Bundesamt für Sicherheit in der Informationstechnik

M 2.460 Geregelte Nutzung von externen Dienstleistungen

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung, IT-Sicherheitsbeauftragter, Leiter IT, Leiter Organisation

Verantwortlich für Umsetzung: Mitarbeiter

Über das Internet werden eine Vielzahl attraktiver Dienstleistungen angeboten, die nicht nur privat, sondern auch in der Arbeitswelt die Zusammenarbeit in Teams erleichtern oder Arbeitserleichterungen bringen. Hierzu gehören beispielsweise Webmail-Dienste, Gruppen-Terminkalender, Fernhilfesoftware, Internet-Textverarbeitungssysteme, Online-Officeprogramme, Adressbuch-Verwaltung, Datenspeicherung und vieles mehr. Viele dieser Dienste sind ohne großen Aufwand direkt nutzbar und können bei einer Vielzahl verschiedener Abläufe in einer Institution helfen.

Grundsätzlich sollte allen Mitarbeitern klar sein, dass sie nur von ihrer Institution freigegebene externe Dienstleistungen benutzen dürfen. Für die eigenmächtige Nutzung von externen Dienstleistungen gilt ebenso wie für die Installation nicht-freigegebener Software, dass hierdurch eine Vielzahl von Sicherheits- und Datenschutz-Problemen entstehen können (siehe G 3.105 Ungenehmigte Nutzung von externen Dienstleistungen ).

Die Mitarbeiter müssen über die Problematik und die Sicherheitsrisiken aufgeklärt werden, die die ungenehmigte Nutzung solcher Dienstleistungen mit sich bringen kann. Dies kann beispielsweise im Rahmen von geeigneten internen Veranstaltungen angesprochen werden, oder durch Hinweise im Intranet mit konkreten Beispielen aufgegriffen werden. In den Hilfsmitteln zum IT-Grundschutz findet sich ein Muster einer Mitarbeiterinformation über die unberechtigte Nutzung externer IT -Dienstleistungen, das als sinnvolle Grundlage für eine entsprechende Veröffentlichung dienen kann.

Generell sollte aber auch innerhalb der Institution nach Ursachen und Lösungen gesucht werden, wenn Mitarbeiter externe Dienstleistungen zur Arbeitsunterstützung nutzen wollen. Beispielsweise könnte überlegt werden, ob die interne IT-Abteilung eine vergleichbare Dienstleistungsqualität zur Verfügung stellen kann oder ein Nutzungsvertrag mit einem vertrauenswürdigen Anbieter geschlossen werden kann.

Prüffragen:

  • Ist die Nutzung von externen Dienstleistungen für alle Mitarbeiter transparent geregelt?

  • Ist allen Mitarbeitern bekannt, was bei der Nutzung von externen Dienstleistungen, z. B. Web-Mail-Diensten, zu beachten ist?

Stand: 12. EL Stand 2011

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK