Unterweisung IT-Sicherheit kompakt – Rechtliche Pflicht für Arbeitgeber erfüllen

Die rechtliche Verankerung der IT-Sicherheitsunterweisung ergibt sich aus mehreren Vorschriften: ArbSchG § 3 („Sicherheit und Gesundheitsschutz der Beschäftigten“) verlangt eine wirksame Gefährdungsbeurteilung, die auch informationstechnische Risiken einschließt. ArbSchG § 12 schreibt vor, dass Arbeitgeber ihre Mitarbeitende über alle Gefährdungen und die entsprechenden Schutzmaßnahmen regelmäßig zu unterweisen haben. Hinzu kommt BetrSichV § 3, die eine Beurteilung von Arbeitsmitteln – hierzu zählen Hard- und Software – fordert. IT-Sicherheit wird zudem von der DGUV Vorschrift 1 „Grundsätze der Prävention“ abgedeckt. Dort heißt es in § 4, dass Betriebe geeignete Informationen und Unterweisungen zur Verfügung stellen müssen, die Gefährdungen durch fehlerhafte Bedienung oder Manipulation IT-gestützter Systeme reduzieren. Für Behörden und öffentliche Betriebe verweist BSI-G § 8a auf die Notwendigkeit, Mitarbeitende regelmäßig zu sensibilisieren. Auch die DSGVO Art. 32 fordert geeignete technische und organisatorische Maßnahmen, zu denen die Schulung der Personen mit Datenzugriff zählt.

Arbeitgeber müssen gemäß ArbSchG § 12 eine Unterweisung aller Beschäftigten mindestens einmal jährlich durchführen und diese dokumentieren. Die Unterweisung ist konkret auf die jeweilige Tätigkeit abzustimmen – ein Büroangestellter benötigt andere Inhalte als ein Mitarbeiter in der Produktions-IT. Die Dokumentation muss mindestens folgende Angaben enthalten: Thema, Inhalt, Dauer, Teilnehmende, Namen der Lehrkraft und Datum. Aufbewahrungsfrist: fünf Jahre (§ 22 ArbSchG). Die Gefährdungsbeurteilung (ArbSchG § 5) bildet die Grundlage: Sie identifiziert IT-spezifische Risiken (z. B. unverschlüsselte Datenträger, unsichere WLAN-Zugänge) und leitet daraus konkrete Schutzmaßnahmen ab. Wird die Beurteilung aktualisiert, muss ebenfalls eine Nachunterweisung erfolgen.

1. Grundlagen IT-Sicherheit und Datenschutz

Die Schulung beginnt mit einer Einführung in die Begrifflichkeiten: Was ist ein Informationssicherheits­managementsystem (ISMS)? Welche Rolle spielt der Datenschutz im IT-Risikomanagement? Anhand von Beispielen wie dem Datenschutz-Fall „Google Analytics“ wird verdeutlicht, welche Konsequenzen eine mangelnde Sensibilisierung haben kann.

2. Passwortsicherheit und Authentifizierung

Starker Fokus liegt auf der Passwortsicherheit. Die Teilnehmenden lernen:

• die Mindestanforderungen gemäß BSI-Leitlinie (12 Zeichen, Groß-/Kleinschreibung, Ziffern, Sonderzeichen)
• die Nutzung von Passwort-Managern als sinnvolle Hilfe
• die Bedeutung von Multi-Faktor-Authentifizierung (MFA)

Ein Live-Demo zeigt, wie ein schwaches Passwort innerhalb von Sekunden geknackt wird.

3. Phishing- und Social-Engineering-Erkennung

Die Teilnehmenden erhalten konkrete Handlungsanleitungen:

• Erkennung typischer Phishing-Merkmale (Fehler in der Absender-Domain, Druck durch Zeitlimit)
• Verhalten bei Verdachtsfällen: „Stop – Check – Inform“-Regel
• Meldestelle im Betrieb kontaktieren, nicht selbst weiterleiten

Ein interaktives Quiz lässt die Mitarbeitenden echte und gefälschte Mails unterscheiden.

4. Sicherer Umgang mit sensiblen Daten

Praxisnahe Tipps für den Alltag:

• Verschlüsselte E-Mail nur für personenbezogene Daten verwenden
• Laptops immer mit BitLocker oder FileVault sichern
• USB-Sticks nur mit Freigabe durch IT nutzen
• Papierdokumente sofort nach Gebrauch in Datenschutz­vernichter entsorgen

Ein kurzer Blick auf die „Cloud-Security“ zeigt, welche Punkte vor der Nutzung von Dropbox & Co. geprüft werden müssen.

5. Update- und Patch-Management

Die Teilnehmenden erfahren, warum regelmäßige Updates wichtig sind und wie sie diese veranlassen: Automatische Updates aktivieren, nicht auf „Später klicken“ und kritische Sicherheitslücken sofort an die IT melden. Ein Ausblick auf Zero-Day-Lücken macht die Dringlichkeit deutlich.

6. Verhalten bei Verlust oder Sicherheitsvorfall

Notfallnummern und Meldepflichten werden transparent:

• Wer ist Ansprechpartner IT-Sicherheit?
• Wann muss die Datenschutzbeauftragte informiert werden (72-Stunden-Regel)?
• Wie wird ein Vorfall dokumentiert?

Ein kurzer Lageplan „Was tun, wenn der Laptop weg ist?“ komplettiert den Abschnitt.

Aus Sicht des Arbeitsschutzes lassen sich IT-Risiken nach dem TOP-Prinzip bekämpfen: Technisch: Installation von Virenschutz, Firewalls, Verschlüsselung Organisatorisch: Regelarbeitsplätze, Zugriffsrechte nach Rollen vergeben, „Sauber-Desk“-Policy Personell: Regelmäßige Schulungen, Sensibilisierungs-Kampagnen, Phishing-Tests Typische Gefährdungen sind:

• Phishing-E-Mails mit Schadsoftware (Ransomware)
• Unbefugter Zugriff via offene WLAN-Netze
• Verlust von Datenträgern ohne Verschlüsselung
• Mangelnde Updates führen zu Sicherheitslücken

Die Schutzmassnahmen werden in der Gefährdungsbeurteilung konkretisiert und in der Unterweisung erklärt.

Die Schulung ist branchenübergreifend relevant, besonders aber für:

• Büro- und Verwaltungsbereiche (viele personenbezogene Daten)
• Finanzdienstleister (höhere Schadenspotenziale bei Datenlecks)
• Gesundheitswesen (besondere Schutzwürdigkeit sensibler Gesundheitsdaten)
• Industrie und produzierendes Gewerbe (IT-Systeme in der Produktion)

Sondergruppen wie Home-Office-Mitarbeitende erhalten zusätzliche Module zum sicheren Heimarbeitsplatz.

Die regelmäßige Unterweisung muss mindestens einmal jährlich erfolgen (ArbSchG § 12). Bei wesentlichen Änderungen (neue Software, neue Phishing-Wellen, neue Rechtslage) ist eine Nachunterweisung innerhalb von vier Wochen erforderlich. Die Dokumentation enthält: Schulungsdatum, Themen, Dauer, Teilnehmerliste, Unterschrift oder digitale Bestätigung. Aufbewahrungsfrist: fünf Jahre ab Erstellung. Die Online-Plattform archiviert automatisch und erstellt Bescheinigungen nach DGUV-I 113-004.