Bundesamt für Sicherheit in der Informationstechnik

G 2.17 Mangelhafte Kennzeichnung der Datenträger

Wenn Datenträger unzureichend gekennzeichnet sind, ist häufig bereits nach kurzer Zeit nicht mehr nachvollziehbar, wem der Datenträger gehört, welche Informationen darauf gespeichert sind oder welchem Zweck sie dienen. Beim Datenträgeraustausch ist ohne eine ordnungsgemäße Kennzeichnung der ausgetauschten Datenträger für den Empfänger oft nicht einmal feststellbar, wer den Datenträger übersandt hat oder ob Zugriffsrestriktionen zu beachten sind. Wenn mehrere Datenträger ein- und desselben Absenders eingehen, kann bei fehlender Kennzeichnung die Reihenfolge verwechselt werden.

Beispiele:

  • An das BSI werden häufig Freiumschläge gesandt, mit der Bitte um Zusendung von Broschüren oder CD s. Immer wieder kommt es dabei vor, dass weder im Anschreiben noch auf dem Rückumschlag eine Anschrift vermerkt ist.
  • Der Absender verschickt an den Empfänger eine DVD mit Informationen, bei denen großes Gewicht auf deren Integrität gelegt wird. Am nächsten Tag stellt der Absender fest, dass die Daten fehlerhaft waren, verschickt eine korrigierte Version und kündigt diese beim Empfänger telefonisch an. Auf dem Postweg überholt nun die zweite DVD die erste, so dass der Empfänger aufgrund mangelhafter Kennzeichnung glaubt, die zuerst erhaltene DVD enthielt die falschen Daten.
  • Vor einer Software-Änderung wurden wichtige Anwendungsdaten zur Datensicherung auf CD-ROM s gebrannt. Da dies als kurzfristige Aktion geplant war, wurden die CD-ROMs nicht ordnungsgemäß beschriftet, nur durchnummeriert. Obwohl darauf vertrauliche Kundendaten gespeichert waren, blieben die CD-ROMs nach der erfolgreichen Installation offen in einem Büro liegen. Als dies nach einigen Wochen auffiel, fehlte bereits die Hälfte der CD-ROMs.

Stand: 9. EL Stand 2007