Bundesamt für Sicherheit in der Informationstechnik

M 3.76 Einweisung der Benutzer in den Einsatz von Groupware und E-Mail

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Benutzer

Die Benutzer müssen vor dem Einsatz von Kommunikationsdiensten und Groupware-Applikationen wie E-Mail geschult werden, um Fehlbedienungen zu vermeiden und die Einhaltung der organisationsinternen Richtlinien zu gewährleisten. Insbesondere müssen sie hinsichtlich möglicher Gefährdungen und einzuhaltender Sicherheitsmaßnahmen, z. B. beim Versenden bzw. Empfangen von E-Mails, sensibilisiert werden. Es ist darauf hinzuweisen, dass ein abnormes Verhalten der Kommunikationssoftware gemeldet werden sollte.

Benutzer müssen darüber informiert werden, dass Dateien, deren Inhalt Anstoß erregen könnte, weder verschickt noch auf Informationsservern eingestellt werden noch nachgefragt werden sollten. Außerdem sollten Benutzer darauf verpflichtet werden, dass bei der Nutzung von Kommunikationsdiensten

  • die fahrlässige oder gar vorsätzliche Unterbrechung des laufenden Betriebes unter allen Umständen vermieden werden muss. Zu unterlassen sind insbesondere Versuche, ohne Autorisierung Zugang zu Netzdiensten,  welcher Art auch immer, zu erhalten, Informationen, die über die Netze verfügbar sind, zu verändern, in die individuelle Arbeitsumgebung eines Netzbenutzers einzugreifen oder unabsichtlich erhaltene Angaben über Rechner und Personen weiterzugeben.
  • die Verbreitung von für die Allgemeinheit irrelevanten Informationen unterlassen werden muss. Die Belastung der Netze durch ungezielte und übermäßige Verbreitung von Informationen sollte vermieden werden.
  • die Verbreitung von redundanten Informationen vermieden werden sollte.

Außerdem sollten Benutzer über folgende Punkte informiert werden:

  • Wenn eine E-Mail an mehrere Empfänger geschickt wird, werden diese oft ins "To"- oder " CC "-Feld eingetragen. Dies hat unter Anderem den Vorteil, dass eine E-Mail nur einmal versendet werden muss und jeder Empfänger sofort sehen kann, wer über den Inhalt informiert wurde. Oft ist es aber nicht sinnvoll, dass jeder Empfänger die komplette Empfängerliste sehen kann. Dies ist nämlich nicht nur für die Empfänger lästig, sondern kann auch aus Datenschutzgründen unerwünscht sein und es könnte dadurch auch Spam verursacht werden.
    Bei größeren Empfängerlisten sollte die E-Mail-Adressen statt unter "CC" unter " BCC " eingetragen oder Verteilerlisten benutzt werden. BCC steht für Blind Carbon Copy, hier eingetragene weitere Empfänger werden den anderen Empfänger nicht angezeigt.
  • Verteilerlisten müssen regelmäßig auf Korrektheit und Aktualität überprüft werden, damit keine E-Mails aufgrund fehlerhafter oder nicht aktueller Verteilerlisten an falsche Empfänger übertragen werden.
  • Die Benutzer sollten alle Regelungen der Institution rund um Kommunikation, Groupware und E-Mail kennen. Dazu gehört beispielsweise, wann und in welcher Form Signatures (Absenderangaben) einer E-Mail angefügt werden sollten.
  • Über E-Mail wird viel Schadsoftware transportiert. Benutzer sollten über die Gefahren von Schadsoftware und Verbreitungswege informiert sein. Sie sollten auch wissen, dass es trotz aller Sicherheitsmaßnahmen in einer Institution passieren kann, dass eingehende E-Mails bzw. deren Anhänge Schadsoftware enthalten können. Benutzer sollten daher keine E-Mails oder Anhänge öffnen, die ihnen in irgendeiner Form zweifelhaft erscheinen, also z. B. keine unerwarteten Anhänge.
  • Zur Vermeidung von Überlastung durch E-Mail sind die Mitarbeiter über potentielles Fehlverhalten zu belehren. Sie sollten dabei ebenso vor der Teilnahme an E-Mail-Kettenbriefen wie vor der Abonnierung umfangreicher Mailinglisten gewarnt werden.

Bei den meisten Groupware-Systemen werden die Informationen unverschlüsselt über offene Leitungen transportiert und können auf diversen Zwischenrechnern gespeichert werden, bis sie schließlich ihren Empfänger erreichen. Auf diesem Weg können Informationen leicht manipuliert werden. Aber auch der Versender einer E-Mail hat meistens die Möglichkeit, seine Absenderadresse (From) beliebig einzutragen, so dass man sich nur nach Rückfrage oder bei Benutzung von Digitalen Signaturen der Authentizität des Absenders sicher sein kann. In Zweifelsfällen sollte daher die Echtheit des Absenders durch Rückfrage oder - besser noch - durch den Einsatz von Verschlüsselung und/oder Digitalen Signaturen überprüft werden. Grundsätzlich sollten sich Benutzer bei E-Mail nicht auf die Echtheit der Absenderangabe verlassen.

Bei E-Mail werden schnelle Reaktionszeiten erwartet. Daher sollte mehrfach täglich der Posteingang überprüft werden. Bei längerer Abwesenheit sollte eine Vertretungsregelung getroffen werden, beispielsweise können eingehende E-Mails an einen Vertreter weitergeleitet werden (siehe auch M 2.274 Vertretungsregelungen bei E-Mail-Nutzung ).

Da in vielen Fällen nicht vorhergesagt werden kann, welchen E-Mail-Client ein E-Mail-Empfänger benutzt und welche Software und Betriebssysteme auf dem Transportweg eingesetzt werden, sollten die Benutzer wissen, dass sowohl bei der Übertragung als auch bei der Darstellung von Nachrichten und Anhängen beim Empfänger Probleme auftreten können. Dies tritt kann insbesondere bei der Verwendung ungewöhnlicher Zeichensätze oder Dateiformate, oder auch beim Einsatz veralteter E-Mail-Software auftreten.

Benutzer sollten auch wissen, dass E-Mails aus den verschiedensten Gründen nicht beim Empfänger ankommen. Vor allem bei zeitkritischen oder wichtigen E-Mails sollten sich die Absender nicht auf eine automatische Empfangsbestätigung verlassen. Besser sollte eine unabhängige Rückmeldung erfolgen, z. B. eine kurze E-Mail mit selbst formulierter Bestätigung.

Löschen von E-Mails

Benutzer müssen darüber informiert sein, dass eine E-Mail, die sie selber über ihre Mailanwendung gelöscht haben, dadurch meistens nicht unwiederbringlich gelöscht ist. Viele Mailprogramme löschen E-Mails nicht sofort, sondern transferieren sie in spezielle Ordner. Benutzer müssen darauf hingewiesen werden, wie sie E-Mails auf ihren Clients vollständig löschen können.

Daneben können E-Mails nach dem Löschen auf den Clients trotzdem noch auf Mailservern vorhanden sein. Viele Internet-Provider und Administratoren archivieren die ein- und ausgehenden E-Mails. Viele Mailanwendungen löschen E-Mails nicht, sondern verschieben sie in einen "Papierkorb"-Bereich, der dann ebenfalls gelöscht werden muss.

Die Benutzer müssen wissen, dass die Vertraulichkeit einer E-Mail nur durch Verschlüsselung gewährleistet werden kann, und dass sie sich nicht auf "schnelles Löschen" nach dem Empfang verlassen können. Dasselbe gilt genauso für andere Groupware-Anwendungen wie z. B. Terminkalender-Einträge.

Veröffentlichung der Regelungen

Alle Regelungen und Bedienungshinweise zum Einsatz von Groupware sollten den Mitarbeitern jederzeit zur Verfügung stehen, z. B. im Intranet.

Prüffragen:

  • Sind die Benutzer über Gefährdungen und einzuhaltende Sicherheitsmaßnahmen bei der Groupware-Nutzung sensibilisiert worden?

Stand: 12. EL Stand 2011

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK