Bundesamt für Sicherheit in der Informationstechnik

Hilfsmittel

Zusatzinformationen Externer

Stadt Xyz Stadtbauamt

-Dienstanweisung-

für die Nutzung von Arbeitsplätzen mit IT-Unterstützung

Xyz, den 15. August 2000

1. Zweck

Diese Dienstanweisung regelt die Nutzung von Arbeitsplätzen mit informationstechnischer (IT-) Unterstützung sowie die ordnungsgemäße Verarbeitung von Informationen im Hinblick auf die geltenden Bestimmungen des Datenschutzes sowie die gesetzlichen und betrieblichen Anforderungen an die Datensicherheit.

Die Verarbeitung und der Austausch von Daten sind im Stadtbauamt von zentraler Bedeutung. Auch in der Ausbildung nimmt die EDV-Unterstützung einen immer breiteren Raum ein.

Durch den IT-Einsatz wird auch das Ziel verfolgt, die Arbeitsplatzqualität zu erhöhen, den Zeitaufwand für die Erledigung von Routineaufgaben zu verkürzen, die Qualität der Arbeitsergebnisse zu steigern und den Austausch von Informationen - soweit erforderlich und zulässig - zu ermöglichen bzw. zu erleichtern.

Hierfür ist eine durchgängige IT-Unterstützung an nahezu jedem Arbeitsplatz im Stadtbauamt unerlässlich.

Grundsätzlich wird in allen Arbeitsbereichen des Stadtbauamtes Standardsoftware eingesetzt. Sofern für die Bearbeitung der jeweiligen Aufgaben keine geeignete Standardsoftware erhältlich ist, kommen Eigenentwicklungen in Betracht.

Die in dieser Dienstanweisung verwendeten Amts- und Funktionsbezeichnungen sowie die sonstigen personenbezogenen Bezeichnungen gelten für Frauen in der weiblichen und für Männer in der männlichen Sprachform.

2. Geltungsbereiche

Diese Dienstanweisung gilt für alle Arbeitsplätze mit IT-Unterstützung im techn. Netz des Stadtbauamts.

3. Rechtsgrundlagen

Die Möglichkeiten der unbefugten Einsichtnahme in vertrauliche Daten, der Datenzerstörung, des -diebstahls und der Verfälschung nehmen ständig zu. In Anbetracht der großen Zahl sensibler Daten von Dritten (z. B. AVA) ist daher ein disziplinierter und sorgfältiger Umgang mit dem Instrument EDV geboten.

4. Begriffe

Unter IT-Unterstützung wird jede Hilfe bei der Verarbeitung und Übertragung von Informationen verstanden, zu der Geräte der Datenverarbeitung (Hardware) zusammen mit Programmen (Software) eingesetzt werden.

Datenschutz ist die Gewährleistung des informationellen Selbstbestimmungsrechts des Betroffenen bei der Verarbeitung personen- /firmenbezogener Daten (z. B. Ausschreibungen). Jeder einzelne ist davor zu schützen, dass er durch die Verarbeitung personen- /firmenbezogener Daten in unzulässiger Weise in seinem Recht beeinträchtigt wird, selbst über die Preisgabe und Verwendung seiner Daten zu bestimmen.

Datensicherheit ist die Gesamtheit der technischen und organisatorischen Maßnahmen, die eine störungsfreie und gegen Missbrauch gesicherte Datenverarbeitung zum Ziel haben. Die Sicherheit von Daten und Programmen ist insbesondere dadurch zu gewährleisten, dass

  • der Zugriff zu Daten und Programmen nur berechtigten Personen möglich ist,
  • keine unberechtigte Nutzung oder Veränderung von gespeicherten Daten und Programmen erfolgt,
  • Daten und Programme nicht verfälscht werden,
  • die Verarbeitung der Daten und jede Veränderung der Programme dokumentiert wird und
  • die Daten und Programme vor Verlust geschützt werden und reproduzierbar sind

Unter dem Begriff Personal-Computer (PC) werden im folgenden alle Arbeitsplatzrechner verstanden; die Regelungen dieser Dienstanweisung sind auf solche Geräte sinngemäß anzuwenden.

5. Zuständigkeiten und Verantwortungsbereiche

Die Verantwortung für die ordnungsgemäße Verarbeitung der Daten im Hinblick auf die Anforderungen des Datenschutzes und der Datensicherheit obliegen im Stadtbauamt den Abteilungsleitern. Der jeweilige Leiter sichert durch Organisation und Kontrolle die Einhaltung der Vorschriften auf allen Ebenen der Einrichtung.

6. IT-Beauftragter (Administrator)

Die Amtsleitung benennt für das gesamte Stadtbauamt einen fachlich geeigneten und in die Organisation der jeweiligen Einrichtung eingebundenen IT-Beauftragten, der als Bereichs-Datenschutzbeauftragter und Betreuer für IT-Angelegenheiten tätig ist. Dabei ist eine Vertretung sicherzustellen und bei der Wahl der Person auch auf eine möglichst kontinuierliche Arbeit zu achten. Der IT-Beauftragte sorgt in seinem Zuständigkeitsbereich dafür, dass die Anforderungen des Datenschutzes und der Datensicherheit mit geeigneten und angemessenen Maßnahmen erfüllt werden, überwacht die Datenverarbeitung und betreut die IT-Anwender bzgl. Hard- und Netzwerktechnischen Fragen.

  • Zu den Aufgaben des IT-Beauftragten gehören insbesondere die Information der Leiter der Einrichtungen über Datenschutzangelegenheiten
  • der Aufnahme der an den einzelnen IT-Arbeitsplätzen installierten Geräte und Softwareprodukte (Standardsoftware und Eigenentwicklungen) in das zentrale Hard- und Software-Register; dies gilt insbesondere auch für jede Veränderung
  • der Aufbau und die Verwaltung des Servers
  • die Einrichtung und Verwaltung von Benutzerkennungen und Zugriffsrechten am dezentralen Server sowie Erstzuweisung von Passwörtern und Kontrolle eines regelmäßigen Passwortwechsels
  • die Einweisung der IT-Nutzer in den techn. Ablauf der eigenen Datensicherung, Überprüfung und ggf. einrichten von Maßnahmen zur Sicherung von Daten und Programmen der IT-Nutzer
  • die sichere Verwahrung und Verwaltung der zum Server gehörenden Datenträger
  • die Kontrolle der Installation der Hardware auf den PC-Arbeitsplätzen sowie des Zugangsschutzes zu den Systemen
  • die Umsetzung der Bestimmungen für die Benutzung der IT-Systeme
  • die Behebung von Störungen (First Level Support)
  • die Wiederherstellung von Daten und Programmen nach Fehlern und Störungen (bezogen auf Datenbestand/Programmbestand der sich auf dem Server befindet)
  • die Beratung und Unterstützung der IT-Nutzer in netzwerktechnischen Fragen (ausgenommen programmspezifische Fragen)
  • die Erarbeitung von Vorschlägen für die Verbesserung und Weiterentwicklung des Netzwerks und der IT-Anwendungen
  • die Planung des Hardwarebedarfs in Einbezug neuer Programme bzw. Programmupdates

Die Anschaffung von neuer Software für die einzelnen Arbeitsplätze erfolgt grundsätzlich nur in Absprache mit dem IT-Beauftragten. Erweiterungswünsche sind mit dem IT-Beauftragten abzustimmen.

7. IT-Nutzer

Jeder IT-Nutzer ist verantwortlich

  • für den ordnungsgemäßen Arbeitsablauf
  • für die Einhaltung aller Datenschutz- und Datensicherheitsbestimmungen der Verarbeitung personen- /firmenbezogener Daten
  • für den ausschließlichen Einsatz freigegebener, gültiger Programme (Lizenz)
  • für einen nachvollziehbar dokumentierten Aufbau eigener Verfahren, der ggf. eine Übernahme und Nutzung durch sachkundige Dritte ermöglicht
  • für die regelmäßige Erstellung von Sicherungskopien der Daten und ggf. Programme (Sicherung Server wird vom IT-Beauftragten durchgeführt), soweit kein anderes Verfahren vorgesehen ist
  • für den Schutz der IT-Systeme vor unbefugter, unsachgemäßer und missbräuchlicher Benutzung
  • für den ordnungsgemäßen Gebrauch von Passwörtern
  • für die Pflege der IT-Systeme (u. a. Reinigung)

8. Benutzungsbestimmungen

Die nachfolgenden Anleitungen gelten für die Nutzung von IT zur Lösung arbeitsplatzbezogener Fachaufgaben.

8.1 Grundsätze

  • Es dürfen nur dokumentierte, für den jeweiligen Arbeitsplatz freigegebene und gültige Programme eingesetzt werden. (Lizenzen!)
  • Das Einspielen von Software an Arbeitsplätzen darf nur in Zusammenarbeit mit dem IT-Beauftragten durchgeführt werden. Die Nutzung von nicht ordnungsgemäß lizenzierter oder privat beschaffter Software ist nicht zulässig.
  • Die zur Verfügung gestellte Hard- und Software darf nur für dienstliche Aufgaben eingesetzt werden. Änderungen und Erweiterungen an der Hardware dürfen nur vom IT-Beauftragten vorgenommen werden.
  • Die Nutzung privater IT-Geräte ist grundsätzlich unzulässig. Über Ausnahmen entscheidet der Leiter der Einrichtung im Einvernehmen mit dem IT-Beauftragten.
  • Personen- /Firmenbezogene Daten dürfen nur im zugelassenen Rahmen verarbeitet werden.
  • Die private Nutzung dienstlicher Daten ist nicht zulässig.
  • Jede Weitergabe von Programmen und Daten an Dritte ist nur im Rahmen der gesetzlichen Vorschriften und Lizenzbedingungen sowie nach ausdrücklicher Genehmigung des Abteilungsleiters gestattet.
  • Der Aufbau umfangreicher benutzereigener Verfahren ist nur im Einvernehmen mit dem IT-Beauftragten zugelassen. Die Verfahren sind so zu dokumentieren, dass ein sachverständiger Dritter in angemessener Zeit die Nutzung und Pflege der Programme übernehmen kann.
  • Die Installation der System- und Anwendungssoftware und jede Veränderung ist nur in Abstimmung mit dem IT-Beauftragten zulässig. Ist nicht auszuschließen, dass die zu installierenden Programme mit Computerviren behaftet sind, so ist vor der Installation der Software eine Überprüfung auf Virenbefall vorzunehmen.

8.2 Zugang

Alle für den Arbeitsplatz eingerichteten, servergestützten Anwenderfunktionen dürfen nur nach Passworteingabe aktiviert werden

8.3 Arbeitsablauf

  • Sofern schützenswerte Informationen verarbeitet werden und Dritte Zugang zum Arbeitsplatz haben können, sind Bildschirmschoner so einzustellen, dass bei Arbeitsunterbrechung nach einem Zeitintervall von max. 10 Minuten auf Bildschirmdunkelschaltung mit Passwortaktivierung umgeschaltet wird. Beim Verlassen des Arbeitsplatzes muss die Bildschirmdunkelschaltung mit Passwortaktivierung am PC manuell eingeschaltet werden.
  • Bei servergestützten Anwendungen ist der Dialog bei längerer Abwesenheit abzumelden, sofern dies nicht automatisch erfolgt.
  • Bei Dienstende sind die aktivierten Programme ordnungsgemäß zu beenden und - soweit keine andere dienstliche Regelung besteht - der PC auszuschalten.
  • Nach Abschluss der Arbeiten sind alle Ausdrucke aus dem Drucker zu entfernen.

8.4 Handhabung und Verwaltung von Datenträgern

  • Zur Sicherung von Daten und Programmen sind regelmäßig Kopien auf Datenträger (z. B. Magnetbandkassetten) zu erstellen.
  • Datenträger mit Programmen sowie bei Bedarf auch deren Sicherungskopien sind mit einem Schreibschutz zu versehen und vom IT-Beauftragten gesichert aufzubewahren. Sie sind nur von Berechtigten zu benutzen. Entsprechendes gilt für die Datensicherung des Servers.
  • Auf Datenträgern, die schützenswerte, nicht mehr benötigte Daten speichern, ist vor Wiederverwendung die Löschung der gespeicherten Daten durch vollständiges Überschreiben oder Formatieren vorzunehmen.
  • Datenträger sind mit Klebeetiketten eindeutig zu kennzeichnen. Die Beschriftung soll für interne Zwecke die Einrichtung, den Bearbeiter, den Inhalt und das Erstellungsdatum sowie ggf. den Namen des für die Sicherung verwendeten Programms aufweisen. Beim Versand von Datenträgern ist sicherzustellen, dass der Empfänger nur die für ihn bestimmten Daten erhält.
  • Das Einspielen von Datenträgern darf erst nach Überprüfung auf Virenbefall erfolgen.
  • Hinweis:
  • Andere gesetzliche Bestimmungen zum Datenschutz bzw. wettbewerbsrechtlichen Beitrag sind zu beachten.

9. Passwortschutz

Umgang mit Passwörtern (siehe auch Anlage 1):

  • Auf jedem PC ist ein BIOS-Passwort sowie ein Bildschirmschoner mit Passwortaktivierung einzurichten.
  • Bei servergestützten Anwendungen wird dem Benutzer auf der Grundlage eines Berechtigungskonzeptes für die vorgesehene Funktion vor der erstmaligen Nutzung vom IT-Beauftragten eine Benutzerkennung und ein Initialpasswort eingerichtet und persönlich mitgeteilt.
  • Beim erstmaligen Anmelden an einer Server-Anwendung ist das Initialpasswort durch ein persönliches Passwort zu ersetzen. Es darf keine Rückschlüsse auf seinen Besitzer zulassen und ist vertraulich zu behandeln.
  • Der IT-Beauftragte verwahrt die für den Betrieb wichtigen Passwörter (z. B. für BIOS und Systemverwalterkennung) und stellt den Zugang für seine Vertretung sicher.
  • Der IT-Nutzer teilt seine Passwörter - soweit erforderlich - seinem Vertreter mit. Dieser hat die Passwörter vertraulich zu behandeln.
  • Besteht der Verdacht, dass Unbefugte Kenntnis von einem Passwort erhalten haben, ist unverzüglich ein neues Passwort einzurichten. Darüber hinaus ist das Passwort in unregelmäßigen Zeitabständen - spätestens jedoch nach 3 Monaten - zu ändern, sofern das System nicht automatisch dazu auffordert.
  • Passwörter dürfen nicht unverschlüsselt in Dateien abgelegt werden.
  • Sämtliche schriftlichen Unterlagen, aus denen Rückschlüsse auf Zugangsmöglichkeiten zum System (z. B. Benutzerkennung, Passwort) gezogen werden können, sind sorgfältig und für Unbefugte unzugänglich aufzubewahren.

Xyz, den Montag, 29. Januar 2001

Stadtbauamt Stadt Xyz

Anlage 1

Hinweise für die Wahl eines guten Passwortes (Beispiel)

Zum Raten von Passwörtern durch Angreifer werden große Wortlisten benutzt. Die darin enthaltenen Wörter stammen aus diversen Wörterbüchern und Sammlungen. Bei der Auswahl eines Passwortes sollte darauf geachtet werden, dass es nicht leicht erratbar ist. Problematisch sind alle Passwörter, die von einem Angreifer ausprobiert werden, z. B:

  • Trivialkennwörter wie "ABC" oder Tastaturfolgen (z. B. "qwert" oder "asdfgh"),
  • Worte aus dem Sprachschatz (diverse Wörterbücher),
  • Worte aus anderen Sprachen (ebenfalls diverse Wörterbücher),
  • alle Arten von Namen (Personen, Städte, Gebäude, Comic-Figuren, ...),
  • persönliche Namen, die Namen von Familienangehörigen, Haustieren, Automarken und Autokennzeichen,
  • Rechnernamen, Benutzerkennungen oder Teile davon,
  • Geburtsdaten, Telefonnummern,
  • Abkürzungen,
  • Anfangsbuchstaben von bekannten Sprichworten/Liedern (z. B. amesads = "alle meine entchen schwimmen auf dem see", wrssdnuw = "wer reitet so spät durch nacht und wind").

Ebenso unbrauchbar sind Modifikationen dieser Worte durch z. B:

  • Anhängen oder Voranstellen einer Zahl oder eines anderen Zeichens (peter09, 7peter,.peter$, %peter, ...),
  • Rückwärtsschreiben (retep, reteP,...),

Damit ein Kennwort nicht durch vollständige Suche (d. h. automatisiertes Ausprobieren aller möglichen Kombinationen) ermittelt werden kann, sollte ein Passwort 8 Zeichen lang sein und möglichst immer aus einer Kombination von Buchstaben, Ziffern und Sonderzeichen bestehen.

Dabei sollte gelten:

  • nur höchstens zwei aufeinanderfolgende Zeichen sollen gleich sein,
  • mindestens ein Buchstabe, eine Ziffer und ein Sonderzeichen sollen im Kennwort enthalten sein.

Ein gutes Passwort ist z. B. "nd2@6e$f" (aber bitte nicht benutzen!!)

Wird ein Passwort längere Zeit verwendet, so steigt damit auch die Wahrscheinlichkeit, dass das Passwort (oder Teile davon) anderen Benutzern bekannt wird. Die Passwörter müssen daher in regelmäßigen Abständen geändert werden. Zu kurze Intervalle können allerdings dazu führen, dass sich die Benutzer ein Schema zur Generierung neuer Passwörter überlegen (etwa die Monatsnummer bei monatlichem Wechsel). In diesem Zusammenhang hat es sich als zweckmäßig erwiesen, Passwörter alle 3 Monate zu wechseln. In vielen Systemen ist es möglich, den Benutzer nach einer vorgebbaren Zeit automatisch zur Wahl eines neuen Passwortes aufzufordern.

Anlage 2

Laufwerkszuordnung:

Die Laufwerkszuordnung teilt sich folgender maßen auf:

Lokale Laufwerke / Laufwerke auf dem Server

Die Lokalen Laufwerke sind für den alltäglichen Betrieb gedacht. Eine Sicherung der lokal gespeicherten Daten erfolgt nicht automatisch.

Die Server-basierenden Laufwerke sind gedacht, um die tägliche Arbeit zu sichern. Das Netzwerk des Stadtbauamtes ist so eingestellt, dass jede Nacht um 22.00 Uhr eine Komplettsicherung des Servers gestartet wird. Somit ist eine kurzfristige Wiederherstellung der Daten möglich. Im Extremfall würde z. B. bei einer Fehlbedienung des Programms oder Systemabsturz die Arbeit von einem Tag verloren gehen.

Benutzer im Netzwerk des Stadtbauamtes:

1.USER1= Name 1
2.USER2= Name 2
3.USER3= Name 3
4.USER4= Name 4
5.USER5= Name 5
6.USER6= Name 6
7.USER7= Name 7
8.USER8= Name 8
9.USER9= Name 9
10.USER10= Name 10
11.USER11= Name 11
12.USER12= Name 12
13.USER13= Name 13
14.USER14= Name 14

Die Laufwerke sind wie folgt angelegt:

LW A:\lokales Disketten-Laufwerk
C:\
D:\
E:\
lokale Laufwerke (Daten werden nicht automatisch gesichert)
K:\Benutzerdefiniertes Laufwerk (Server) zur Speicherung der Daten.
Jeder Benutzer hat sein eigenes LW K:\, auf das auch nur er Zugriffsrechte hat.
L:\Gruppenlaufwerk (Server):
Die einzelnen Gruppen setzen sich wie folgt zusammen:
Server_Bauamt\\group\tief> Tiefbau USER7+USER15
Server_Bauamt\\group\verm> Vermessung USER3+USER4
Server_Bauamt\\group\Hochbau> Hochbau USER6+USER8
Server_Bauamt\\group\Planung> Planung USER5+USER13+USER14
Server_Bauamt\\group\Strassenunterhalt> Str.Unterhalt USER9+USER10
V:\Allg. Laufwerk (Server) auf das alle Benutzer zugreifen können
Dieses Laufwerk V: kann zum Datenaustausch der Gruppen und der einzelnen Benutzer genutzt werden.

Je nach Bedarf können weitere Laufwerke in Abstimmung mit dem Netzwerkadministrator eingerichtet werden.

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK