Bundesamt für Sicherheit in der Informationstechnik

M 2.393 Regelung des Informationsaustausches

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT, Leiter Organisation

Verantwortlich für Umsetzung: Fachverantwortliche, Mitarbeiter

Informationen können in unterschiedlichen Formen vorliegen. Meistens werden im Bereich des IT-Grundschutzes in Papierform vorliegende Informationen bzw. elektronisch erfasste Informationen betrachtet. Generell müssen alle Informationen angemessen geschützt werden, angefangen von Gedanken und Ideen über geschriebene und gedruckte Darstellungen bis zu elektronischen Nachrichten, Sprach-, Bild oder Videoaufzeichnungen.

Sollen zwischen zwei oder mehreren Kommunikationspartnern Informationen ausgetauscht werden, so sind zu deren Schutz eine Reihe von unterschiedlichen Aspekten zu beachten. Bei jeder Art von Informationsaustausch ist zunächst zu klären,

Hierfür sollten klare und verständliche Regelungen vorliegen, die alle Formen des Informationsaustausches abdecken, also zum Beispiel den mündlichen Austausch ebenso wie Datenaustausch per Datenträger, Mail, Fax, (Mobil-) Telefon oder Internet. Generell sollte sichergestellt sein, dass Informationen nicht in falsche Hände, Augen und Ohren gelangen können und sie nicht unbemerkt verändert werden können.

Allen Mitarbeitern sollte bewusst sein, dass sie dafür verantwortlich sind, interne Informationen angemessen zu schützen. Beispielsweise sollten Ideenskizzen auf Papier nicht in Besprechungsräumen liegengelassen werden, Projektplanungen nicht in öffentlichen Verkehrsmitteln oder im Restaurant diskutiert werden, Anrufern nicht ungeprüft Interna mitgeteilt werden. Schutzbedürftige Informationen sollten nicht unbeaufsichtigt an Druckern oder Faxgeräten ausgedruckt oder gar liegengelassen werden. Wandtafeln und Whiteboards in Besprechungs-, Schulungs- und Veranstaltungsräumen sollten am Ende der jeweiligen Sitzung gereinigt werden, benutzte Flipchart-Blätter sind gegebenenfalls zu entfernen. Mitarbeiter sollten regelmäßig auf solche Aspekte hingewiesen werden, beispielsweise über passende Erläuterungen und Veranschaulichungen im Intranet oder in der Hauszeitung.

Bei Kommunikationspartnern sollte regelmäßig überprüft werden, ob diese berechtigt sind, die jeweiligen Informationen zu erhalten. So könnte sich unter anderem die Firmenzugehörigkeit, die Post- oder E-Mail-Adresse oder die Faxnummer geändert haben und übermittelte Informationen so die Falschen erreichen. Bei einem Erstkontakt sollte zusätzlich die Identität des Gegenüber überprüft werden, da Visitenkarten auf beliebige Namen ausgestellt werden können. Daher ist es zu empfehlen, bei neuen Geschäftspartnern Rückfrage in deren Behörde oder Unternehmen zu halten oder Referenzen einzuholen.

Wie analoge und elektronische Informationen beim Informationsaustausch zu schützen sind, ist unter anderem ausführlich in den Bausteinen B 5.2 Datenträgeraustausch und B 5.3 Groupware beschrieben.

Prüffragen:

  • Sind Regelungen erstellt und bekanntgegeben worden, was beim Informationsaustausch zu beachten ist?

  • Sind alle Mitarbeiter für mögliche Gefährdungen beim Informationsaustausch ausreichend sensibilisiert?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK