Bundesamt für Sicherheit in der Informationstechnik

M 2.309 Sicherheitsrichtlinien und Regelungen für die mobile IT-Nutzung

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter, Leiter IT

IT-Systeme, die außerhalb der eigenen Institution eingesetzt werden, sind mehr Risiken ausgesetzt, als solche, die sich innerhalb geschützter Räumlichkeiten befinden. Trotzdem gibt es eine Vielzahl von Möglichkeiten, mobile IT-Systeme unterwegs zu schützen. Damit diese Möglichkeiten auch genutzt werden, sollte eine Sicherheitsrichtlinie erstellt werden, in der alle umzusetzenden Sicherheitsmechanismen beschrieben sind. Zusätzlich sollte für die Benutzer ein kurzes und übersichtliches Merkblatt für die sichere Nutzung von mobilen IT-Systemen erstellt werden.

Sensibilisierung der Benutzer

Je kleiner und leichter IT-Systeme werden, desto leichtfertiger wird erfahrungsgemäß damit umgegangen. Daher sollten Mitarbeiter für den Wert mobiler IT-Systeme und den Wert der darauf gespeicherten Informationen sensibilisiert werden. Da es bei mobilen IT-Systemen eine große Bandbreite von Varianten und Kombinationsmöglichkeiten gibt (von Handy über PDA zu Laptop mit WLAN-Schnittstelle), sollten sie vor allem über die spezifischen Gefährdungen und Maßnahmen der von ihnen benutzten Geräte aufgeklärt werden.

Die Mitarbeiter sollten auch darüber aufgeklärt werden, dass sie vertrauliche Informationen unterwegs nicht mit jedem austauschen und dies unterwegs auch nicht in Hör- und Sichtweite von Externen machen sollten. Insbesondere sollte die Identität des Kommunikationspartners hinterfragt werden, bevor detaillierte Auskünfte gegeben werden (siehe auch G 3.45 Unzureichende Identifikationsprüfung von Kommunikationspartnern ).

Regelungen zur Nutzung mobiler IT-Systeme

Ebenso sind bei der Nutzung von mobilen IT-Systemen diverse Punkte zu regeln:

  • Die Benutzer müssen darüber informiert sein, welche Informationen mit mobilen IT-Systemen unterwegs verarbeitet werden dürfen. Die Daten sollten dementsprechend klassifiziert sein, um Einschränkungen den Benutzern transparent zu machen (siehe auch M 2.217 Sorgfältige Einstufung und Umgang mit Informationen, Anwendungen und Systemen ). Dienstgeheimnisse dürfen nur dann auf mobilen IT-Systemen verarbeitet werden, wenn hierfür geeignete und freigegebene Sicherheitsmechanismen eingesetzt werden.
  • Daten, die ein hohes Maß an Sicherheit verlangen (z.B. Angebote, Konstruktionsdaten, Wirtschaftsdaten des Unternehmens) sollten stets verschlüsselt auf dem mobilen IT-System abgelegt werden.
  • Beim Einsatz mobiler IT-Systeme ist zu klären, ob mobile Mitarbeiter von unterwegs Zugriff auf interne Daten ihrer Institution erhalten.
    Falls dies vorgesehen ist, muss dieser Zugriff angemessen geschützt werden (siehe hierzu auch M 5.121 Sichere Kommunikation von unterwegs und M 5.122 Sicherer Anschluss von Laptops an lokale Netze ).
  • Es muss geklärt werden, ob diese auch für private Zwecke benutzt werden dürfen, beispielsweise für private Schreiben oder ein Spielchen nach Feierabend.
  • Die Benutzer sollten darauf hingewiesen werden, wie sie sorgfältig mit den mobilen IT-Systemen umgehen sollten, um einem Verlust oder Diebstahl vorzubeugen bzw. um eine lange Lebensdauer zu gewährleisten (z. B. Akkupflege, Aufbewahrung außerhalb von Büro- oder Wohnräumen, Empfindlichkeit gegenüber zu hohen oder zu niedrigen Temperaturen).
  • Die Verwaltung, Wartung und Weitergabe von mobilen IT-Systemen sollte geregelt werden.
  • Bei jedem Benutzerwechsel müssen alle benötigten Passwörter gesichert weitergegeben werden (siehe M 2.22 Hinterlegen des Passwortes ).

Mobile IT-Systeme sollten möglichst nicht unbeaufsichtigt bleiben. Falls ein mobiles IT-System in einem Kraftfahrzeug zurückgelassen werden muss, so sollte das Gerät von außen nicht sichtbar sein. Das Abdecken des Gerätes oder das Einschließen in den Kofferraum bieten Abhilfe. Ein mobiles IT-System stellt einen Wert dar, der potentielle Diebe anlocken könnte.

Werden mobile IT-Systeme in fremden Büroräumen vor Ort benutzt, so sind die Sicherheitsregelungen der besuchten Organisation zu beachten.

In fremden Räumlichkeiten wie Hotelzimmern sollten mobile IT-Systeme nicht ungeschützt ausliegen. Alle Passwort-Schutzmechanismen sollten spätestens jetzt aktiviert werden. Das Verschließen des Gerätes in einem Schrank behindert Gelegenheitsdiebe.

Entsorgung von Datenträgern und Dokumenten

Auch unterwegs gibt es häufiger Material, das entsorgt werden soll, schon alleine, damit das Gepäck noch tragbar bleibt. Während es aber innerhalb der eigenen Institution eingeübte Verfahren gibt, wie alte oder unbrauchbare Datenträger und Dokumente entsorgt werden (siehe auch M 2.13 Ordnungsgemäße Entsorgung von schützenswerten Betriebsmitteln ), ist dies unterwegs nicht immer möglich. Daher ist vor der Entsorgung ausgedienter Datenträger und Dokumente genau zu überlegen, ob diese sensible Informationen enthalten könnten. Ist dies der Fall, müssen die Datenträger und Dokumente im Zweifelsfall wieder mit zurück transportiert werden. Dies ist auch dann der Fall, wenn die Datenträger defekt sind, da Experten auch hieraus wieder wertvolle Informationen zurückgewinnen können. Auch Shredder-Einrichtungen in fremden Institutionen sollten mit Vorsicht betrachtet werden, da hier nicht unbedingt ersichtlich ist, wer die Entsorgung durchführt bzw. wie zuverlässig diese ist.

Nutzungsverbot von mobilen IT-Systemen

Es sollte überlegt werden, ob die Nutzung oder sogar das Mitbringen von mobilen IT-Systemen in allen oder bestimmten Bereichen einer Behörde oder Institution eingeschränkt werden sollte.

Dies kann z. B. für Besprechungsräume sinnvoll sein (siehe dazu beispielsweise M 5.80 Schutz vor Abhören der Raumgespräche über Mobiltelefone ). Wenn die Sicherheitsrichtlinie der Institution es nicht zulässt, dass mobile IT-Systeme mitgebracht werden, muss an allen Eingängen deutlich darauf hingewiesen werden. Dies sollte dann auch regelmäßig kontrolliert werden.

Prüffragen:

  • Existiert eine aktuelle Sicherheitsrichtlinie für die mobile Nutzung von IT -Systemen?

  • Wurden die Benutzer hinsichtlich des Schutzbedarfs mobiler IT -Systeme sowie der darauf befindlichen Daten sensibilisiert?

  • Wurden die Benutzer hinsichtlich der spezifischen Gefährdungen bzw. entsprechender Maßnahmen bei der Nutzung mobiler IT -Systeme sensibilisiert?

  • Sind die Benutzer darüber informiert, welche Art von Informationen auf mobilen IT -Systemen verarbeitet werden dürfen?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK