Acceptable Use Policy – Strategie

Eine AUP wird häufig als bürokratische Formalität betrachtet – einmal aufgesetzt, dann abgelegt. Strategisch eingesetzt, ist sie das vertragliche Fundament für das gesamte Sicherheitsprogramm.

Die strategische Perspektive

Die Acceptable Use Policy ist die Schnittstelle zwischen dem technischen Sicherheitsprogramm und dem menschlichen Faktor. Sie definiert, was erwartet wird, was verboten ist und was bei Verstoss passiert. Ohne diese Klarheit ist Sicherheit ein technisches Projekt ohne organisatorische Verankerung – und jeder Vorfall wird zu einer Frage, die niemand beantworten kann.

AUP und Executable Compliance

Der größte strategische Hebel liegt in der Integration der AUP in den Onboarding-Prozess: Wenn jeder neue Nutzer – Mitarbeiter, Auftragnehmer, Praktikant – die AUP digital unterzeichnet und dies automatisch dokumentiert wird, entsteht lueckenloses Evidence ohne manuellen Aufwand. Das BAM-Objekt GOV-AUP-01 verbindet diesen Prozess mit den Audit-Anforderungen.

AUP im Zeitalter von KI-Tools und Shadow IT

Die größte Herausforderung für AUPs heute: Mitarbeiter nutzen KI-Tools (ChatGPT, Copilot), Cloud-Speicher und Messaging-Dienste, die nicht von der IT freigegeben sind. Eine AUP, die diese Realität nicht adressiert, ist lückenhaft. Die strategische Antwort ist kein Verbot aller nicht genehmigten Tools, sondern klare Regeln: Welche Datenkategorien dürfen in welche externen Dienste eingegeben werden? Diese Klarheit schützt die Organisation und gibt Mitarbeitern orientierung.

Den praktischen Einstieg – wie die AUP konkret aufgebaut und im Audit nachgewiesen wird – findet sich auf Ebene 2.