Bundesamt für Sicherheit in der Informationstechnik

M 3.26 Einweisung des Personals in den sicheren Umgang mit IT

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT, Leiter Personal

Verantwortlich für Umsetzung: Personalabteilung, Vorgesetzte

Viele Sicherheitsprobleme entstehen durch fehlerhafte Benutzung bzw. Konfiguration der IT. Um solchen Problemen vorzubeugen, sind alle Mitarbeiter und alle externen IT-Benutzer in den sicheren Umgang mit der IT der Institution einzuweisen. Hierzu müssen alle Mitarbeiter entsprechend sensibilisiert und geschult werden (siehe auch M 3.5 Schulung zu Sicherheitsmaßnahmen und M 2.198 Sensibilisierung der Mitarbeiter für Informationssicherheit ).

Allen IT-Benutzern muss deutlich gemacht werden, welche Rechte und Pflichten sie bei der IT-Nutzung haben. Ihnen sollten spezifische Richtlinien an die Hand gegeben werden, was sie im Umgang mit der IT beachten müssen. In einer solchen Richtlinie ist zu beschreiben, welche Randbedingungen es beim Einsatz der betrachteten IT-Systeme gibt und welche Sicherheitsmaßnahmen zu ergreifen sind. Dabei sind die Benutzer klar und unmissverständlich darauf hinzuweisen, was sie auf keinen Fall machen dürfen. Diese Richtlinien sollten verbindlich, verständlich, aktuell und verfügbar sein. Um die Verbindlichkeit zu dokumentieren, sollten sie von der Behörden- bzw. Unternehmensleitung oder zumindest vom IT-Verantwortlichen unterzeichnet sein. Es empfiehlt sich auch, sie kurz und verständlich zu formulieren, sodass sie beispielsweise als Poster, Merkzettel, Flyer, Karteikarte oder Ähnliches verteilt werden können. Zusätzlich sollten sie im Intranet abrufbar sein.

Benutzerrichtlinien sollten grundsätzlich nur Regelungen enthalten, die auch umgesetzt werden können, und so positiv wie möglich formuliert werden. Beispielsweise könnte eine Benutzerrichtlinie statt

"Benutzer dürfen keine Software selbständig installieren."

so lauten:

"Alle IT-Systeme werden in einer Standardkonfiguration ausgeliefert, die auf Ihre spezifischen Arbeitsbedingungen angepasst wurde und Ihnen maximale Sicherheit bietet. Bei Problemfällen können wir Ihnen durch eine Neuinstallation der Standardkonfiguration eine schnelle Problemlösung garantieren. Bitte verändern Sie daher die Einstellungen möglichst nicht. Wenn Sie zusätzliche Hard- oder Software benötigen, wenden Sie sich bitte an den Benutzerservice."

Weitere Beispiele für Benutzerrichtlinien finden sich unter den Hilfsmitteln zum IT-Grundschutz.

Eine Benutzerrichtlinie für die allgemeine IT-Nutzung sollte mindestens die folgenden Punkte umfassen:

  • Hinweis, dass keine IT-Systeme oder IT-Komponenten ohne ausdrückliche Erlaubnis benutzt werden dürfen
  • Hinweis, dass nur diejenigen Mitarbeiter Informationen auf IT-Systemen ändern dürfen, die dazu autorisiert sind
  • Umgang mit Passwörtern (siehe M 2.11 Regelung des Passwortgebrauchs )
  • Nutzungsverbot nicht freigegebener Software (siehe M 2.9 Nutzungsverbot nicht freigegebener Hard- und Software )
  • Hinweis, dass dienstliche IT-Systeme nur für dienstliche Zwecke eingesetzt werden dürfen, beziehungsweise eine präzise Beschreibung möglicher Ausnahmen von dieser Regel, falls es sie gibt,
  • Hinweise zur sicheren Verwahrung und Aufstellung von IT-Systemen und Datenträgern
  • Schutz vor Computer-Viren und anderer Schadsoftware
  • Durchführung von Datensicherungen
  • Nutzung von Internet-Diensten

Neben solchen Richtlinien müssen klare Aussagen darüber vorliegen, welche Benutzer auf welche Informationen zugreifen dürfen, an wen diese weitergegeben werden dürfen und welche Maßnahmen bei einem Verstoß gegen diese Richtlinien unternommen werden.

Wenn ein Benutzer seinen Arbeitsplatz verlässt, sollte er sich davon überzeugen, dass jedes Arbeitsmittel (Dokumente, Datenträger, etc.) sicher verwahrt ist (siehe auch M 2.37 Der aufgeräumte Arbeitsplatz ). Alle IT-Systeme sollten durch Passwörter gegen unbefugten Zugriff geschützt sein. Bei unbeaufsichtigten IT-Systemen ist der Computer mindestens zu sperren.

Die Grundkonfiguration aller IT-Systeme sollte möglichst eingeschränkt sein. In der Standardkonfiguration von Arbeitsplatzrechnern sollten nur die Dienste vorhanden sein, die von allen Benutzern einer Gruppe benötigt werden (siehe auch M 4.109 Software-Reinstallation bei Arbeitsplatzrechnern ). Weitere Programme oder Funktionen dürfen nur dann aufgespielt bzw. freigeschaltet werden, wenn die Benutzer in deren Handhabung eingewiesen und für eventuelle Sicherheitsprobleme sensibilisiert wurden.

Jede Benutzerordnung sollte in Zusammenarbeit mit Vertretern aller beteiligten Gruppen erstellt werden, insbesondere sind Personalvertretungen und Datenschutz- sowie IT-Sicherheitsbeauftragte rechtzeitig zu beteiligen. Bei jeder Änderung einer Benutzerordnung ist darauf zu achten, dass die Betroffenen wieder im Vorfeld beteiligt werden. Die geänderte Benutzerordnung muss allen Benutzern bekannt gegeben werden.

Die Aufgabenbeschreibung sollte alle für die Informationssicherheit relevanten Aufgaben und Verpflichtungen enthalten. Dazu gehört u. a. die Verpflichtung auf die hausinternen Leitlinien zur Informationssicherheit (siehe auch M 2.198 Sensibilisierung der Mitarbeiter für Informationssicherheit ).

Werden IT-Systeme oder Dienste in einer Weise benutzt, die den Interessen der Behörde bzw. des Unternehmens widersprechen, sollte jeder, der davon Kenntnis erhält, dies seinen Vorgesetzten mitteilen.

Prüffragen:

  • Sind alle IT -Benutzer in den sicheren Umgang mit der IT der Institution eingewiesen worden?

  • Gibt es eine verbindliche, verständliche, aktuelle und verfügbare Richtlinie zur IT -Nutzung?

Stand: 14. EL Stand 2014