Bundesamt für Sicherheit in der Informationstechnik

B 5.14 Mobile Datenträger

Logo Mobile Datenträger

Beschreibung

In diesem Baustein werden die grundsätzlichen Sicherheitseigenschaften mobiler Datenträger betrachtet. Mobile Datenträger können eingesetzt werden für

  • den Datenaustausch (siehe Baustein B 5.2 Datenträgeraustausch ),
  • den Datentransport zwischen IT-Systemen, die nicht miteinander vernetzt sind, oder zwischen verschiedenen Lokationen (siehe z. B. B 5.8 Telearbeit ),
  • die Archivierung oder Speicherung von Sicherheitskopien (Backup), falls andere automatisierte Verfahren nicht zweckmäßig sind (siehe Bausteine B 1.4 Datensicherungskonzept und B 1.12 Archivierung ),
  • die Speicherung von Daten, die zu sensitiv sind, um sie auf Arbeitsplatzrechnern oder Servern zu speichern,
  • die mobile Datennutzung oder Datenerzeugung (z. B. MP3-Player, Digitalkamera, etc.).

Es gibt eine Vielzahl verschiedener Varianten von mobilen Datenträgern, hierzu gehören unter anderem Disketten, Wechselplatten (magnetisch, magneto-optisch), CD-ROM s, DVD s, Magnetbänder, Kassetten, USB-Festplatten und auch Flash-Speicher wie USB-Sticks. Durch diese Vielzahl an Formen und Einsatzgebieten werden nicht immer alle erforderlichen Sicherheitsbetrachtungen vorgenommen.

Datenträger können danach klassifiziert werden, ob sie nur lesbar, einmalig beschreibbar oder wiederbeschreibbar sind. Sie können auch nach weiteren Kriterien unterteilt werden, beispielsweise

  • nach der Art der Datenspeicherung: analoge oder digitale Datenträger
  • wie sie bearbeitet werden können: ohne technische Hilfsmittel, wie z. B. Papier, oder nur mit technischen Hilfsmitteln, wie z. B. Mikrofilme oder Tonbänder
  • nach ihrer Bauform: auswechselbare Datenträger, externe Datenspeicher oder Datenträger, die in andere Geräte integriert sind.

Auswechselbare Datenträger, teilweise auch als Wechselmedien bezeichnet, werden in ein Laufwerk eingelegt. Beispiele hierfür sind Disketten, CD-ROMs, DVDs, Magnetbänder und Kassetten. Externe Datenspeicher, wie beispielsweise USB-Sticks und externe Festplatten, können hingegen direkt an ein IT-System angeschlossen werden. Beispiele für Datenträger, die in anderen Geräten integriert sind, sind die Speicherkomponenten in Mobiltelefonen, MP3-Playern und Digitalkameras.

Neben den digitalen Datenträgern sind auch Informationen auf Papier, Mikrofilmen oder anderen analogen Datenträgern bei der Sicherheitskonzeption zu berücksichtigen. Dies betrifft insbesondere das Drucken, Kopieren und Einscannen von Dokumenten sowie die Nutzung von Fax-Diensten. Weitere Hinweise hierzu finden sich in den Bausteinen B 3.406 Drucker, Kopierer und Multifunktionsgeräte und B 3.402 Faxgerät .

In diesem Baustein wird einerseits aufgezeigt, wie die auf mobilen Datenträgern gespeicherten Informationen sicher genutzt werden können und andererseits wie einer unbefugten Weitergabe von Informationen über mobile Datenträger vorgebeugt werden sollte.

Gefährdungslage

Für den IT-Grundschutz bei der Nutzung von mobilen Datenträgern werden folgende typische Gefährdungen angenommen:

Höhere Gewalt

G 1.9 Datenverlust durch starke Magnetfelder
G 1.15 Beeinträchtigung durch wechselnde Einsatzumgebung

Organisatorische Mängel

G 2.2 Unzureichende Kenntnis über Regelungen
G 2.10 Nicht fristgerecht verfügbare Datenträger

Menschliche Fehlhandlungen

G 3.1 Vertraulichkeits- oder Integritätsverlust von Daten durch Fehlverhalten
G 3.3 Nichtbeachtung von Sicherheitsmaßnahmen
G 3.44 Sorglosigkeit im Umgang mit Informationen

