Bundesamt für Sicherheit in der Informationstechnik

M 2.558 Sensibilisierung der Mitarbeiter zur Informationssicherheit bei Mobiltelefonen, Smartphones, Tablets und PDAs

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter Personal

Verantwortlich für Umsetzung: Personalabteilung, Vorgesetzte

Zusätzlich zur allgemeinen Schulung und Sensibilisierung zur Informationssicherheit (siehe M 3.5 Schulung zu Sicherheitsmaßnahmen und M 2.198 Sensibilisierung der Mitarbeiter für Informationssicherheit ) müssen Mitarbeiter, die Mobiltelefone, Smartphones, Tablets und PDA s einsetzen, für die besonderen Aspekte der Informationssicherheit bei diesen Geräten sensibilisiert werden. Für die Schulungs- und Sensibilisierungsplanung sind daher die Mitarbeiter, die diese Geräte nutzen, gesondert zu erfassen und entsprechend diesem Plan zu schulen und zu sensibilisieren.

Mobiltelefone, Smartphones, Tablets und PDA s sind durch ihre geringe Größe und den vergleichsweise hohen Preis besonders gefährdet, verloren oder gestohlen zu werden. Eine Erhebung der Pointsec aus dem Jahre 2005 in einem großen Chicagoer Taxiunternehmen mit 900 Taxen ergab, dass in einem Zeitraum von sechs Monaten 85619 Mobiltelefone und 21460 PDA s in den Fahrzeugen liegen gelassen worden sind. Mitarbeiter sind daher besonders darauf hinzuweisen, diese Geräte nicht aus den Augen zu lassen und bei einem Verlust umgehend angemessene Maßnahmen wie Ortung, Löschung und Sperrung der Geräte selbst bzw. durch den IT -Betrieb zu veranlassen.

Mit dem Verlust des Gerätes sind, wenn weitere Sicherheitsmaßnahmen fehlen, auch die Daten auf dem Gerät verloren. Heutige Endgeräte können Datenmengen im zweistelligen Gigabyte-Bereich speichern, was ausreichend Platz für vertrauliche Geschäftsdaten, Preiskalkulationen, Adressbücher und E-Mails bietet. Deswegen müssen Sicherheitsmaßnahmen ergriffen werden, wie z. B. die vollständige Verschlüsselung aller Daten auf dem Endgerät und die Sperrung des Gerätes durch ein Passwort, nachdem es mehrere Minuten nicht benutzt wurde. Erfahrungsgemäß werden solche notwendigen Maßnahmen von den Mitarbeitern kritisch gesehen, da der Aufwand bei der Nutzung der Endgeräte steigt. Daher müssen die Mitarbeiter für die hier genannte Gefährdung der Informationssicherheit sensibilisiert und in der zusätzlichen Sicherheitsmaßnahme geschult werden.

Mobiltelefone, Smartphones und Tablets können in der Regel auf das Internet und auf E-Mails zugreifen. Mitarbeiter müssen die damit verbundenen Gefahren kennen: Das Gerät kann mit Schadsoftware infiziert werden. Schützenswerte Daten können vom Gerät gestohlen bzw. das Gerät kann zum Abhören von Raumgesprächen (siehe G 5.95 Abhören von Raumgesprächen über Mobiltelefone ) und Telefonaten genutzt werden. Daher müssen die Geräte vor Schadsoftware geschützt werden, beispielsweise durch die Installation geeigneter Schutzsoftware. Zudem sollte überlegt werden, den gesamten Datenverkehr der Mobiltelefone, Smartphones oder Tablets über VPN durch einen Server der Institution zu leiten, um dort bereits Schadsoftware und Angriffe abzuwehren. Auch für diese Gefährdungen und die dadurch entstehenden Einschränkungen müssen die Mitarbeiter entsprechend sensibilisiert werden.

Da oft leichtfertig mit der Abhörgefahr im Telekommunikationsbereich umgegangen wird, sollten Institutionen prüfen, inwieweit die bisherigen Maßnahmen zur Aufklärung ihrer Mitarbeiter über Gefährdungen im Telekommunikationssektor ausreichen. Gegebenenfalls ist es angebracht, die Mitarbeiter regelmäßig über die Abhörgefahren zu informieren und damit auch zu sensibilisieren.

Die Mitarbeiter sollten auch darüber aufgeklärt werden, dass sie vertrauliche Informationen nicht ohne Weiteres telefonisch weitergeben sollten. Insbesondere sollte die Identität des Kommunikationspartners hinterfragt werden, bevor detaillierte Auskünfte gegeben werden (siehe G 3.45 Unzureichende Identifikationsprüfung von Kommunikationspartnern ). Bei der Benutzung von Mobiltelefonen sollten sie außerdem darauf achten, dass vertrauliche Mitteilungen nicht in der Öffentlichkeit besprochen werden. Dies gilt insbesondere auch bei Kurzmitteilungen, die von einer vermeintlich bekannten Nummer abgesendet wurden (siehe G 5.192 Vortäuschen falscher Anrufer-Telefonnummern oder SMS-Absender (Spoofing)). Werden über Kurzmitteilungen oder Chats vertrauliche Informationen angefragt, sollte immer durch einen Rückruf überprüft werden, ob die Anfrage wirklich vom vorgegebenen Kommunikationspartner stammt. Eine solche Überprüfung sollte auch stattfinden, wenn unerwartet von einer bekannten Nummer ein Dateianhang oder ein Link geschickt wurde.

Immer wieder kursieren spektakuläre, aber falsche Warnmeldungen (siehe G 5.80 Hoax ). Damit nicht wertvolle Arbeitszeit auf die Prüfung des Wahrheitsgehaltes solcher Nachrichten verschwendet wird, sollten alle Mitarbeiter schnellstmöglich über das Auftreten eines neuen Hoax informiert werden. Es gibt verschiedene Informationsdienste, die entsprechende Warnungen weitergeben.

Diese Sicherheitsmaßnahmen schränken den Komfort der Endgeräte in der Regel ein. So führt die vollständige Verschlüsselung zu einer längeren Wartezeit beim Einschalten des Gerätes, ein angemessenes Passwort laufend einzugeben, wird als störend empfunden und den kompletten Datenverkehr durch VPN durch einen Server der Institution zu leiten, führt zu längerer Wartezeit beim Surfen im Internet. Zudem erhöht jedes zusätzliche Sicherungsprogramm den Stromverbrauch und verkürzt damit die Akkulaufzeit. Diese Einschränkungen können daher dazu führen, dass die Mitarbeiter Sicherheitsmaßnahmen zu umgehen versuchen, weshalb im Rahmen der Sensibilisierung der Mitarbeiter besonders auf die Gefährdung der Informationssicherheit durch mobile Endgeräte wie Mobiltelefon, Smartphone oder Tablet eingegangen werden muss, damit die Maßnahmen auch dauerhaft wirksam sein können.

Prüffragen:

  • Werden die Mitarbeiter für die besonderen Gefährdungen der Informationssicherheit durch Mobiltelefone, Smartphones, Tablets und PDAs sensibilisiert?

  • Ist in der Sensibilisierungsplanung die Gruppe der Mitarbeiter mit Mobiltelefonen, Smartphones, Tablets und PDAs besonders berücksichtigt?

Stand: 14. EL Stand 2014

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK