur akzeptablen Nutzung (AUP)?
Jeder, der schon einmal ein Unternehmen beliebiger Größe besessen (oder in einem solchen gearbeitet) hat, kennt die Acceptable Use Policy. Entweder wurden sie mit der Erstellung eines solchen Dokuments beauftragt oder — was wahrscheinlicher ist — gebeten, es zu lesen und zu unterschreiben, um zu bestätigen, dass sie das Verhalten und die Maßnahmen verstehen, die ihr Arbeitgeber von ihnen erwartet.
Abgesehen von dem Aspekt der Beschäftigung sind AUPs überall zu finden. Von Software-Lizenzvereinbarungen bis hin zum Zugriff auf Informationen von Websites - Richtlinien zur akzeptablen Nutzung sind in vielen Unternehmen gang und gäbe, auch wenn sie manchmal unbemerkt bleiben, da das „Kleingedruckte” gerne übersehen wird.
Nichtsdestotrotz sind AUPs, egal ob sie nur oberflächlich betrachtet oder gründlich geprüft werden, verbindliche Vereinbarungen zwischen den Anbieter*innen eines Produkts oder einer Dienstleistung und den Nutzer*innen des Produkts oder der Dienstleistung.
Doch bevor wir uns mit der Frage beschäftigen, warum AUPs wichtig sind oder was sie beinhalten, sollten wir sie zunächst einmal definieren.
Da es keine direkte Definition (zumindest im Wörterbuch) für AUP gibt, lassen Sie uns den Begriff auf seine beiden Grundbegriffe herunterbrechen: „akzeptable Nutzung” und „Richtlinie”.
Ersteres ist einfach: für den Empfänger*innen angenehm; zufriedenstellend; angenehm; willkommen.
Letztere, die Politik: ein bestimmter Kurs oder eine bestimmte Methode des Handelns, der/die unter Alternativen und im Lichte gegebener Bedingungen ausgewählt wird, um gegenwärtige und zukünftige Entscheidungen zu leiten und zu bestimmen.
Nimmt man beides zusammen, kommt man zu dem grundlegenden Verständnis der Acceptable Use Policy: eine Reihe von Regeln, die die Nutzungsmöglichkeiten eines Produkts oder einer Dienstleistung einschränken und gleichzeitig Richtlinien für die Nutzung festlegen.
Häufig enthalten AUPs auch Formulierungen, die bestimmte Verhaltensweisen und Handlungen festlegen, die die Nutzung des Produkts einschränken.
In Bezug auf die Verwendung von Technologierichtlinien am Arbeitsplatz werden AUPs für Unternehmen, Schulen und Dienstanbieter*innen wie ISPs, Cloud-basierte Anwendungen und Websites verfasst, oft um:
- Verringerung der Haftung bei Rechtsstreitigkeiten
- Aufrechterhaltung der Dienstqualität (QoS)
- Erwartungen an die Nutzung festlegen
- Einhaltung der behördlichen Aufsichtsbestimmungen
- Durchsetzung von Geschäftspraktiken und Kontinuität
AUP Beispiel: Daten und Streaming
Ein Unternehmen, das vor kurzem auf eine dezentrale Arbeitsumgebung umgestellt hat, ist darauf angewiesen, dass seine Mitarbeiter*innen produktiv bleiben, um den Geschäftsbetrieb aufrechtzuerhalten. Zu diesem Zweck hat das Unternehmen seinen Mitarbeiter*innen MacBook Pro Laptops und Apple iPhones im Rahmen eines COPE-Eigentumsmodells zur Verfügung gestellt, das es den Endbenutzern ermöglicht, die Geräte auch für den privaten Gebrauch zu nutzen.
Eine gängige Erwartung im Zusammenhang mit Mobilfunkplänen von Unternehmen ist, dass Datenpools von allen Mitarbeiter*innen gemeinsam genutzt werden. Wenn ein Mitarbeiter/eine Mitarbeiterin fünfzig Prozent des ihm für den Monat zugewiesenen Datenvolumens nutzt, indem er den ganzen Tag lang Videos streamt, könnte dies zwei Probleme verursachen:
- Es kann sein, dass der Mitarbeiter/die Mitarbeiterin das ihm zugewiesene Arbeitspensum nicht bewältigt, weil er sich Videostreams ansieht, anstatt während der Arbeitszeit produktiv zu sein;
- Die übermäßige Bandbreitennutzung könnte die Datenpools schneller als erwartet erschöpfen, sodass für andere Nutzer*innen, die produktiv bleiben wollen, wenig oder gar keine Bandbreite zur Verfügung steht.
In diesem Beispiel hilft die Forderung, dass alle Benutzer*innen die Regeln lesen und durch Unterzeichnung einer AUP bestätigen müssen, dass sie sie verstanden haben, diese Handlungen einzudämmen:
- Festlegung von Beschränkungen für den Zugriff auf Streaming-Plattformen während der Arbeitszeiten;
- Erläuterung der Funktionsweise von Datenpools und Angabe des theoretischen Limits für jeden Mitarbeiter/jede Mitarbeiterin.
Was sollte ein AUP enthalten?
Alles! Ok, vielleicht nicht alles, aber auf jeden Fall alles, was dazu beiträgt, dass Ihre Richtlinien zur akzeptablen Nutzung für Mitarbeiter*innen wirksam sind. Für AUPs gibt es keine Einheitslösung, die für alle gilt. Es gibt AUP-Vorlagen, die Ihnen den Einstieg erleichtern können, aber AUPs unterscheiden sich unbeabsichtigt von Organisation zu Organisation, genauso wie ihre Bedürfnisse unterschiedlich sind.
Im Folgenden finden Sie einige Leitlinien für die Abfassung prägnanter, wirksamer AUPs:
- Geben Sie Beispiele und/oder zulässige Alternativen an
- Abdeckung der Arten von absichtlichen und versehentlichen Verstößen
- Erklären Sie, wie Sie die Compliance der Richtlinien überwachen und durchsetzen
- Detaillierte Behebungsmaßnahmen und Konsequenzen bei Verstößen
- Alle Benutzer*innen einbeziehen - keine Ausnahmen
- Skizzieren Sie die Gebote und Verbote der Nutzung sozialer Medien
- Machen Sie es einzigartig für Ihre Organisation
- Seien Sie kristallklar im Wortlaut - lassen Sie keine Interpretation zu
Zusätzliche Punkte, die Sie in Ihrer AUP berücksichtigen sollten
ZYOD/COPE
Stellt Ihr Unternehmen den Mitarbeiter*innen Hardware für die berufliche Nutzung zur Verfügung? Ist die persönliche Nutzung erlaubt? Wenn ja, in welchem Ausmaß?
BYOD
Müssen Geräte, die sich im Besitz von Mitarbeiter*innen befinden, beim MDM des Unternehmens registriert werden? Welche Arten von Befehlen können Administrator*innen auf Geräten ausführen, die ihnen persönlich gehören?
Datenschutz
Wie wird der Datenschutz der Endbenutzer*innen behandelt? Auf welche Daten hat die Organisation Zugriff? Wo wird das gespeichert und wie lange?
Arbeitsumgebungen
Wenn Ihr Unternehmen vollständig dezentralisiert oder hybrid ist oder dies plant, sollten Sie unbedingt angeben, wie die Richtlinien anzuwenden sind, wenn die Benutzer*innen von verschiedenen physischen Standorten und anderen Ländern aus arbeiten. Es ist wichtig zu wissen, dass einige Regionen strengere Gesetze haben als andere, was sich direkt auf die Genauigkeit und Wirksamkeit Ihrer AUP auswirkt.
Internationale Erwägungen
Wenn Ihre Organisation zum Beispiel mit Daten aus Europa arbeitet, unterliegen Sie möglicherweise den GDPR-Gesetzen. Wenn ein Mitarbeiter/eine Mitarbeiterin eine Software verwendet, die nicht GDPR-zertifiziert ist, könnte dies zu Compliance-Verstößen führen, unabhängig davon, wo sich der Hauptsitz Ihres Unternehmens befindet.
Konformität
Ihr Unternehmen – und die Mitarbeiter*innen, die es unterstützen – unterliegen möglicherweise lokalen, staatlichen, bundesstaatlichen und/oder regionalspezifischen Gesetzen. Dazu gehören verschiedene Vorschriften, die regions-, länder- und/oder branchenspezifisch sein können. Um kostspielige Verstöße gegen die Vorschriften zu vermeiden, die teure zivil- und/oder strafrechtliche Strafen nach sich ziehen können, ist es von entscheidender Bedeutung, die jeweiligen Besonderheiten zu kennen.
Warum sind AUPs für Arbeitnehmer*innen wichtig?