Technisches Versagen

G 4.7 Defekte Datenträger
G 4.52 Datenverlust bei mobilem Einsatz

Vorsätzliche Handlungen

G 5.1 Manipulation oder Zerstörung von Geräten oder Zubehör
G 5.2 Manipulation an Informationen oder Software
G 5.4 Diebstahl
G 5.9 Unberechtigte IT-Nutzung
G 5.23 Schadprogramme
G 5.141 Datendiebstahl über mobile Datenträger
G 5.142 Verbreitung von Schadprogrammen über mobile Datenträger

Maßnahmenempfehlungen

Um den betrachteten Informationsverbund abzusichern, müssen zusätzlich zu diesem Baustein noch weitere Bausteine umgesetzt werden, gemäß den Ergebnissen der Modellierung nach IT-Grundschutz.

Für den sicheren Umgang mit mobilen Datenträgern sind eine Reihe von Maßnahmen umzusetzen, beginnend mit der Planung und Konzeption über die Beschaffung bis hin zur Notfallvorsorge. Die Schritte, die dabei durchlaufen werden sollten, sowie die Maßnahmen, die in den jeweiligen Schritten beachtet werden sollten, sind im folgenden aufgeführt.

Planung und Konzeption

Es sollte ein Konzept für den sicheren Umgang mit mobilen Datenträgern erstellt werden, in dem für die verschiedenen Arten von mobilen Datenträgern Risiken und Sicherheitsmaßnahmen aufgezeigt werden (siehe M 2.401 Umgang mit mobilen Datenträgern und Geräten ).

Beschaffung

Die Auswahl geeigneter Datenträger ist abzustimmen. Für die Entscheidung, welche Arten von Datenträgern eingesetzt werden, sollte M 4.169 Verwendung geeigneter Archivmedien berücksichtigt werden.

Betrieb

Basierend auf den jeweiligen Sicherheitsanforderungen sollten anhand von Einsatzszenarien Sicherheitshinweise für alle Mitarbeiter erstellt werden (siehe M 3.60 Sensibilisierung der Mitarbeiter zum sicheren Umgang mit mobilen Datenträgern und Geräten ).

Die Laufwerke und die Schnittstellen der IT-Systeme sollten gemäß den Sicherheitsvorgaben abgesichert werden (siehe M 4.4 Geeigneter Umgang mit Laufwerken für Wechselmedien und externen Datenspeichern ).

Aussonderung

Wenn Datenträger weitergegeben werden, sollten sie vor ihrer erneuten Verwendung oder Aussonderung physikalisch gelöscht werden, damit keine sensiblen Informationen in die falschen Hände geraten (siehe M 4.32 Physikalisches Löschen der Datenträger vor und nach Verwendung ).

Notfallvorsorge

Wichtige Informationen, die auf mobilen Datenträgern gespeichert sind, sollten noch an einer anderen Stelle gespeichert sein, um einem Verlust vorzubeugen.

Nachfolgend wird das Maßnahmenbündel für den Bereich "Mobile Datenträger" vorgestellt.

Planung und Konzeption

M 2.3 (B) Datenträgerverwaltung
M 2.218 (C) Regelung der Mitnahme von Datenträgern und IT-Komponenten
M 2.401 (C) Umgang mit mobilen Datenträgern und Geräten
M 4.34 (Z) Einsatz von Verschlüsselung, Checksummen oder Digitalen Signaturen

Umsetzung

M 4.32 (B) Physikalisches Löschen der Datenträger vor und nach Verwendung

Betrieb

M 3.60 (C) Sensibilisierung der Mitarbeiter zum sicheren Umgang mit mobilen Datenträgern und Geräten
M 4.4 (C) Geeigneter Umgang mit Laufwerken für Wechselmedien und externen Datenspeichern
M 4.200 (Z) Umgang mit USB-Speichermedien
M 4.232 (Z) Sichere Nutzung von Zusatzspeicherkarten

Aussonderung

M 2.306 (A) Verlustmeldung

Notfallvorsorge

M 6.38 (A) Sicherungskopie der übermittelten Daten

Stand: 11. EL Stand 2009

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK