Bundesamt für Sicherheit in der Informationstechnik

M 2.401 Umgang mit mobilen Datenträgern und Geräten

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, Benutzer

Über mobile Datenträger können je nach technischer Auslegung eine große Menge an Daten bei hohen Durchsatzraten ausgetauscht werden. Die Varianten von mobilen Datenträgern waren bis vor einigen Jahren auch noch durchaus überschaubar. Klassischerweise wurden nur auswechselbare Datenträger wie Disketten oder CD s für den Datenaustausch verwendet. Mittlerweile finden sich mobile Datenträger in einer Vielzahl von Varianten, die nicht immer auf den ersten Blick als solche zu erkennen sind. So gibt es beispielsweise Armbanduhren oder Musik-Abspielgeräte mit integriertem Datenspeicher. Die gängige Größe dieser integrierten Datenspeicher beginnt hier bei einigen hundert Megabyte und kann durchaus bis zu mehreren Gigabyte reichen.

Daher sollten für den Umgang mit Wechseldatenträgern und mobilen Geräten einige grundlegende Aspekte berücksichtigt werden. Es ist zu klären,

Es sollte außerdem geklärt werden, ob Mitarbeiter ihre privaten mobilen Datenträger und Geräte innerhalb der Institution benutzt werden dürfen, und auch umgekehrt, ob Mitarbeiter private Daten auf dienstlichen mobilen Datenträgern und Geräten speichern oder nutzen dürfen. Ebenso ist zu klären, ob die von Externen mitgebrachten mobilen Datenträger und Geräte innerhalb der Institution eingesetzt werden dürfen, beispielsweise um Dateien auszutauschen.

Je restriktiver die Sicherheitsvorgaben für den Umgang mit mobilen Datenträgern und Geräten sind, desto höher sind auch die Einschränkungen im Arbeitsalltag. Daher sollten alle Sicherheitsvorgaben daraufhin abgewogen werden, ob sie angemessen sind.

Die Vielzahl und Varianten von Datenträgern werden weiter zunehmen. Datenträger werden zunehmend "unsichtbar", da sie in anderen Geräten integriert werden. Es sollte regelmäßig überprüft werden, ob die Sicherheitsvorgaben für den Umgang mit mobilen Datenträgern und Geräten noch aktuell sind, angefangen damit, ob alle Varianten von derzeit gebräuchlichen Datenträgern noch erfasst sind.

Mobile Datenträger können leicht unterwegs verloren oder gestohlen werden. Daher sollten vertrauliche Informationen auf mobilen Datenträgern verschlüsselt werden. Am Besten sollten hierfür Produkte eingesetzt werden, die dafür sorgen, dass automatisch alle Daten, die auf mobilen Datenträger gespeichert werden, verschlüsselt werden (siehe auch M 4.29 Einsatz eines Verschlüsselungsproduktes für tragbare IT-Systeme ).

Alle IT-Systeme sollten mit einer Boot-Sperre versehen werden, die ein Starten von externen Medien wie Disketten, CD-ROM s oder USB-Sticks verhindert, damit hierüber nicht unkontrolliert Software eingespielt oder Konfigurationsänderungen vorgenommen werden können. Weitere Hinweise hierzu finden sich in der Maßnahme M 4.4 Geeigneter Umgang mit Laufwerken für Wechselmedien und externen Datenspeichern .

Die für die jeweilige Institution angemessene Vorgehensweise sollte dokumentiert und in einer Sicherheitsrichtlinie für die Mitarbeiter aufbereitet werden. Um die Risiken durch mobile Datenträger angemessen zu mindern, sind verschiedene technische Maßnahmen sinnvoll (siehe z. B. M 4.200 Umgang mit USB-Speichermedien oder M 4.232 Sichere Nutzung von Zusatzspeicherkarten ), aber nicht ausreichend. Es ist unerlässlich, die Mitarbeiter hierfür entsprechend zu sensibilisieren.

Prüffragen:

  • Ist die Nutzung privater mobiler Datenträger und IT -Komponenten geregelt?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK