Bundesamt für Sicherheit in der Informationstechnik

G 2.2 Unzureichende Kenntnis über Regelungen

Regelungen lediglich festzulegen sichert noch nicht, dass sie beachtet werden und der Betrieb störungsfrei ist. Allen Mitarbeitern müssen die geltenden Regelungen auch bekannt sein, vor allem den Funktionsträgern. Ein Schaden, der entsteht, weil bestehende Regelungen nicht bekannt sind, darf sich nicht mit den Aussagen entschuldigen lassen: "Ich habe nicht gewusst, dass ich dafür zuständig bin." oder "Ich habe nicht gewusst, wie ich zu verfahren hatte."

Beispiele:

  • Werden Mitarbeiter nicht darüber unterrichtet, wie sie korrekt mit mobilen Datenträgern und E-Mails umzugehen haben, besteht die Gefahr, dass hierüber Schadprogramme im Unternehmen bzw. in der Behörde verbreitet werden. Durch falsches Verhalten könnten auch vertrauliche Daten versehentlich in die Hände Unbefugter geraten.
  • In einer Bundesbehörde wurden farblich unterschiedliche Papierkörbe aufgestellt, von denen eine Farbe für die Entsorgung zu vernichtender Unterlagen bestimmt war. Die meisten Mitarbeiter waren über diese Regelung nicht unterrichtet.
  • In einer Bundesbehörde gab es eine Vielzahl von Regelungen zur Durchführung von Datensicherungen, die nach und nach mündlich zwischen dem IT -Sicherheitsbeauftragten und dem IT-Referat vereinbart worden waren. Eine Nachfrage ergab, dass die betroffenen Mitarbeiter die getroffenen "Vereinbarungen" nicht kannten und auch nicht wussten, wer ihr Ansprechpartner für Fragen der Datensicherung war. Die Regelungen waren auch nicht dokumentiert. Viele Benutzer haben darum z. B. von den lokalen Daten ihres Arbeitsplatzrechners keine Datensicherung angefertigt, obwohl nur auf den Servern kontinuierliche Datensicherungen zentral durchgeführt wurden.
  • In einem Rechenzentrum wurde als neue Regelung festgelegt, dass wegen Problemen mit der Einbruch- und Brandmeldeanlage die Pförtnerloge auch nachts besetzt werden sollte. Der Pförtnerdienst war jedoch über diese Regelung vom Sicherheitsverantwortlichen nicht informiert worden. Als Folge war das Rechenzentrum für mehrere Wochen nachts unzureichend geschützt.
  • In einer Institution existiert die Regelung, dass der Verlust eines Mobiltelefons sofort einer Leitstelle gemeldet werden muss, damit die SIM-Karte gesperrt werden kann. Einem Mitarbeiter war diese Regelung nicht bekannt. Er gab den Verlust erst Tage später nach seiner Rückkehr von einer Dienstreise an. In der Zwischenzeit wurden mit dem verlorenen Mobiltelefon jedoch diverse Premium-Dienste angerufen und Kurzmitteilungen an diese Dienste geschickt. Dadurch entstand ein erheblicher wirtschaftlicher Schaden.

Stand: 14. EL Stand 2014