Bundesamt für Sicherheit in der Informationstechnik

M 2.430 Sicherheitsrichtlinien und Regelungen für den Informationsschutz unterwegs

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter

Verantwortlich für Umsetzung: Benutzer, IT-Sicherheitsbeauftragter

Nicht nur innerhalb der Räumlichkeiten einer Institution müssen Informationen angemessen geschützt werden, dies ist natürlich auch außerhalb erforderlich. Mitarbeiter müssen mit sensiblen Informationen auch auf Geschäfts- oder Privatreisen sorgfältig umgehen.

Es sollte eine Sicherheitsrichtlinie erstellt werden, in der beschrieben ist, was Mitarbeiter bei Geschäfts- oder Privatreisen beachten müssen. Diese kann auch in der Richtlinie für die sichere Nutzung mobiler IT-Systeme integriert sein (siehe M 2.309 Sicherheitsrichtlinien und Regelungen für die mobile IT-Nutzung ). Zusätzlich sollte für die Mitarbeiter ein kurzes und übersichtliches Merkblatt für das richtige Verhalten unterwegs erstellt werden.

Sensibilisierung der Benutzer

Die Mitarbeiter sollten darüber aufgeklärt werden, dass sie vertrauliche Informationen unterwegs nicht mit fremden Personen austauschen dürfen. Insbesondere sollte die Identität des Kommunikationspartners hinterfragt werden, bevor detaillierte Auskünfte gegeben werden (siehe auch G 3.45 Unzureichende Identifikationsprüfung von Kommunikationspartnern ). Vertrauliche Informationen sollten auch nicht in Hör- und Sichtweite von Externen diskutiert oder weitergegeben werden.

Weiterhin müssen die Mitarbeiter darüber informiert sein, welche Informationen unterwegs bearbeitet werden dürfen. Hierzu sollten die Informationen entsprechend klassifiziert sein, damit die Benutzer eventuelle Einschränkungen klar erkennen können (siehe auch M 2.217 Sorgfältige Einstufung und Umgang mit Informationen, Anwendungen und Systemen ).

Mitarbeiter sollten unter anderem über folgende Aspekte informiert werden:

  • Mitarbeiter müssen sich vor der Reise über die Sicherheitslage, Gebräuche und Gesetze des Reiselandes informieren. Hierbei sind beispielsweise die Länder- und Reiseinformationen des deutschen Auswärtigen Amts hilfreich.
  • Auf Reisen sollten möglichst keine sensiblen Informationen mitgeführt werden, die nicht unbedingt benötigt werden. Falls dies doch notwendig ist, sollten diese im Handgepäck mitgeführt werden. Das Gepäck sollte nie unbeaufsichtigt bleiben.
  • Sensible Informationen sollten nicht unbeaufsichtigt im Hotelzimmer, in Tagungs- oder fremden Büroräumen verbleiben. Das Verschließen des Gerätes in einem Schrank behindert Gelegenheitsdiebe. Hochschutzbedürftige Informationen sollten allerdings auch nicht in einem hoteleigenen Safe verwahrt werden.
  • Für die Kommunikation mit der eigenen Institution und Geschäftspartnern sollten nur gesicherte Verbindungen benutzt werden. Da E-Mails ebenso wie Festnetz- und Mobiltelefone überwacht sein könnten, sollte die Kommunikation möglichst mit einer Ende-zu-Ende-Verschlüsselung abgesichert werden, wenn hochschutzbedürftige Informationen weitergegeben werden. Auch bei fremden Faxanschlüsse ist Vorsicht geboten, da die zu übertragenden Dokumente auf dem Faxgerät gespeichert und später ausgedruckt, also kopiert werden könnten.
  • Mitarbeiter sollten misstrauisch werden, wenn sie sich unterwegs ungewöhnlich stark ausgefragt fühlen. Sie sollten niemals Gespräche mit Fremden über Reisezweck und Arbeitgeber führen.
  • Geschenke, die digitale Speicher enthalten, z. B. USB-Sticks, sollten mit besonderer Vorsicht behandelt werden, da diese Schadsoftware enthalten könnten. Die Annahme von Geschenken von Geschäftspartnern kann ohnehin problematisch sein, da Gegenleistungen erwartet werden könnten.

Entsorgung von Datenträgern und Dokumenten

Auch unterwegs gibt es häufiger Material, das entsorgt werden soll, schon alleine, damit das Gepäck noch tragbar bleibt. Während es aber innerhalb der eigenen Institution eingeübte Verfahren gibt, wie alte oder unbrauchbare Datenträger und Dokumente entsorgt werden (siehe auch M 2.13 Ordnungsgemäße Entsorgung von schützenswerten Betriebsmitteln ), ist dies unterwegs nicht immer möglich. Daher ist vor der Entsorgung ausgedienter Datenträger und Dokumente genau zu überlegen, ob diese sensible Informationen enthalten könnten. Ist dies der Fall, müssen die Datenträger und Dokumente im Zweifelsfall wieder mit zurück transportiert werden.

Weiterhin ist zu beachten, dass Experten auch von defekten Datenträgern unter Umständen wertvolle Informationen zurückgewinnen können. Solche Datenträger dürfen deshalb ebenfalls nicht einfach weggeworfen werden, wenn darauf schützenswerte Daten gespeichert sein könnten.

Auch Akten- und Datenvernichter ("Shredder") in fremden Institutionen sollten mit Vorsicht betrachtet werden, da hier nicht unbedingt ersichtlich ist, wer die Entsorgung durchführt bzw. wie zuverlässig diese ist.

Die Sicherheitsrichtlinie muss daher Regelungen enthalten, wie Mitarbeiter unterwegs mit ausgedienten Datenträgern und Dokumenten umgehen sollen.

Prüffragen:

  • Existiert eine Sicherheitsrichtlinie für den Informationsschutz unterwegs?

  • Ist jeder Mitarbeiter darüber informiert, was die wichtigsten Sicherheitsmaßnahmen bei Geschäfts- und Privatreisen sind?

  • Ist geregelt, wie Mitarbeiter unterwegs mit ausgedienten Datenträgern und Dokumenten umgehen sollen?

Stand: 13. EL Stand 2013