Bundesamt für Sicherheit in der Informationstechnik

M 2.97 Korrekter Umgang mit Codeschlössern

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter

Verantwortlich für Umsetzung: Benutzer

Werden Schutzschränke mit mechanischen oder elektronischen Codeschlössern verwendet, so muss der Code für diese Schlösser geändert werden:

  • nach der Beschaffung,
  • bei Wechsel des Benutzers,
  • nach Öffnung in Abwesenheit des Benutzers,
  • wenn der Verdacht besteht, dass der Code einem Unbefugten bekannt wurde und
  • mindestens einmal alle zwölf Monate.

Der Code darf nicht aus leicht zu ermittelnden Zahlen (z. B. persönliche Daten, arithmetische Reihen) bestehen.

Die jeweils gültigen Codes von Codeschlössern sind aufzuzeichnen und gesichert zu hinterlegen (siehe M 2.22 Hinterlegen des Passwortes in analoger Anwendung). Zu beachten ist, dass eine Hinterlegung im zugehörigen Schutzschrank sinnlos ist.

Wenn der Schutzschrank neben einem Codeschloss ein weiteres Schloss besitzt, so ist abzuwägen, ob Code und Schlüssel gemeinsam hinterlegt werden, was im Notfall einen schnelleren Zugriff erlauben würde, oder getrennt hinterlegt werden, so dass es für einen Angreifer schwieriger ist, sich Zugriff zu verschaffen.

Prüffragen:

  • Gibt es Regelungen zur Änderung der Codes von Codeschlössern an Schutzschränken?

  • Werden bei der Auswahl der Codes keine leicht zu ermittelnden Zeichenfolgen verwendet?

  • Werden die gültigen Codes gesichert hinterlegt?

  • Schutzschrank mit Code und Schlüssel: Ist deren getrennte bzw. gemeinsame Aufbewahrung geregelt?

Stand: 13. EL Stand 2013