Bundesamt für Sicherheit in der Informationstechnik

INF.7 Büroarbeitsplatz

Schnell zum Abschnitt

1 Beschreibung

1.1 Einleitung

Ein Büroraum ist der Bereich innerhalb einer Institution, in dem sich ein oder mehrere Mitarbeiter aufhalten, um dort ihre Aufgaben zu erfüllen. In diesem Baustein werden die typischen Gefährdungen und Anforderungen bezüglich der Informationssicherheit für einen Büroraum beschrieben.

1.2 Zielsetzung

Ziel des Bausteins ist der Schutz der Informationen, die in Büroräumen bearbeitet werden.

1.3 Abgrenzung

Dieser Baustein betrachtet technische und nichttechnische Sicherheitsanforderungen für Büroräume. Empfehlungen, wie die IT-Systeme in diesen Räumen konfiguriert und abgesichert werden können, werden in diesem Baustein nicht behandelt. Hinweise dafür sind u. a. in SYS.2.1 Allgemeiner Client sowie in den betriebssystemspezifischen Bausteinen zu finden.

Auch auf die Verkabelung von Büroräumen wird nicht eingegangen. Dazu müssen die Bausteine INF.3 Elektrotechnische Verkabelung und INF.4 IT-Verkabelung gesondert betrachtet werden. Anforderungen zum Brandschutz und Zutrittsregelung in Gebäuden sind im Baustein INF.1 Allgemeines Gebäude zu finden.

2 Gefährdungslage

Folgende spezifische Bedrohungen und Schwachstellen sind im Bereich Büroraum von besonderer Bedeutung:

2 1 Unbefugter Zutritt

Fehlen Zutrittskontrollen oder sind diese unzureichend, können unberechtigte Personen einen Büroraum betreten und schützenswerte Daten entwenden, Geräte stehlen oder sie manipulieren. Dadurch kann die Verfügbarkeit, Vertraulichkeit oder Integrität von Geräten und Informationen beeinträchtigt werden. Selbst wenn keine unmittelbaren Schäden erkennbar sind, kann der Betriebsablauf schon dadurch gestört werden, dass untersucht werden muss, wie ein solcher Vorfall möglich war, ob Schäden aufgetreten sind oder Manipulationen vorgenommen wurden.

2 2 Beeinträchtigung durch ungünstige Arbeitsbedingungen

Ein nicht nach ergonomischen Gesichtspunkten eingerichteter Büroraum oder ein ungünstiges Arbeitsumfeld können dazu führen, dass Mitarbeiter dort nicht ungestört arbeiten oder die verwendete IT nicht oder nicht optimal benutzen können. Die Störungen reichen von Lärm oder starkem Kundenverkehr bis zu ungünstiger Beleuchtung und schlechter Belüftung. Dadurch werden Arbeitsabläufe eingeschränkt und Mitarbeiterpotenziale unzureichend genutzt. Es können sich bei der Arbeit auch Fehler einschleichen, wodurch die Integrität von Daten vermindert werden kann.

2 3 Reinigungs- und Fremdpersonal oder Besucher

Bei kleineren bzw. kurzen Besprechungen ist es meist effizienter, den Besuch im Büro zu empfangen. Dabei kann der Besuch ebenso wie auch Reinigungs- und Fremdpersonal auf verschiedene Art und Weise interne Informationen einsehen, Geschäftsprozesse gefährden und IT-Systeme manipulieren, angefangen von der unsachgemäßen Behandlung der technischen Einrichtungen über den Versuch des "Spielens" an IT-Systemen bis zum Diebstahl von Unterlagen oder IT-Komponenten. So kann beispielsweise durch Reinigungspersonal versehentlich eine Steckverbindung gelöst werden oder Wasser in die IT gelangen, auch können Unterlagen verlegt oder sogar mit dem Abfall entsorgt werden.

