Bundesamt für Sicherheit in der Informationstechnik

M 2.333 Sichere Nutzung von Besprechungs-, Vortrags- und Schulungsräumen

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter Organisation

Verantwortlich für Umsetzung: Benutzer, Leiter Organisation

Für die Nutzung dieser Räume sollte es in jeder Organisation feste Regeln geben. Diese sollte unter anderem Verhaltenshinweise genereller Art für die Benutzer umfassen, aber auch solche zur Benutzung sowohl fest installierter als auch mitgebrachter Geräte.

Dabei sollten unter anderem folgende Aspekte berücksichtigt werden:

  • Externe Teilnehmer von Besprechungen oder Schulungen sollten außerhalb der Besprechungs- und Schulungsräume nicht unbeaufsichtigt bleiben (siehe auch M 2.16 Beaufsichtigung oder Begleitung von Fremdpersonen ).
  • Es muss geklärt werden, unter welchen Rahmenbedingungen Externe mitgebrachte IT-Systeme wie Handys oder Laptops einsetzen dürfen.
  • Vorhandene Festnetz-Telefonanschlüsse müssen vor Missbrauch geschützt werden, beispielsweise indem die Anwahl externer Nummern nur nach einer Passwort-Eingabe möglich ist.
  • Im Raum sollten die Telefonnummern von Ansprechpartnern für Probleme wie IT-Support oder Schlüsselverwaltung ausgehängt oder ausgelegt sein. Die Ansprechpartner müssen jederzeit während der üblichen Bürozeiten erreichbar sein.
  • Wenn im Raum ein Beamer und weitere Geräte fest eingerichtet sind, müssen die erforderlichen Sicherheitsmaßnahmen zum Schutz dieser Geräte vor Diebstahl getroffen werden. Beispielsweise können diese mit Diebstahlsicherungen wie Stahlkabeln versehen werden. Auch verschließbare Schränke für Materialen sind sinnvoll.
  • Nach Ende jeder Veranstaltung sollte alles Material entfernt werden, das sensitive Informationen enthalten könnte. Daher sollte z. B. benutztes Flipchart-Papier mitgenommen und Tafeln gesäubert werden. Auch im Papierkorb gelandete Entwürfe dürfen nicht vergessen werden.
  • In Besprechungs-, Veranstaltungs- und Schulungsräumen sind häufig fest installierte IT-Systeme wie z. B. Schulungsrechner vorhanden. Hierfür ist folgendes zu beachten:
    • Die IT in Besprechungs- und Schulungsräumen muss entsprechend den Erfordernissen konfiguriert und administriert werden (siehe auch M 4.225 Einsatz eines Protokollierungsservers in einem Sicherheitsgateway ). Es ist festzulegen, wer für die Administration der Schulungsrechner zuständig ist. Außerdem müssen Ansprechpartner für immer wieder gerne auftretende Probleme benannt sein. Diese müssen auch kurzfristig helfen können.
    • In Räumen mit Schulungsrechnern sollte nichts mitgebracht werden dürfen, was die Funktionsfähigkeit der IT-Systeme beeinträchtigen könnte, also weder Getränke noch klebrige Pausenriegel. Das heißt dann auch, dass Kaffeepausen außerhalb des Raumes stattfinden müssen.
  • Es muss klare Regelungen für Zugriffe auf LAN- und TK-Schnittstellen aus Besprechungs- und Schulungsräumen geben.
  • Außerdem sollten Hinweise auf Fluchtwege und das richtige Verhalten bei Bränden nicht vergessen werden (siehe M 1.6 Einhaltung von Brandschutzvorschriften ).

Bei aufgetretenen Problemen wie fehlendem Papier für Flipcharts oder defekten Geräten sollten die zuständigen Ansprechpartner informiert werden, damit diese zeitnah behoben werden können.

Bei Besprechungs-, Veranstaltungs- und Schulungsräumen stehen grundsätzlich zwei Lösungen für den Verschluss solcher Räume im Widerspruch. Wird der Raum außer bei Benutzung ständig verschlossen gehalten, ist zwar die darin befindliche IT gut gegen eine Reihe von Gefährdungen geschützt, eine spontane Nutzung des Raumes ist allerdings nicht möglich. Ständig offene Besprechungs-, Veranstaltungs- und Schulungsräume hingegen sind zwar jederzeit nutzbar, zugleich ist aber das Risiko für die IT deutlich höher. Sie abzuschließen hat außerdem den Vorteil, dass die Einrichtung der Schulungsräume sich eher in dem gewünschten Zustand befindet. Aus Sicht der Informationssicherheit sind Besprechungs-, Veranstaltungs- und Schulungsräume also außerhalb der Nutzungszeit verschlossen zu halten. Gleichzeitig ist natürlich sicherzustellen, dass der Zutritt bei Bedarf angemessen rasch und einfach zu realisieren ist. Die Schlüssel für die Besprechungs-, Veranstaltungs- und Schulungsräume sollten von einer zentralen Stelle verwaltet werden (z. B. Pforte oder innerem Dienst).

In Besprechungs-, Veranstaltungs- und Schulungsräume gibt es meistens keine Möglichkeit, Unterlagen, IT-Systeme und ähnliches gesondert einzuschließen. Daher sollte es möglich sein, solche Räume zumindest dann, wenn alle Teilnehmer einer Veranstaltung den Raum verlassen, abzuschließen oder ihn durch einen internen Mitarbeiter beaufsichtigen zu lassen.

Prüffragen:

  • Ist festgelegt, unter welchen Bedingungen Externe mitgebrachte IT -Systeme einsetzen dürfen?

  • Sind die in den Räumen vorhandenen Gerätschaften ausreichend gegen Diebstahl gesichert?

  • Ist sichergestellt, dass in Besprechungs-, Veranstaltungs- und Schulungsräumen keine sensitiven Informationen zurückgelassen werden?

  • Ist festgelegt, wer für die Administration von IT -Systemen zuständig ist, die in Besprechungs-, Veranstaltungs- und Schulungsräumen sind häufig fest installiert sind?

  • Sind Regelungen für die Zugriffe auf LAN - und TK -Schnittstellen aus Besprechungs- und Schulungsräumen definiert?

  • Werden die Schlüssel für die Besprechungs-, Veranstaltungs- und Schulungsräume von einer zentralen Stelle verwaltet?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK