Seite 1 von 10

Willkommen zum Mitarbeiter-Training

Informationssicherheit betrifft uns alle. In diesem Training lernen Sie die wichtigsten Richtlinien und Regeln kennen, die in unserem Unternehmen gelten – basierend auf anerkannten Standards wie ISO 27001, BSI IT-Grundschutz, DORA und NIS2.

Was ist Informationssicherheit? Sie zielt darauf ab, Informationen (Daten, Systeme, Prozesse) vor Gefahren zu schützen. Die drei zentralen Ziele sind Vertraulichkeit (nur Berechtigte sehen Daten), Integrität (Daten sind unverfälscht) und Verfügbarkeit (Daten und Systeme stehen wenn nötig zur Verfügung) – oft als „CIA-Triade“ bezeichnet.

Seite 2 von 10

Richtlinien und Regelwerke – der Rahmen

Unser Unternehmen orientiert sich an etablierten Standards und gesetzlichen Anforderungen:

ISO 27001: Internationaler Standard für ein Informationssicherheits-Managementsystem (ISMS). Definiert Anforderungen an Prozesse, Risikomanagement und Kontrollen.
BSI IT-Grundschutz: Vom Bundesamt für Sicherheit in der Informationstechnik. Bietet Bausteine und Maßnahmen für ein angemessenes Sicherheitsniveau.
DORA / NIS2: EU-Vorgaben zur digitalen Resilienz (DORA im Finanzsektor) bzw. zur Cybersicherheit kritischer Infrastrukturen (NIS2). Relevanz je nach Branche.
DSGVO: Regelt den Umgang mit personenbezogenen Daten – Vertraulichkeit, Zweckbindung, Betroffenenrechte.

Ihre Aufgabe: Die internen Richtlinien und Anweisungen einhalten, die aus diesen Rahmenwerken abgeleitet sind.

Seite 3 von 10

Passwörter und Zugang

Zugangsdaten schützen unsere Systeme und Daten. Daher gelten klare Regeln:

Starke Passwörter verwenden (Länge und Komplexität gemäß Richtlinie).
Passwörter nicht weitergeben – auch nicht an Kollegen, Vorgesetzte oder (vermeintliche) IT-Mitarbeiter.
Multi-Faktor-Authentifizierung (MFA) nutzen, wo vorgesehen.
Keine Passwörter auf Zetteln oder in ungeschützten Dateien ablegen.
Bei Verdacht auf Kompromittierung: Passwort sofort ändern und IT-Sicherheit informieren.

Merksatz: Passwörter sind persönlich und geheim. Echte IT oder echte Führung wird Sie niemals danach fragen.

Seite 4 von 10

Umgang mit Daten

Daten sind ein wertvolles Gut. Richtlinien und Regelwerke verlangen einen sicheren Umgang:

Klassifikation: Informationen sind nach Vertraulichkeit eingestuft (z. B. intern, vertraulich). Nur in dafür vorgesehenen Bereichen speichern und weitergeben.
Speicherung: Vertrauliche Daten nur auf freigegebenen Systemen (z. B. Netzlaufwerke, genehmigte Cloud-Dienste). Keine sensiblen Daten auf privaten Geräten oder USB-Sticks ohne Freigabe.
Weitergabe: Nur an Berechtigte und über sichere Kanäle. Bei personenbezogenen Daten: DSGVO beachten (Zweck, Einwilligung, Mindestdaten).
Löschung: Daten nach Aufbewahrungsfristen und Richtlinie löschen bzw. vernichten.

Seite 5 von 10

E-Mail und Kommunikation

E-Mails und Messaging sind häufige Angriffswege (Phishing, Schadsoftware). Daher:

Absender und Links prüfen – besonders bei Aufforderungen zum Klicken, Passwort-Eingabe oder dringenden Handlungen.
Anhänge von unbekannten Absendern nicht unbedacht öffnen. Bei Zweifel: IT oder IT-Sicherheit fragen.
Vertrauliche Inhalte nicht unverschlüsselt per E-Mail versenden, wenn die Richtlinie sichere Kanäle vorschreibt.
Keine sensiblen Daten in privaten E-Mail-Postfächern oder Messengern (z. B. WhatsApp) verarbeiten, sofern nicht freigegeben.

Phishing: Gefälschte Nachrichten locken zum Klicken oder zur Preisgabe von Zugangsdaten. Im Zweifel nie klicken, nie Passwörter eingeben – stattdessen melden.

Seite 6 von 10

Arbeitsplatz und Geräte

Physische und technische Sicherheit am Arbeitsplatz sind Teil der Richtlinien (u. a. BSI, ISO 27001):

Clean Desk: Vertrauliche Unterlagen und Datenträger nicht unbeaufsichtigt liegen lassen. Bei Verlassen des Arbeitsplatzes wegräumen oder sichern.
Bildschirmsperre: Rechner bei Abwesenheit sperren (Kurzabwesenheit reicht für Zugriff durch Dritte).
Mobilgeräte: Nur genehmigte Geräte und Apps für Firmendaten nutzen. Geräte mit Zugang zu Firmensystemen bei Verlust sofort melden.
Zutritt: Fremde im Gebäude nicht unbeaufsichtigt lassen und bei Verdacht melden (Social Engineering).

Seite 7 von 10

Vorfälle melden

ISO 27001, DORA, NIS2 und interne Richtlinien verlangen, Sicherheitsvorfälle zu erfassen und zu bearbeiten. Nur so können wir reagieren und uns verbessern.

Was melden? Verdacht auf Phishing, verlorene/gestohlene Geräte, unbefugter Zugriff, versehentliche Weitergabe von Daten, Schadsoftware, ungewöhnliches Systemverhalten.
Wohin? An die festgelegten Ansprechpartner (z. B. IT-Sicherheit, Informationssicherheitsbeauftragte, Helpdesk). Kontaktdaten finden Sie in der internen Übersicht.
Wann? So schnell wie möglich. Keine Angst vor „falschem Alarm“ – lieber einmal zu oft gemeldet.

Schnelle Meldung hilft, Schäden zu begrenzen und erfüllt unsere Compliance-Anforderungen.

Seite 8 von 10

Lieferanten und externe Partner

Dritte (Dienstleister, Lieferanten) haben oft Zugang zu unseren Daten oder Systemen. DORA, NIS2 und ISO 27001 verlangen einen kontrollierten Umgang mit solchen Partnern.

Vertrauliche Informationen nur an externe Partner weitergeben, wenn es vertraglich und durch interne Freigabe abgesichert ist.
Bei Anforderungen von extern (z. B. „geänderte Bankverbindung“, neue Zugangsdaten): immer über einen zweiten, bekannten Kanal prüfen (z. B. Rückruf auf gespeicherte Nummer).
Zugänge und Rechte für Externe nur nach Freigabe vergeben und bei Beendigung der Zusammenarbeit entziehen.

Business Email Compromise (BEC): Angreifer geben sich als Chef oder Lieferant aus, um Zahlungen umzuleiten. Immer Rückfrage über sicheren Kanal.

Seite 9 von 10

Remote Work und Home Office

Bei Arbeit außerhalb des Büros gelten die gleichen Grundsätze – plus einige Zusatzregeln:

Nur über sichere Verbindungen arbeiten (z. B. VPN, wenn vorgeschrieben). Öffentliches WLAN nicht für vertrauliche Tätigkeiten nutzen, sofern nicht abgesichert.
Geräte und Bildschirm so schützen, dass Dritte (Familie, Mitbewohner) keine sensiblen Daten sehen können.
Dokumente und Geräte zu Hause so aufbewahren, dass sie nicht unbefugt zugänglich sind.
Bei Verlust oder Diebstahl von Geräten mit Firmenzugang sofort melden.

Seite 10 von 10

Zusammenfassung und Abschluss

Sie haben die Grundlagen unseres Informationssicherheits-Trainings kennengelernt. Kurz zusammengefasst:

Informationssicherheit schützt Vertraulichkeit, Integrität und Verfügbarkeit von Informationen.
Richtlinien leiten sich aus ISO 27001, BSI, DORA, NIS2, DSGVO und internen Vorgaben ab.
Passwörter geheim halten, MFA nutzen, Daten nur regelkonform speichern und weitergeben.
E-Mails und Links kritisch prüfen, Vorfälle zeitnah melden.
Clean Desk, Bildschirmsperre, sichere Geräte – auch im Home Office.
Bei Externen und bei ungewöhnlichen Anforderungen immer Rückfrage über sicheren Kanal.

Ihre Ansprechpartner: Bei Fragen wenden Sie sich an Ihren Vorgesetzten, die IT, den Informationssicherheitsbeauftragten oder die in Ihrem Onboarding genannten Kontakte. Die genauen Meldewege stehen in den internen Richtlinien.

Vielen Dank, dass Sie sich die Zeit für dieses Training genommen haben. Mit Ihrem Bewusstsein für Sicherheit tragen Sie aktiv zum Schutz unseres Unternehmens bei.

ISMS4All

Informationssicherheit – Mitarbeiter-Training