2 4 Manipulation oder Zerstörung von IT, Zubehör, Informationen und Software im Büroraum

Angreifer können aus unterschiedlichen Beweggründen heraus versuchen, IT-Systeme, Zubehör und andere Datenträger zu manipulieren oder zu zerstören. Die Angriffe können umso wirkungsvoller sein, je später sie durch den Mitarbeiter oder die Institution selbst entdeckt werden, je umfassender die Kenntnisse der Täter und je tiefgreifender die Folgen für einen Arbeitsvorgang sind. Die Manipulationen reichen von der unerlaubten Einsichtnahme in die schützenswerten Daten des Mitarbeiters bis hin zur Zerstörung von Datenträgern oder IT-Systemen. Erhebliche Ausfallzeiten und Prozesseinschränkungen können die Folge sein.

2 5 Diebstahl

Da IT-Geräte immer handlicher werden, ist es umso leichter, sie unbemerkt in die Tasche zu stecken. Durch den Diebstahl von Datenträgern, IT-Systemen, Zubehör, Software oder Daten entstehen einerseits Kosten für die Wiederbeschaffung sowie für die Wiederherstellung eines arbeitsfähigen Zustandes, andererseits Verluste aufgrund mangelnder Verfügbarkeit. Darüber hinaus könnte die Person, die die IT-Geräte entwendet hat, vertrauliche Information einsehen und offenlegen, wodurch es zu weiteren Schäden kommen kann. Diese wiegen in vielen Fällen deutlich schwerer als der rein materielle Verlust des Gerätes.

Gestohlen werden neben teuren IT-Systemen häufig auch mobile Endgeräte, die unauffällig und leicht transportiert werden können. Wenn die Büroräume nicht verschlossen, beaufsichtigt oder die IT-Systeme nicht ausreichend gesichert sind, kann die Technik dementsprechend schnell und unauffällig entwendet werden.

2 6 Fliegende Verkabelung

Je nach Lage der Anschlusspunkte der Steckdosen, der Stromversorgung und des Datennetzes im Büroraum könnten Kabel quer durch den Raum, auch über Verkehrswege hinweg, verlegt werden. Solche "fliegenden" Kabel sind nicht nur Stolperfallen, an denen sich Personen verletzen können. Wenn Personen daran hängen bleiben, können auch IT-Geräte beschädigt werden.

2 7 Vandalismus

Durch Vandalismus wird fremdes Eigentum zerstört oder beschädigt. Die Auswirkungen sind mit denen eines Anschlags sehr verwandt, nur dass Vandalismus nicht wie dieser gezielt geplant und umgesetzt wird, sondern meist Ausdruck spontaner, blinder Zerstörungswut ist. Sowohl Außentäter (enttäuschte Einbrecher) als auch Innentäter (frustrierte oder psychisch labile Mitarbeiter) kommen dafür in Betracht. Mögliche Auslöser für Vandalismus können unter anderem Meinungsverschiedenheiten, persönliche Probleme, Mobbing oder ein schlechtes Betriebsklima sein.

3 Anforderungen

Im Folgenden sind spezifische Anforderungen für den Schutz von Büroräumen aufgeführt. Grundsätzlich ist der Informationssicherheitsbeauftragter (ISB) für die Erfüllung der Anforderungen zuständig. Abweichungen hiervon werden in den entsprechenden Anforderungen gesondert erwähnt. Der ISB ist bei strategischen Entscheidungen stets einzubeziehen. Außerdem ist er dafür verantwortlich, dass alle Anforderungen gemäß dem festlegten Sicherheitskonzept erfüllt und überprüft werden.

BausteinverantwortlicherInformationssicherheitsbeauftragter (ISB)
Weitere VerantwortlicheLeiter Haustechnik, Leiter IT, Mitarbeiter, Vorgesetzte

3.1 Basis-Anforderungen

Die folgenden Anforderungen MÜSSEN vorrangig umgesetzt werden:

INF.7.A1 Geeignete Auswahl und Nutzung eines Büroraumes [Mitarbeiter, Vorgesetzte]

Es DÜRFEN NUR geeignete Räume als Büroraume genutzt werden. Auch MÜSSEN die Büroräume für den Schutzbedarf bzw. das Schutzniveau der dort verarbeiteten Informationen angemessen ausgewählt und ausgestattet sein. So MÜSSEN Büroräume mit Publikumsverkehr in nicht sicherheitsrelevanten Bereichen liegen. Für den Arbeitsplatz und für die Einrichtung eines Büroraumes MUSS die Arbeitsstättenverordnung umgesetzt werden.

INF.7.A2 Geschlossene Fenster und abgeschlossene Türen [Mitarbeiter]

Wenn Mitarbeiter ihre Büroräume verlassen, MÜSSEN alle Fenster geschlossen werden. Befinden sich vertrauliche Informationen in dem Büroraum, SOLLTEN beim Verlassen die Türen abgeschlossen werden. Dies SOLLTE insbesondere in Bereichen mit Publikumsverkehr beachtet werden. Die entsprechenden Vorgaben SOLLTEN in einer geeigneten Anweisung festgehalten werden. Alle Mitarbeiter SOLLTEN dazu verpflichtet werden, die Anweisung umzusetzen. Zusätzlich MUSS regelmäßig geprüft werden, ob beim Verlassen die Fenster geschlossen und, wenn notwendig, die Türen abgeschlossen werden. Ebenso MUSS darauf geachtet werden, dass Brand- und Rauchschutztüren tatsächlich geschlossen werden.

3.2 Standard-Anforderungen

Gemeinsam mit den Basis-Anforderungen entsprechen die folgenden Anforderungen dem Stand der Technik im Bereich Büroarbeitsplatz. Sie SOLLTEN grundsätzlich umgesetzt werden.

INF.7.A3 Fliegende Verkabelung

Die Stromanschlüsse und Zugänge zum Datennetz im Büroraum SOLLTEN sich in der Nähe des Ortes befinden, wo die IT-Geräte aufgestellt sind. Verkabelungen, die über den Boden verlaufen, SOLLTEN mit einem Kabelschacht abgedeckt werden.

INF.7.A4 Zutrittsregelungen und -kontrolle

Es SOLLTE gewährleistet werden, dass Unberechtigte die Büroräume nicht betreten können. Dafür SOLLTE ein Sicherheitskonzept erstellt und umgesetzt werden. Zudem SOLLTE regelmäßig überprüft werden, ob die ergriffenen Maßnahmen wirksam sind.

INF.7.A5 Ergonomischer Arbeitsplatz [Leiter Haustechnik]

Die Arbeitsplätze aller Mitarbeiter SOLLTEN ergonomisch eingerichtet sein. Vor allem die Bildschirme SOLLTEN so aufgestellt werden, dass ein ergonomisches und ungestörtes Arbeiten möglich ist. Dabei SOLLTE beachtet werden, dass Bildschirme nicht durch Unbefugte eingesehen werden können. Die Bildschirmarbeitsschutzverordnung (BildscharbV) SOLLTE umgesetzt werden.Alle Arbeitsplätze SOLLTEN für eine möglichst fehlerfreie Bedienung der IT individuell verstellbar sein.

INF.7.A6 Aufgeräumter Arbeitsplatz [Mitarbeiter]

Jeder Mitarbeiter SOLLTE dazu angehalten werden, seinen Arbeitsplatz aufgeräumt zu hinterlassen. Benutzer SOLLTEN dafür sorgen, dass Unbefugte keinen Zugang zu IT-Anwendungen erhalten oder vertrauliche Informationen einsehen können. Alle Mitarbeiter SOLLTEN sorgfältig ihre Arbeitsplätze überprüfen und sicherstellen, dass keine vertraulichen Informationen frei zugänglich sind. Vorgesetzte SOLLTEN sporadisch Arbeitsplätze daraufhin überprüfen, ob dort schutzbedürftige Informationen offen zugreifbar sind.

