Bundesamt für Sicherheit in der Informationstechnik

M 2.45 Regelung des Datenträgeraustausches

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT, Leiter Organisation

Verantwortlich für Umsetzung: Benutzer, Poststelle

Sollen zwischen zwei oder mehreren Kommunikationspartnern Datenträger ausgetauscht werden, so sind zum ordnungsgemäßen Austausch eine Reihe von Empfehlungen zu beachten.

Es muss eine geeignete Versandart festgelegt werden. Dabei sind insbesondere die Art der Datenträger und der Schutzbedarf der Informationen zu berücksichtigen.

Die Adressierung muss eindeutig erfolgen, um eine fehlerhafte Zustellung zu vermeiden. So sollte neben dem Namen des Empfängers auch die Organisationseinheit und die genaue Bezeichnung der Behörde bzw. des Unternehmens angegeben sein. Innerhalb einer Institution sollten Verzeichnisse der gebräuchlichsten Adressen gepflegt werden, damit möglichst aktuelle und korrekte Adressen der Empfänger verwendet werden.

Auch die Adresse des Absenders muss eindeutig und vollständig angegeben werden. Hierfür sollte innerhalb der Institution eine Vorgabe erstellt werden, die den Umfang und den Aufbau der Absender-Angabe einheitlich regelt.

Digitalen Datenträgern sollte (optional) ein Datenträgerbegleitzettel beigelegt werden, der folgende Informationen umfasst:

  • Absender,
  • Empfänger,
  • Art und Menge der Datenträger,
  • Seriennummer (soweit vorhanden),
  • Identifikationsmerkmal für den Inhalt des Datenträgers,
  • Datum des Versandes, gegebenenfalls Datum bis wann der Datenträger spätestens den Empfänger erreicht haben muss,
  • Hinweis, dass Datenträger auf Viren überprüft sind,
  • Parameter, die zum Lesen der Informationen benötigt werden, z. B. Bandgeschwindigkeit.

Jedoch sollte nicht vermerkt werden,

  • welches Passwort für die eventuell geschützten Informationen vergeben wurde,
  • welche Schlüssel für eine Verschlüsselung der Informationen verwendet wurde,
  • welchen Inhalt der Datenträger hat.

Der Versand des Datenträgers kann (optional) dokumentiert werden. Bei personenbezogenen oder anderen sensiblen Daten muss der Versand dokumentiert werden.

Der korrekte Empfang sollte überprüft werden. Bei Sendungen mit hochvertraulichen oder termingebundenen Inhalten sollten die Empfänger über die Absendung und den gewählten Transportweg informiert werden. Bei hohem Schutzbedarf empfiehlt es sich, den Empfänger um eine Empfangsbestätigung zu bitten.

Es sind jeweils Verantwortliche für den Versand und für den Empfang zu benennen. Ergeben sich Hinweise auf Manipulationen oder einen Verlust, ist sofort das Sicherheitsmanagement zu unterrichten.

Prüffragen:

  • Wird bei der Wahl der Versandart die Art der Datenträger und der Schutzbedarf der Informationen berücksichtigt?

  • Ist sichergestellt, dass der Versand personenbezogener oder anderer sensiblen Daten dokumentiert wird?

  • Sind die Verantwortlichkeiten für den Versand und den Empfang von Datenträgern geregelt?

Stand: 13. EL Stand 2013