Bundesamt für Sicherheit in der Informationstechnik

M 2.36 Geregelte Übergabe und Rücknahme eines tragbaren PC

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, Benutzer

Laptops und andere tragbare IT-Systeme werden je nach Einsatzzweck nur von einem einzelnen Mitarbeiter eingesetzt, z. B. als Arbeitsplatzrechner, der auch mobil genutzt wird. Sie können aber auch abwechselnd von verschiedenen Mitarbeitern genutzt werden, z. B. für Präsentationen. Je nach Einsatzart ergeben sich verschiedene Sicherheitsanforderungen. Daher sollte Einsatzzweck und -art im Vorfeld sorgfältig geplant werden.

Bei der Nutzung als Arbeitsplatzrechner werden diese typischerweise abwechselnd mobil und stationär genutzt. Dabei kann auf verschiedene Netze zugegriffen werden. Dafür müssen die Laptops so abgesichert sein, dass auf der einen Seite durch den mobilen Einsatz weder wichtige Daten der Laptops kompromittiert, manipuliert oder verloren gehen können. Auf der anderen Seite dürfen über die Laptops keine Gefährdungen in die internen Netze eingeschleppt werden.

Wenn Laptops abwechselnd von verschiedenen Personen genutzt werden, ist eine geregelte Übergabe extrem wichtig. Damit dies gut funktioniert, sollte ein Laptop-Pool eingerichtet werden (siehe M 1.35 Sammelaufbewahrung tragbarer IT-Systeme ).

Bei der Übergabe und Rücknahme eines tragbaren IT-Systems sind folgende Punkte zu beachten:

Übergabe:

  • Der neue Benutzer wird aufgefordert, direkt bei der Übergabe das alte Passwort des Laptops bzw. das Standardpasswort zu ändern.
  • Dem neuen Benutzer sollte ein Merkblatt für den sicheren Umgang mit dem tragbaren IT-system übergeben werden.
  • Damit jederzeit nachvollziehbar ist, wo sich die Geräte befinden, sollte jeder Benutzer mit Namen, Organisationseinheit, Telefonnummer, Einsatzzweck in ein Übergabe-/Rücknahmejournal eingetragen werden.

Rücknahme bzw. Weitergabe:

  • Der Benutzer gibt sein zuletzt benutztes Passwort bekannt bzw. stellt ein Standardpasswort wie "LAPTOP" ein.
  • Der Laptop muss mittels eines aktuellen Viren-Suchprogramms auf einen Computer-Viren-Befall überprüft werden.
  • Der Benutzer muss sicherstellen, dass vor Übergabe des Gerätes sämtliche Daten, die der Benutzer noch benötigt, auf ihm zugängliche Datenträger (z. B. seinen PC) übertragen werden. Darüber hinaus hat der Benutzer dafür Sorge zu tragen, dass sämtliche von ihm erzeugten Dateien und Daten (nach Möglichkeit physikalisch) gelöscht werden. Hierfür müssen geeignete Tools vorhanden sein.
  • Die Rückgabe des Laptops und das Untersuchungsergebnis der Virensuche werden dokumentiert. Die Vollständigkeit des Gerätes, des Zubehörs und der Dokumentation ist sicherzustellen.
  • Um sicherzustellen, dass die definierte sichere Grundkonfiguration vorhanden ist und sich keine sensiblen Dateien mehr auf dem Laptop befinden, sollte der Laptop mit einer Referenzinstallation neu installiert werden (siehe hierzu M 4.28 Software-Reinstallation bei Benutzerwechsel eines Laptops ).
  • Zurückgegebene Datenträger werden neu formatiert.

Die vorgesehenen Einsatzarten der Laptops sind zu dokumentieren.

Prüffragen:

  • Sind alle sicherheitsrelevanten Aspekte bei der Übergabe und Rücknahme von tragbaren PC geregelt, wenn Laptops abwechselnd von verschiedenen Personen genutzt werden?

  • Wird mit dem tragbaren IT -Systemen ein Merkblatt für den sicheren Umgang ausgegeben?

Stand: 13. EL Stand 2013