Bundesamt für Sicherheit in der Informationstechnik

M 2.9 Nutzungsverbot nicht freigegebener Hard- und Software

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung, IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Leiter IT

Es ist durchaus üblich, dass Mitarbeiter eigene Hard- und Software wie beispielsweise private Mobiltelefone, PDAs oder Kameras auch dienstlich oder zumindest in den Diensträumen verwenden. Da die Nutzung von zusätzlicher Hardware über Standardschnittstellen wie USB und weitgehende Plug-and-Play-Funktionalität immer einfacher wird, muss deren Einsatz geregelt werden. Die Informationssicherheit kann dabei beispielsweise durch externe USB-Speichermedien (z. B. Festplatten, Memory-Sticks) oder private PDAs beeinträchtigt werden.

Es muss daher geregelt sein, wie Hard- und Software abgenommen, freigegeben, installiert bzw. benutzt werden darf. Maßnahmen, die zu diesem Zweck umgesetzt werden sollten, sind z. B.: M 2.216 Genehmigungsverfahren für IT-Komponenten , M 2.62 Software-Abnahme- und Freigabe-Verfahren bzw. Baustein B 1.10 Standardsoftware und M 4.4 Geeigneter Umgang mit Laufwerken für Wechselmedien und externen Datenspeichern .

Das Einspielen bzw. Benutzen nicht freigegebener Hard- und Software muss verboten und außerdem durch technische Möglichkeiten soweit möglich verhindert werden. Bei den meisten Betriebssystemen kann dies durch Einschränkung der Benutzerumgebung erreicht werden. Damit soll verhindert werden, dass Programme mit unerwünschten Auswirkungen eingebracht werden. Zusätzlich soll verhindert werden, dass das System über den festgelegten Funktionsumfang hinaus unkontrolliert genutzt wird. Es kann sinnvoll sein (z. B. um Makro-Viren vorzubeugen), dieses Nutzungsverbot auch auf das Einspielen privater Daten auszudehnen.

Bei Software ist zu dokumentieren, welche Versionen ausführbarer Dateien freigegeben wurden (inklusive Erstellungsdatum und Dateigröße). Die freigegebenen Programme sind regelmäßig auf Veränderungen zu überprüfen.

Nutzungsverbote nicht freigegebener Hard- und Software sollten schriftlich fixiert werden, alle Mitarbeiter sind darüber zu unterrichten. Ausnahmeregelungen sollten einen Erlaubnisvorbehalt vorsehen.

Prüffragen:

  • Existiert eine Regelung zur Abnahme, Freigabe, Installation und Nutzung von Hard- und Software?

  • Wurden alle Mitarbeiter über das Verbot für die Nutzung nicht freigegebener Hard- und Software informiert?

  • Wird das Nutzungsverbot allen Mitarbeitern zur Kenntnis gebracht?

  • Bei Ausnahmeregelungen: Wird ein Erlaubnisvorbehalt vorgesehen?

  • Wird die Nutzung nicht freigegebener Hard- und Software technisch soweit möglich unterbunden?

  • Werden freigegebene Programme regelmäßig auf Veränderungen überprüft?

Stand: 13. EL Stand 2013