Bundesamt für Sicherheit in der Informationstechnik

M 3.14 Einweisung des Personals in den geregelten Ablauf der Informationsweitergabe und des Datenträgeraustausches

Verantwortlich für Initiierung: Leiter Organisation

Verantwortlich für Umsetzung: Fachverantwortliche

Mitarbeiter müssen ausreichend darüber informiert werden, welche Rahmenbedingungen und Restriktionen bei der Informationsweitergabe einzuhalten sind (siehe M 2.45 Regelung des Datenträgeraustausches ). Wenn sie hierin nur unzulänglich eingewiesen werden, kann dies zu einer Vielzahl von Sicherheitsproblemen führen. Hierzu gehört beispielsweise, dass Mitarbeiter darüber informiert werden,

  • mit welchen Kommunikationspartnern welche Informationen ausgetauscht werden dürfen (siehe M 2.42 Festlegung der möglichen Kommunikationspartner ),
  • welche Arten von Datenträger für Datenträgeraustausch zulässig sind und wie diese abzusichern sind,
  • dass die Identität der Kommunikationspartners überprüft werden sollte, bevor vertrauliche Informationen weitergegeben werden.

Außerdem sind die prinzipiellen Schritte für den Ablauf eines Datenträgeraustausches zu fixieren und zu veröffentlichen, z. B. im Intranet. Die Mitarbeiter sind zur Einhaltung der Regelungen zu verpflichten.

Zusätzlich sollten die am Datenträgeraustausch beteiligten Mitarbeiter sensibilisiert werden, welche konkreten Gefährdungen vor, während und nach dem Transport bestehen. Dementsprechend sollten diese Mitarbeiter ausführlich mit den einzuhaltenden Sicherheitsmaßnahmen vertraut gemacht werden.

Bevor digitale Datenträger eingelesen werden, die im Postfach lagen, obwohl sie nicht erwartet wurden, sollte bei den angegebenen Absendern nachgefragt werden, ob sie die Datenträger wirklich geschickt haben (siehe auch M 2.224 Vorbeugung gegen Schadprogramme ). Bei unbekanntem Absender sollte das Sicherheitsmanagement informiert werden, wenn von der Leitungsebene keine anderen Regelungen für diesen Fall verabschiedet wurden.

Werden bestimmte IT-gestützte Verfahren zum Schutz der Daten während des Austausches eingesetzt (wie etwa Verschlüsselung oder Checksummen-Verfahren), so sind die dafür zuständigen Mitarbeiter in die Handhabung dieser Verfahren ausreichend einzuarbeiten.

Prüffragen:

  • Sind alle Mitarbeiter über die Regelungen für Informationsweitergabe und Datenträgeraustausch informiert?

Stand: 13. EL Stand 2013