Acceptable Use Policy (AUP)

Was ist eine Acceptable Use Policy (AUP)?

Eine Acceptable Use Policy (AUP) oder Richtlinie zur angemessenen Nutzung ist ein Dokument, das Einschränkungen und Praktiken festlegt, denen ein Benutzer zustimmen muss, wenn er Zugang zu einem Unternehmensnetzwerk, dem Internet oder anderen Ressourcen haben will. Viele Unternehmen und Bildungseinrichtungen verlangen von ihren Mitarbeitern oder Studenten, dass sie eine AUP unterschreiben, bevor sie eine Netzwerkkennung erhalten.

Aus Sicht der Informationstechnologie (IT) legt eine Acceptable Use Policy fest, was ein Benutzer bei der Nutzung von Computern und Computerressourcen tun darf und was nicht. Dies gilt unabhängig davon, ob das Unternehmen die Hardware zur Verfügung stellt oder ob es sich um ein persönliches Gerät handelt, das der Benutzer mitbringt.

Einer der Vorteile einer Acceptable Use Policy besteht darin, dass sie akzeptable und inakzeptable Verhaltensweisen und Aktionen der Mitarbeiter festlegt. AUPs bieten einem Unternehmen auch einen rechtlichen Mechanismus, um Compliance zu gewährleisten, und sie beschreiben Strafen für die Nichteinhaltung. Dies unterstützt Unternehmen auch bei der Einhaltung von rechtlichen Regularien und Vorschriften wie beispielsweise der DSGVO.

Die Schlüsselelemente einer Acceptable Use Policy

Internet Service Provider (ISP) verlangen in der Regel von neuen Kunden die Unterzeichnung einer AUP. Sie kann Teil einer Dienstleistungsvereinbarung (Service Level Agreement, SLA) zwischen dem ISP und dem Kunden sein.

Nachfolgend sind Bestimmungen aufgeführt, die in die Acceptable Use Policy eines ISP aufgenommen werden können:

• Keine Nutzung des Dienstes unter Verstoß gegen ein Gesetz.
• Kein Versuch, die Informationssicherheit eines Netzwerks (zum Beispiel des Internets) oder eines Endanwenders zu stören.
• Keine kommerziellen Nachrichten ohne vorherige Erlaubnis in Usenet-Gruppen zu veröffentlichen.
• Keine Junk-E-Mails oder Spam-Nachrichten an Personen zu senden, die sie nicht erhalten möchten.
• Keine Mailbomben zu verschicken, um die Mail-Server einer missliebigen Organisation zu überfluten.
• Nicht zu versuchen, geistiges Eigentum des Anbieters zu stehlen.
• Verpflichtung der Nutzer, jeden Versuch, in ihr Konto einzubrechen, zu melden.
• Anzuerkennen, dass bei Verstößen gegen die AUP disziplinarische Maßnahmen verhängt werden können.
• Hinweis darauf, dass die Richtlinie mit dem geltenden Recht in Bezug auf IT und damit zusammenhängende Fragen übereinstimmt und regelmäßigen Audits unterzogen werden kann.

In einer Acceptable Use Policy ist häufig ein Haftungsausschluss enthalten, der die Organisation von der Verantwortung für eine Datenverletzung, Schadsoftware oder andere Probleme freispricht. Aussagen darüber, wann eine Person gegen diese Richtlinie verstößt und wann die Strafverfolgungsbehörden eingeschaltet werden sollten, können ebenfalls enthalten sein.

Beispiele für den Einsatz von Acceptable-Use-Richtlinien

Hier einige Beispiele für Bereiche, in denen eine Acceptable Use Policy hilfreich sein kann:

• Soziale Medien: Eine AUP legt die Parameter fest, wie Mitarbeiter Social-Media-Websites nutzen sollten, und schreibt oft vor, was nicht über das Unternehmen und seine Geschäfte diskutiert werden darf.
• Nutzung des Internets und anderer Systeme: In den Richtlinien wird in der Regel definiert, ob die Computersysteme eines Unternehmens nur für geschäftliche Zwecke genutzt werden dürfen. Sie legen oft fest, ob diese Ressourcen für persönliche E-Mails oder andere elektronische Kommunikation, zum Einkaufen, für Computerspiele und Glücksspiele gebraucht werden dürfen.
• Cybersicherheit: Ein AUP legt Regeln für die IT-Sicherheitsrichtlinien einer Organisation fest. Dazu gehören Vorschriften für den Zugriff auf eingeschränkte Informationen, das Ändern von Zugangsdaten wie Passwörtern, das Öffnen fragwürdiger E-Mail-Anhänge, die Nutzung öffentlicher WLAN-Dienste und die Verwendung vom Unternehmen genehmigter Authentifizierungsverfahren.
• Nicht-angestellte Benutzer: Nutzungsrichtlinien legen fest, wie Nicht-Mitarbeiter die Informationssysteme und Netzwerkressourcen des Unternehmens verwenden können.
• Zugriff auf private oder vertrauliche Informationen: Acceptable Use Policies untersagen Benutzern den unbefugten Zugriff auf geschützte oder vertrauliche Daten und deren unbefugte Nutzung.
• Bring Your Own Device (BYOD): Viele Unternehmen erlauben oder verlangen von ihren Mitarbeitern, persönliche Geräte für geschäftliche Zwecke zu nutzen. Bei BYOD ist jedoch eine AUP erforderlich, um Sicherheitsprobleme und Missverständnisse über die Verwendung dieser Geräte zu vermeiden.

Bewährte Verfahren, um sicherzustellen, dass Acceptable-Use-Richtlinien eingehalten werden

Die Unterzeichnung einer Acceptable Use Policy kann als Teil eines Arbeitsvertrags erforderlich sein. Dies geschieht oft während des Einführungsprozesses oder bei Bedarf mit bestehenden Mitarbeitern.

Die Mitarbeiter müssen jedoch regelmäßig an ihre Verantwortung erinnert werden, die in der AUP festgelegten Regeln zu verstehen und einzuhalten. Einige bewährte Praktiken, die den Mitarbeitern helfen, diese Richtlinien einzuhalten, sind:

• Arbeiten Sie mit der Rechtsabteilung Ihres Unternehmens zusammen, um sicherzustellen, dass die AUP die Probleme richtig anspricht.
• Erstellen Sie klar formulierte Richtlinien mit einem Minimum an Fachjargon oder verwirrenden Rechtsbegriffen.
• Bieten Sie Schulungen an, in denen die in einer AUP enthaltenen Regeln hervorgehoben werden.
• Testen Sie das Wissen, das Bewusstsein und das Verständnis der Mitarbeiter für eine Acceptable Use Policy mit regelmäßigen Fragebögen.
• Stellen Sie sicher, dass die AUP-Bestimmungen regelmäßig überprüft und aktualisiert werden, insbesondere bei größeren Veränderungen im Geschäftsbetrieb, zum Beispiel bei der Einführung eines neuen Produkts oder einer Fusion, oder wenn ein Audit durchgeführt wird.

Acceptable Use Policies für BYOD werden immer üblicher. Erfahren Sie mehr über die Durchsetzung und Erstellung von BYOD-Richtlinien.