Bundesamt für Sicherheit in der Informationstechnik

M 4.251 Arbeiten mit fremden IT-Systemen

Verantwortlich für Initiierung: Benutzer, IT-Sicherheitsbeauftragter, Vorgesetzte

Verantwortlich für Umsetzung: Benutzer

Häufig ist es erforderlich, auch unterwegs auf elektronische Informationen verschiedenster Art zugreifen zu können, z. B. um Terminkalender abgleichen zu können, E-Mails zu verschicken oder einzelne Dateien abrufen zu können. Hierfür ist es häufig das einfachste, fremde IT-Systeme oder Kommunikationsanbindungen zu benutzen, also beispielsweise

  • aus einem Internet-Cafe Dateien herunterzuladen,
  • in einem Büro einer besuchten Institution über deren PCs oder deren Intranet oder
  • über WLAN über einen Hotspot im Hotel auf das Firmennetz zuzugreifen.

Hierbei sollte sich aber jeder Benutzer darüber im Klaren sein, das dies fremd-administrierte IT ist und daher zusätzliche Sicherheitsmaßnahmen zu ergreifen sind. Es sollte immer davon ausgegangen werden, dass das Sicherheitsniveau der fremden Umgebung nicht bekannt ist und damit als niedrig eingeschätzt werden muss. Jeder Mitarbeiter sollte sich bewusst sein, dass fremde Rechner und fremde Umgebungen grundsätzliche höhere Sicherheitsrisiken darstellen. Selbst wenn das Sicherheitsniveau einen ausgezeichneten Eindruck macht, kann dies ein Trugschluss sein.

Beispielsweise kann die momentane Netzumgebung schlechter geschützt sein als der eigene Laptop, so dass damit Probleme wie z. B. Computer-Viren oder Trojanische Pferde importiert werden können. Es kann sich auch herausstellen, dass in einer besuchten Institution ein völlig anderes Verständnis von Sicherheit herrscht, so dass kein Konsens über Sicherheitsziele, Sicherheitsniveau und Sicherheitsmaßnahmen existiert.

In mobilen Netzen kann es passieren, dass die Netzteilnehmer ständig wechseln, also neue hinzukommen und andere das Netz verlassen. Damit ist es schwer, nachzuvollziehen, wer zu einem bestimmten Zeitpunkt ebenfalls in diesem Netz aktiv war. Mobile Netze sind dadurch anfällig für Angriffe, die unter Umständen nicht einmal nachvollziehbar sind, und alle Aussagen über ein vorhandenes Sicherheitsniveau sind sehr schwierig.

Bevor sich Benutzer in fremden Netzen anmelden oder Dienstleistungsangebote nutzen, sollten sie sich darüber Gedanken machen, wie vertrauenswürdig diese sind. Extrem günstige Angebote könnten speziell dazu eingerichtet worden sein, um Daten auf mobilen Endgeräte auszuspähen oder zu manipulieren. Beispielsweise könnte ein Angreifer einen kostenfreien Internet-Zugang oder WLAN-Zugang zur Verfügung stellen, um so auf einfache Weise die von dort übertragenen Daten mitlesen zu können.

Auch bei der Nutzung verhältnismäßig einfacher, überschaubarer Dienstleistungen müssen die Benutzer die unerlässliche Sorgfalt bewahren. Beispielsweise kann es unterwegs erforderlich sein, Ausdrucke vom Laptop aus anzufertigen. Dazu können dann etwas Druckdienste in Hotels, in Internetcafes oder Kopierläden genutzt werden oder auch auf die Drucker in einer besuchten Firma zugegriffen werden. Dabei werden allerdings mit dem Druckjob zumindest auch die gedruckten Informationen Externen zugänglich gemacht, nämlich den jeweiligen Dienstleistern. Die zu druckende Datei muss an den Drucker übertragen werden und wird dabei unter Umständen auf IT-Systemen zwischengespeichert. Ausdrücke können unbemerkt mehrfach angefertigt werden oder es kann schlicht Papier am Drucker liegen bleiben.

Daher sollten Benutzer folgende Empfehlungen beachten, bevor sie mit fremden IT-Systemen arbeiten oder Dienstleistungsangebote nutzen:

  • Sie sollten sich über vorhandene Sicherheitsmaßnahmen informieren.
  • Sie sollten sich genau überlegen bzw. sich an den Vorgaben und Regelungen für die mobile IT-Nutzung orientieren und fremde IT-Systeme oder Dienstleistungsangebote nicht für alle denkbaren Aktionen und Daten benutzen.
  • Sobald die Arbeit beendet wurde, sollten bei einem fremden Rechner grundsätzlich alle währenddessen entstandenen temporären Daten gelöscht werden. Dies ist allerdings meistens nicht einfach, da bei vielen Betriebssystemen temporäre Daten an einer Vielzahl von Stellen entstehen. Außerdem kann es bei fremden IT-Systemen auch vorkommen, dass die Zugriffsrechte ein Löschen aller entstandenen Daten nicht zulassen. Zumindest sollte der Zwischenspeicher (Cache) gelöscht werden.
  • Auf keinen Fall sollten Browser-Funktionen zur "Auto-Vervollständigung" von Benutzernamen und Passwörtern genutzt werden, damit nachfolgende Benutzer keine einfache Möglichkeit vorfinden, sich unter diesem Benutzernamen irgendwo anzumelden.

Prüffragen:

  • Sind alle Mitarbeiter darüber informiert, was sie bei der Nutzung fremder IT beachten sollten?

  • Wissen alle Mitarbeiter, dass sie bei fremden IT -Systemen nach Beendigung der Arbeiten grundsätzlich alle währenddessen entstandenen temporären Daten löschen müssen?

  • Wissen alle Mitarbeiter, dass sie auf keinen Fall Browser-Funktionen zur "Auto-Vervollständigung" oder Speicherung von Passwörtern nutzen dürfen?

Stand: 13. EL Stand 2013