Bundesamt für Sicherheit in der Informationstechnik

INF.10 Besprechungs-, Veranstaltungs- und Schulungsräume

Schnell zum Abschnitt

1 Beschreibung

1.1 Einleitung

In der Regel hat jede Institution einen oder mehrere Räume, in denen Besprechungen, Schulungen oder sonstige Veranstaltungen durchgeführt werden können. Hierfür sind oft speziell ausgestattete Räume vorgesehen. Besprechungs-, Veranstaltungs- und Schulungsräume zeichnen sich im wesentlichen dadurch aus, dass sie von wechselnden Personen bzw. Personenkreisen und Besuchern sowie in der Regel nur für einen begrenzten Zeitraum genutzt werden. Mitgebrachte IT-Systeme werden dabei häufig gemeinsam mit Geräten der Institution betrieben, wie beispielsweise fremde Laptops an fest verbauten Projektoren. Aus diesen unterschiedlichen Nutzungsszenarien heraus ergibt sich eine Gefährdungslage, die kaum mit denen anderer Räume vergleichbar ist.

1.2 Zielsetzung

Ziel des Bausteins ist der Schutz der Informationen, die in Besprechungs-, Veranstaltungs- und Schulungsräumen bearbeitet werden, sowie der IT-Geräte, die in diesen Räumen betrieben werden. Außerdem wird der richtige Umgang mit Besuchern, die entsprechende Räume nutzen, behandelt.

1.3 Abgrenzung

Dieser Baustein betrachtet alle technischen und nicht-technischen Sicherheitsaspekte zur Nutzung von Besprechungs-, Veranstaltungs- und Schulungsräumen. Detaillierte Empfehlungen, wie die IT-Systeme in diesen Räumen konfiguriert und abgesichert werden können, werden nicht im Rahmen dieses Bausteins behandelt, diese sind in SYS.2.1 Allgemeiner Client sowie den betriebssystemspezifischen System-Bausteinen zu finden. Weitere für Besprechungsräume typische Aspekte wie z. B. WLAN oder Videokonferenzanlagen werden in den Bausteinen der Schichten NET.2 Funknetze oder NET.4 Telekommunikation betrachtet. Die Verkabelung in diesen Räumen wird in dem Baustein INF. 3 Elektrotechnische Verkabelung und INF.4 IT-Verkabelung gesondert berücksichtigt. Anforderungen zum Brandschutz sind im Baustein INF.1 Allgemeines Gebäude zu finden.

2 Gefährdungslage

Folgende spezifische Bedrohungen und Schwachstellen sind für den Bereich der Besprechungs-, Veranstaltungs- und Schulungsräumen von besonderer Bedeutung:

2 1 Fehlende oder unzureichende Regelungen

Wenn z. B. Mitarbeiter die Fenster und Türen nach Verlassen des Raumes nicht schließen oder vertrauliche Informationen von einem Whiteboard oder Flipchart nicht entfernt werden, können so sensible Informationen von unberechtigten Personen eingesehen werden. Generell sollten daher den Mitarbeitern entsprechende Regelungen an die Hand geben werden, sodass entsprechende Sicherheitslücken nicht auftreten können. Regelungen lediglich festzulegen sichert aber noch nicht, dass sie auch beachtet werden und der Betrieb störungsfrei ist. Viele Probleme entstehen auch, wenn die Regelungen vorhanden, aber nicht bekannt sind. Oft wissen z. B. die Mitarbeiter nicht, dass Fenster und Türen nach Besprechungen verschlossen werden müssen und wie mit einem genutzten Flipchart umzugehen ist.

2 2 Inkompatibilität zwischen fremder und eigener IT

IT-Systeme werden immer mobiler und werden zunehmend in unterschiedlichen Umgebungen verwendet. Oft finden die mobilen IT-Benutzer Szenarien vor, in denen die IT-Systeme aufgrund von Inkompatibilität nicht wie geplant genutzt werden können. Beispielsweise verfügen ältere Geräte nicht über die gleichen Anschlüsse und Stecker wie neuere Geräte. Zudem werden Geräte hergestellt, die nicht ohne passenden Adapter mit anderen Geräten kompatibel sind. Liegt also z. B. ein passender Adapter nicht vor, so kann ein Laptop, der mit allen wichtigen Daten für eine Besprechung vorbereitet wurde, nicht an einen Beamer genutzt werden. Darüber hinaus können Versuche, die IT-Systeme doch zu verbinden, zu Schäden an den Geräten oder den gespeicherten Daten führen.

2 3 Gefährdung durch Besucher

Es ist bereits nicht immer ganz einfach, eigene Mitarbeiter ausreichend zum richtigen Umgang mit sensiblen Informationen und mit IT-Systemen zu sensibilisieren und zu schulen. Bei Besuchern kann grundsätzlich nicht vorausgesetzt werden, dass sie mit den ihnen zugänglichen Informationen und der Informationstechnik entsprechend den Vorgaben der besuchten Institution umgehen, vor allem, da sie diese Vorgaben in vielen Fällen nicht kennen. Besucher können generell an vertrauliche Informationen gelangen, indem die eigenen Mitarbeiter unachtsam sind. Ebenso kann dies aus Unwissen geschehen, wenn sich die Besucher beispielsweise auf dem Weg zur Toilette in der Türe irren und ein Mitarbeiterbüro betreten, an dessen Whiteboard vertrauliche Informationen stehen. Besucher könnten auch vorsätzlich Geräte zerstören oder beschädigen, um vertrauliche Informationen zu erhalten.

2 4 Fliegende Verkabelung

In Besprechungs-, Veranstaltungs- und Schulungsräumen wechseln häufig sowohl die Benutzer als auch die Art, wie die Räume genutzt werden. Damit wird mitunter die Geräteausstattung und damit natürlich auch die Verkabelung in solchen Räumen permanent geändert. Kabel können somit, je nach Lage der Anschlusspunkte im Raum (Steckdosen der Stromversorgung und des Datennetzes) übergangsweise quer durch den Raum, auch über Verkehrswege hinweg, verlegt werden. Nicht nur Personen werden durch diese Stolperfallen gefährdet, auch IT-Geräte können beschädigt werden, wenn Personen die "fliegenden" Kabel mit sich reißen.

2 5 Diebstahl

Wenn die in einem Besprechungsraum teils stationär verbauten Datenträger, IT-Systeme, Zubehör, Software oder Daten gestohlen werden, entstehen einerseits Kosten für die Wiederbeschaffung sowie für die Wiederherstellung eines arbeitsfähigen Zustandes. Andererseits kann der Besprechungsraum aufgrund mangelnder Verfügbarkeit der Geräte anschließend nur eingeschränkt genutzt werden. Somit kann es zu Engpässen bezüglich der Belegung von Räumen kommen. Darüber hinaus können vertrauliche Informationen gestohlen, missbraucht oder weitergegeben werden.

Gestohlen werden neben teuren IT-Systemen häufig auch mobile Endgeräte, die unauffällig und leicht zu transportieren sind. Sind die Besprechungs-, Veranstaltungs- und Schulungsräume nicht verschlossen bzw. beaufsichtigt oder die IT-Systeme nicht ausreichend gesichert, kann die Technik dementsprechend schnell und unauffällig entwendet werden. Dies gilt ganz besonders, wenn beispielsweise in Besprechungspausen die Räumlichkeiten nicht verschlossen werden.

2 6 Vertraulichkeitsverlust schützenswerter Informationen

Durch technisches Versagen, Unachtsamkeit, Unwissen auch durch vorsätzliche Handlungen können vertrauliche Informationen offengelegt werden. Dabei können diese vertraulichen Informationen an unterschiedlichen Stellen vorliegen, wie z. B. auf Speichermedien innerhalb von Rechnern (wie Festplatten), auf austauschbaren Speichermedien (wie USB-Sticks oder optische Medien), in gedruckter Form auf Papier sowie auf Whiteboards oder Flipcharts. Werden Informationen unberechtigt gelesen oder preisgegeben, kann das schwerwiegende Folgen für die Institution haben, wie beispielsweise Verstöße gegen Gesetze, Wettbewerbsnachteile oder finanzielle Auswirkungen.

3 Anforderungen

Im Folgenden sind spezifische Anforderungen für den Schutz der Besprechungs-, Veranstaltungs- und Schulungsräume aufgeführt. Grundsätzlich ist der Leiter Organisation für die Erfüllung der Anforderungen zuständig. Abweichungen hiervon werden in den entsprechenden Anforderungen gesondert erwähnt. Der Informationssicherheitsbeauftragte (ISB) ist bei strategischen Entscheidungen stets einzubeziehen. Außerdem ist der ISB dafür verantwortlich, dass alle Anforderungen gemäß dem festlegten Sicherheitskonzept erfüllt und überprüft werden.

BausteinverantwortlicherLeiter Organisation
Weitere VerantwortlicheHaustechnik, Leiter IT, Mitarbeiter

3.1 Basis-Anforderungen

Die folgenden Anforderungen MÜSSEN vorrangig umgesetzt werden:

INF.10.A1 Sichere Nutzung von Besprechungs-, Veranstaltungs- und Schulungsräumen [Leiter IT, Haustechnik]

In den Räumen vorhandene Gerätschaften MÜSSEN angemessen gegen Diebstahl gesichert werden. Zudem MUSS festgelegt werden, wer die in den Räumen dauerhaft vorhandenen IT- und sonstigen Systeme administriert. Es MUSS auch festgelegt werden, ob und unter welchen Bedingungen Besucher mitgebrachte IT-Systeme verwenden dürfen. Weiterhin MUSS festgelegt werden, ob und auf welche Netzzugänge und TK-Schnittstellen Besucher zugreifen dürfen.

INF.10.A2 Beaufsichtigung von Besuchern [Mitarbeiter]

Besucher MÜSSEN außerhalb von Räumen, die ausdrücklich für den Zugang durch Besucher vorgesehen sind, beaufsichtigt werden. Mitarbeiter MÜSSEN dazu angehalten werden, institutionsfremde Personen nicht unbeaufsichtigt zu lassen.

INF.10.A3 Geschlossene Fenster und Türen [Mitarbeiter]

Die Fenster der Besprechungs-, Veranstaltungs- und Schulungsräume MÜSSEN beim Verlassen verschlossen werden. Bei Räumlichkeiten, in denen sich IT-Systeme oder schützenswerte Informationen befinden, MÜSSEN die Türen beim Verlassen abgeschlossen werden. Zusätzlich MUSS regelmäßig geprüft werden, ob die Fenster und Türen nach Verlassen der Räume verschlossen wurden. Ebenso MUSS darauf geachtet werden, dass Brand- und Rauchschutztüren tatsächlich geschlossen werden.

3.2 Standard-Anforderungen

Gemeinsam mit den Basis-Anforderungen entsprechen die folgenden Anforderungen dem Stand der Technik im Bereich Besprechungs-, Veranstaltungs- und Schulungsräume. Sie SOLLTEN grundsätzlich umgesetzt werden.

INF.10.A4 Planung von Besprechungs-, Veranstaltungs- und Schulungsräumen

Bei der Planung von Besprechungs-,Veranstaltungs- und Schulungsräumen SOLLTE besonders die Lage der Räume berücksichtigt werden. Insbesondere Räumlichkeiten, die oft mit Besuchern genutzt werden, SOLLTEN NICHT in Gebäudeteilen liegen, in deren Nähe regelmäßig vertrauliche Informationen bearbeitet werden. Es SOLLTE für jeden Raum festgelegt werden, wie vertraulich die Informationen sein dürfen, die in den Räumlichkeiten besprochen oder verarbeitet werden dürfen.

INF.10.A5 Fliegende Verkabelungen

Um fliegende Verkabelung zu vermeiden, SOLLTEN sich die Stromanschlüsse dort befinden, wo Beamer, Laptops oder andere Verbraucher aufgestellt werden. Zudem SOLLTEN Verkabelungen, die über den Boden verlaufen, mit einem Kabelschacht abgedeckt werden.

INF.10.A6 Einrichtung sicherer Netzzugänge [Leiter IT]

Es SOLLTE sichergestellt werden, dass mitgebrachte IT-Systeme nicht über das Datennetz mit internen IT-Systeme verbunden werden können. Ausschließlich dafür vorgesehene IT-Systeme SOLLTEN auf das LAN der Institution zugreifen können. Ein Datennetz für Besucher SOLLTE vom LAN der Institution getrennt werden. Netzzugänge SOLLTEN so eingerichtet sein, dass verhindert wird, dass Dritte den internen Datenaustausch mitlesen können. Netzanschlüsse in Besprechungs-, Veranstaltungs- oder Schulungsräumen SOLLTEN abgesichert werden. Es SOLLTE verhindert werden, dass IT-Systeme in Besprechungs-, Veranstaltungs- und Schulungsräumen gleichzeitig eine Verbindung zum Intranet und zum Internet aufbauen können.

Außerdem SOLLTE die Stromversorgung aus einer Unterverteilung heraus getrennt von anderen Räumen aufgebaut werden.

INF.10.A7 Sichere Konfiguration von Schulungs- und Präsentationsrechnern [Leiter IT]

Dedizierte Schulungs- und Präsentationsrechner SOLLTEN mit einer Minimalkonfiguration versehen werden. Es SOLLTE festgelegt sein, welche Anwendungen auf Schulungs- und Präsentationsrechner in der jeweiligen Veranstaltung genutzt werden können. Die Schulungs- und Präsentationsrechner SOLLTEN nur an ein separates, vom LAN der Institution getrennten Netz angeschlossen werden. Auf andere Netze SOLLTE nur restriktiv zugegriffen werden können.

INF.10.A8 Erstellung eines Nutzungsnachweises für Räume

Je nach Nutzungsart der Besprechungs-, Veranstaltungs- und Schulungsräume SOLLTE ersichtlich sein, wer die Räume zu welchem Zeitpunkt genutzt hat. Für Räumlichkeiten, in denen Schulungen an IT-Systemen oder besonders vertrauliche Besprechungen durchgeführt werden, SOLLTEN ebenfalls Nutzungsnachweise erbracht werden. Es SOLLTE überlegt werden, für Räumlichkeiten, die für jeden Mitarbeiter zugänglich sind, ebenfalls entsprechende Nutzungsnachweis einzuführen.

3.3 Anforderungen bei erhöhtem Schutzbedarf

Im Folgenden sind exemplarische Vorschläge für Anforderungen aufgeführt, die über das dem Stand der Technik entsprechende Schutzniveau hinausgehen und BEI ERHÖHTEM SCHUTZBEDARF in Betracht gezogen werden SOLLTEN. Die konkrete Festlegung erfolgt im Rahmen einer Risikoanalyse. Die jeweils in Klammern angegebenen Buchstaben zeigen an, welche Grundwerte durch die Anforderung vorrangig geschützt werden (C = Vertraulichkeit, I = Integrität, A = Verfügbarkeit).

INF.10.A9 Zurücksetzen von Schulungs- und Präsentationsrechnern [Leiter IT](CA)

Es SOLLTE ein Verfahren festgelegt werden, um Schulungs- und Präsentationsrechner nach der Nutzung auf einen vorher definierten Zustand zurückzusetzen. Durch Benutzer vorgenommene Änderungen SOLLTEN dabei vollständig entfernt werden.

4 Weiterführende Informationen

4.1 Literatur

Weiterführende Informationen zu Gefährdungen und Sicherheitsmaßnahmen im Bereich "Besprechungs-, Veranstaltungs- und Schulungsräume" finden sich unter anderem in folgenden Veröffentlichungen:

  • [27001] ISO/IEC 27001:2013

    Information technology- Security techniques- Information security management system- Requirements, ISO, 2013
    https://www.iso.org/obp/ui/#iso:std:iso-iec:27001:ed-2:v1:en

  • [DIN1627] DIN EN 1627:2011-09

    Türen, Fenster, Vorhangfassaden, Gitterelemente und Abschlüsse - Einbruchhemmung - Anforderungen und Klassifizierung, 2011

5 Anlage: Kreuzreferenztabelle zu elementaren Gefährdungen

Die folgenden elementaren Gefährdungen sind für den Baustein "Besprechungs-, Veranstaltungs- und Schulungsräume" von Bedeutung.

  • G 0.14 Ausspähen von Informationen (Spionage)
  • G 0.15 Abhören
  • G 0.16 Diebstahl von Geräten, Datenträgern oder Dokumenten
  • G 0.18 Fehlplanung oder fehlende Anpassung
  • G 0.21 Manipulation von Hard- oder Software
  • G 0.24 Zerstörung von Geräten oder Datenträgern
  • G 0.41 Sabotage
  • G 0.44 Unbefugtes Eindringen in Räumlichkeiten
  • G 0.45 Datenverlust

Die Kreuzreferenztabellen finden Sie aufgrund ihres Umfangs im Downloadbereich.

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK