Bundesamt für Sicherheit in der Informationstechnik

M 3.82 Schulung zur sicheren Nutzung von TK-Anlagen

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT, Leiter Personal

Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter, Leiter IT

Für die korrekte und ihrer Bestimmung entsprechende Verwendung von Diensten und Geräten im Umfeld einer TK -Anlage ist eine Unterweisung der Benutzer notwendig. Zusätzlich sollten den Benutzern der TK-Anlage alle notwendigen Unterlagen zur Bedienung der entsprechenden Endgeräte wie die Bedienungsanleitung für das Telefon zur Verfügung gestellt werden. Mangelnde Sicherheit bei der Bedienung kann die Vertraulichkeit und die Integrität gefährden, aber auch dazu führen, dass nicht alle gegebenen Möglichkeiten bekannt sind und die Anlage nicht wie geplant genutzt wird. In diesem Zusammenhang ist es vorteilhaft, auch Ansprechpartner und Verantwortliche zu nennen. Generell ist auf die Einhaltung der Richtlinien und Regelungen zur Nutzung von TK-Anlagen hinzuweisen.

Zusätzlich ist es für alle Benutzer einer (klassischen) TK-Anlage wichtig, die Bedeutung der üblichen Warnanzeigen, -töne und -symbole der TK-Anlage zu kennen. Zu diesen zählen insbesondere:

  • Aufmerksamkeitston für direktes Ansprechen,
  • Aufschalte-Warnton,
  • Freisprechanzeige,
  • Anzeige für aktiviertes direktes Ansprechen,
  • Anzeige für automatischen Rückruf und
  • Anzeige/Einblendung bei Dreierkonferenz.

Die Warnanzeigen sollen eindeutige Hinweise geben, sobald auf unsichere Merkmale der TK-Anlage zurückgegriffen wird. Die Nutzung bestimmter, eigentlich nicht freigegebener Leistungsmerkmale (Beispiel: Zeugenschaltung) kann zu Beeinträchtigungen der Informationssicherheit führen. Daher sollten besonders deren Warnanzeigen und -töne bekannt sein. Ein wichtiges Beispiel ist ein Warnsignal in dem Fall, dass gerade eine Aufschaltung durch einen Dritten auf ein zurzeit geführtes Telefonat erfolgt.

Jedes auffällige Verhalten der TK-Anlage sollte den entsprechenden Verantwortlichen gemeldet werden und wenn möglich bis zur Klärung alternative Kommunikationskanäle verwendet werden. Bei Manipulationen an der TK-Anlage ist der IT -Sicherheitsbeauftrage oder der Datenschutzbeauftragte zu informieren.

Wichtig ist es, zusätzlich auf den Schutz der Endgeräte durch Passwörter oder PINs hinzuweisen, um zu verhindern, dass Unberechtigte auf vertrauliche, in den Endgeräten gespeicherte Informationen zugreifen können. Viele Endgeräte verfügen bereits über werksseitig eingestellte Standard-Passwörter, die bei der erstmaligen Inbetriebnahme durch den Benutzer geändert werden sollten.

Die Mitarbeiter sollten je nach Benutzergruppen unterschiedlich unterrichtet werden. Administratoren sollten Schulungen mit anderen Inhalten als die Benutzer erhalten. Bei allen kann die sichere Anwendung der geschulten Inhalte gezielt unterstützt werden. Dafür eignen sich unter anderem Einträge im Intranet, Informationsveranstaltungen, Handzettel zur Telefonnutzung für Anwender, Arbeitsanweisungen für das Wachpersonal oder Checklisten für Administratoren. Derartige Hilfsmittel sollten bereits zum Schulungszeitpunkt erstellt sein und gezielt mit einbezogen werden.

Neben klassischen Schulungen sind auch Schulungen mit Hilfe von webbasierten interaktiven Programmen im Intranet denkbar. Aktuelle Entwicklungen können auch mithilfe von Newslettern oder Rundbriefen und im Rahmen regelmäßiger Veranstaltungen wie Abteilungsbesprechungen kommuniziert werden.

Prüffragen:

  • Sind die Endgeräte der TK -Anlage so konfiguriert, dass eindeutige Hinweise gegeben werden, sobald unsichere Leistungsmerkmale verwendet werden?

  • Sind die Warnanzeigen, -töne und -symbole der TK -Anlage allen Mitarbeitern bekannt?

  • Werden die Mitarbeiter über die mit dem Benutzen einer TK -Anlage verbundenen Gefährdungen informiert?

  • Liegen an allen TK -Endgeräten die richtigen Bedienungsanleitungen vor?

Stand: 12. EL Stand 2011