IT Sicherheit von Mitarbeiter missachtet

[Monsti]

Hallo zusammen,

in meinem neuen Unternehmen bin ich seit kurzem leitende Führungskraft. Heute ist es zu einem Sicherheitsvorfall durch eine andere Abteilung gekommen. So wie es momentan aussieht ist nichts passiert. Allerdings können wir genau nachvollziehen von wem und in welchem Umfang der Vorfall stattgefunden hat. Wie würdet ihr vorgehen? Ich habe bereits meine IT Abteilung infortmiert und unser Netzwerteam untersucht den Vorfall.

 

Es geht mir jetzt hierbei darum, wie ich mich gegenüber dem Mitarbeiter verhalten soll. Mündlich ermähnen, an die GF weiterleiten oder ihm direkt eine Abmahnung aussprechen. Was würdet ihr tun?

 

Danke für eure Hilfe!

[_n4p_]

Wenn es ne andere Abteilung war, dann den zuständigen Abteilungsleiter informieren. Je nach gelebter oder gewollter Hierarchie die GF gleichzeitig informieren. Und das auch nicht nach dem Motto: Der X hat Y getan!!einself! Sondern erklären was passiert ist, wie es dazu kommen konnte und wie das in Zukunft verhindert werden kann. Wenn es kein direkt unterstellter MA war, würde ich eventuelle disziplinarische Maßnahmen der GF und dem zuständigen direkten Vorgesetzten überlassen.

P.S.: je nachdem ist auch der Datenschutzbeauftragte zu informieren.

Bearbeitet 30. Oktober 2020 von _n4p_

[tkreutz2]

vor 24 Minuten schrieb Monsti:

Hallo zusammen,

Es geht mir jetzt hierbei darum, wie ich mich gegenüber dem Mitarbeiter verhalten soll. Mündlich ermähnen, an die GF weiterleiten oder ihm direkt eine Abmahnung aussprechen. Was würdet ihr tun?

Danke für eure Hilfe!

Ich würde vielleicht mal über die Erarbeitung eines Maßnahmenkatalogs nachdenken. Klingt zwar staubtrocken und Bürokratisch, macht aber durchaus Sinn.

https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKompendium/bausteine/DER/DER_2_1_Behandlung_von_Sicherheitsvorfällen.html

Natürlich muss man solche Kataloge in Umfang und Ausgestaltung immer an sein eigenes Umfeld anpassen.

Bearbeitet 30. Oktober 2020 von tkreutz2

[eneR]

vor einer Stunde schrieb Monsti:

Was würdet ihr tun?

Die Zuständigkeit prüfen bevor ich mir überlege, welche Art von Strafe ich hier raushauen möchte. 

[charmanta]

Ohne zu wissen was passiert ist kann hier niemand sagen ob das ne Abmahnung wert ist oder nicht. Da Du erst frisch Führungskraft bist würde ich fas GF überlassen, Du meldest nur, prüfst aber, ob personenbezogene Daten gefährdet waren und empfiehlst im Zweifel Meldung an die Aufsicht

[pr0gg3r]

Was man auch bei allen Maßnahmen beachten sollte ist, ob die Person mutwillig oder "nur" fahrlässig aufgrund von mangelndem Wissen gehandelt hat.

[Rabber]

Meine Erfahrung ist, dass gute Führungskräfte dadurch auffallen, dass sie aus Fehlern lernen und dafür sorgen, dass diese in Zukunft vermieden werden. Das ist für mich die viel zitierte und ebenso häufig missverstandene Verantwortung, die gerne ins Feld geführt wird.

Man übernimmt als Führungskraft nicht die Verantwortung dafür, dass man selbst oder jemand anderes den Hut nimmt, wenn etwas schiefgeht. Man übernimmt die Verantwortung dafür, dass es in Zukunft besser läuft.

[Maniska]

Am 30.10.2020 um 15:25 schrieb Monsti:

Heute ist es zu einem Sicherheitsvorfall durch eine andere Abteilung gekommen.

Keiner von deinen Leuten, nicht deine Baustelle was disziplinarische Maßnahmen angeht.

Wenn bei mir ein Abteilungsleiter einer anderen Abteilung am Tisch HB-Männchen spielen würde, würde ich zu meinem Abteilungsleiter gehen und fragen was der Mist soll. Damit eskaliert die ganze Geschichte noch mal unnötig, was egal wie es ausgeht dich in einem schlechten Licht erscheinen lässt. (Möglichkeit 1: GF und anderer Abteilungsleiter sehen das nicht ganz so kritisch wie du, dem MA passiert nichts von dem was du ihm angedroht hast -> Schaumschläger; Möglichkeit 2: Es passiert genau das was du angedroht hast -> hält sich nicht an Hierarchieebenen)

Geh zum anderen Abteilungsleiter und nimm wenn nötig den DSB mit, lass den mit deinem MA klären wie es dazu kam und welche Konsequenzen das hatte (interne Alarme, ggf. Datenschutzvorfall), hätte haben können (wenn wirklich "etwas" passiert wäre) und was die arbeitsrechtlichen Konsequenzen für den MA daraus gewesen wären.

Und DU fasst dich an die eigene Nase und schaust, warum ein MA überhaupt die technische Möglichkeit dazu gehabt hat, ob das so gewünscht ist bzw welche technischen Vorkehrungen getroffen werden können damit so was nicht mehr (so einfach) passieren kann.

Mit Konzept zur GF, erläutern was passiert ist (nicht wem!!! auch nicht auf Nachfragen , das ist Sache das anderen Abteilungsleiters) was man dagegen tun kann (eben dein Konzept) , was es kostet und welchen Komfortverlust das ggf bedeutet. Die Entscheidung Hopp oder Topp trifft dann die GF.

[Monsti]

Danke an alle! Ich habe mit meiner Geschäftsführung gesprochen und jetzt ist alles geklärt. Er bekommt keine Abmahnung, aber eine Ermahnung,