Die Organisation, die ein Produkt oder einen Dienst verwaltet, schreibt, wie oben erwähnt, AUPs. Dies geschieht in erster Linie zum Schutz ihrer Interessen. Eine ordnungsgemäß verfasste AUP besteht jedoch nicht nur aus einer klaren, prägnanten Formulierung, die die Erwartungen im Zusammenhang mit der Nutzung eines Produkts oder einer Dienstleistung erläutert, sondern bietet auch ein gewisses Maß an Schutz für den Nutzer*innen (in diesem Fall die Mitarbeiter*innen).
AUPs sind ein wesentlicher Bestandteil eines soliden Rahmens für die Informationssicherheit. Wenn man weiß, was die Benutzer*innen tun können und was nicht, was sie tun sollten und was nicht, kann man sie von Handlungen abhalten, die sich möglicherweise negativ auf sie (und das Unternehmen) auswirken könnten. Dies hilft ihnen, Situationen zu vermeiden, die als ungerecht empfunden werden und sogar zu administrativen und/oder rechtlichen Maßnahmen führen können.
Wie kann meine Organisation AUPs durchsetzen?
Um auf das obige Szenario zurückzukommen: Der Mitarbeiter/die Mitarbeiterin hat ein Dokument unterschrieben, in dem die zulässige Nutzung beschrieben ist. Die Leitlinien sind klar und einfach zu verstehen. Aber was nun? Hindert eine AUP really den Mitarbeiter*innen daran, während der Arbeitszeit zu streamen und den gemeinsamen Datenpool zu nutzen?
Mit einem Wort: Nein. Wie bei den meisten IT-Angelegenheiten gibt es jedoch mehrere Möglichkeiten, Kontrollen zur Durchsetzung von Verwaltungsrichtlinien zusammenzustellen. AUPs sind nichts anderes, außer dass sie die schriftlichen Richtlinien liefern, die erklären, wie sich die Endnutzer*innen verhalten sollen und was sie tun und lassen sollen.
Durch die Kombination mit einer Software wie Jamf Data Policy, die Inhalte filtert und Datenbeschränkungen durchsetzt, können IT-Administrator*innen nun Sicherheitskontrollen implementieren, die verhindern, dass bestimmte Websites bei der Durchsetzung von Nutzungsrichtlinien erreicht werden können. Außerdem erhalten die Administrator*innen eine Warnung, wenn der Mitarbeiter*innen – wissentlich oder unwissentlich – einen konfigurierten Schwellenwert erreicht. Dann sperrt die Lösung automatisch den Zugang zu Internet-Ressourcen oder drosselt einfach die Mobilfunkverbindung auf eine wesentlich niedrigere Geschwindigkeit.
Was kann Software, die AUPs durchsetzt, für mein Unternehmen tun?
- Vermeiden Sie „Rechnungsschocks” aufgrund von Bandbreitenüberlastung
- Legt Daten-Obergrenzen für Benutzer*innen fest, um eine übermäßige Nutzung einzudämmen
- Detaillierte Protokollierung der Nutzung
- Beschränkung des Zugriffs auf illegale/nicht konforme Websites
- Erlauben Sie den Mitarbeiter*innen, produktiv zu bleiben
- Warnmeldungen in Echtzeit für Benutzer*innen und Administrator*innen senden
- Erlauben Sie der IT-Abteilung, die Einstellungen bei Bedarf zu ändern.
Was Sie in Ihre AUP aufnehmen und wie Sie die Einhaltung der Bestimmungen durchsetzen wollen, hängt letztlich allein von den Bedürfnissen Ihres Unternehmens, den von Ihnen angebotenen Produkten und Dienstleistungen und den Erwartungen an das Verhalten Ihrer Mitarbeiter*innen ab. Berücksichtigen Sie zusätzlich den Standort aller Betriebsstätten und die Standorte Ihrer Endnutzer*innen und Kund*innen oder Klient*innen. Nehmen Sie sich Zeit für alle anderen Details, die für den Betrieb Ihrer Produkte und Dienstleistungen entscheidend sind oder die für Ihr Unternehmen einzigartig sind.
AUPs + Jamf = Glückliche, produktive Benutzer*innen!
Mit Jamf Pro kann die IT-Abteilung die Leistung während des gesamten Lebenszyklus eines Geräts durch die Durchsetzung von Unternehmensrichtlinien optimal halten.
Abonnieren Sie den Jamf Blog
Wir sorgen dafür, dass Apple Updates sowie Jamf Neuigkeiten direkt bei Ihnen im Postfach landen.
Um mehr darüber zu erfahren, wie wir Ihre Informationen sammeln, verwenden, offenlegen, übertragen und speichern, werfen Sie bitte einen Blick auf unsere Datenschutzbestimmungen.