INF.7.A7 Geeignete Aufbewahrung dienstlicher Unterlagen und Datenträger [Mitarbeiter, Leiter Haustechnik]

Die Mitarbeiter SOLLTEN angewiesen werden, vertrauliche Dokumente und Datenträger verschlossen aufzubewahren, wenn sie nicht verwendet werden. Dafür SOLLTEN geeignete Behältnisse in den Büroräumen oder in deren Umfeld aufgestellt werden.

3.3 Anforderungen bei erhöhtem Schutzbedarf

Im Folgenden sind exemplarische Vorschläge für Anforderungen aufgeführt, die über das dem Stand der Technik entsprechende Schutzniveau hinausgehen und BEI ERHÖHTEM SCHUTZBEDARF in Betracht gezogen werden SOLLTEN. Die konkrete Festlegung erfolgt im Rahmen einer Risikoanalyse. Die jeweils in Klammern angegebenen Buchstaben zeigen an, welche Grundwerte durch die Anforderung vorrangig geschützt werden (C = Vertraulichkeit, I = Integrität, A = Verfügbarkeit).

INF.7.A8 Einsatz von Diebstahlsicherungen [Mitarbeiter, Leiter IT](CIA)

Wenn der Zutritt zu den Räumen nicht geeignet beschränkt werden kann, SOLLTEN für alle IT-Systeme Diebstahlsicherungen eingesetzt werden. In Bereichen mit Publikumsverkehr SOLLTEN generell Diebstahlsicherungen benutzt werden.

4 Weiterführende Informationen

4.1 Literatur

Weiterführende Informationen zu Gefährdungen und Sicherheitsmaßnahmen im Bereich "Büroarbeitsplatz" finden sich unter anderem in folgenden Veröffentlichungen:

  • [27001A12.2] ISO/IEC 27001: 2013 - Annex A.12.2 Protction from malware

    Information technology - Security technigues - Information security management systems - Requirements, insbesondere Annex A, A.12.2 Protection from malware, 2013
    https://www.iso.org/obp/ui/#iso:std:iso-iec:27001:ed-2:v1:en

  • [ArbStättV] Arbeitsstättenverordnung

    Bundesministerium für Arbeit und Soziales (BMAS), (zuletzt abgerufen am 28.09.2017)
    http://www.bmas.de/DE/Service/Gesetze/arbeitsstaettenverordnung.html

  • [BildscharbV] Bildschirmarbeitsschutzverordnung

    ArbSchG, (zuletzt abgerufen am 28.09.2017)
    https://www.arbeitsschutzgesetz.org/bildscharbv/

  • [DIN1627] DIN EN 1627:2011-09

    Türen, Fenster, Vorhangfassaden, Gitterelemente und Abschlüsse - Einbruchhemmung - Anforderungen und Klassifizierung, 2011

  • [ISFCF19] The Standard of Good Practice - AREA CF19 Physical and Environmental Security

    insbesondere AREA CF19 Physical and Environmental Security, ISF, 06.2014

  • [NIST80053PEP] NIST Special Publication 800-53 Revision 4 - APPENDIX PAGE F-213

    Assesing Security and Privacy Controls for Federal Information Systems and Organizations, insbesondere APPENDIX F-PS PAGE F-213, FAMILY: PHYSICAL AND ENVIRONMENTAL PROTECTION, NIST, 2013
    http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r4.pdf

5 Anlage: Kreuzreferenztabelle zu elementaren Gefährdungen

Die folgenden elementaren Gefährdungen sind für den Baustein "Büroarbeitsplatz" von Bedeutung.

  • G 0.2 Ungünstige klimatische Bedingungen
  • G 0.13 Abfangen kompromittierender Strahlung
  • G 0.14 Ausspähen von Informationen (Spionage)
  • G 0.15 Abhören
  • G 0.16 Diebstahl von Geräten, Datenträgern oder Dokumenten
  • G 0.18 Fehlplanung oder fehlende Anpassung
  • G 0.21 Manipulation von Hard- oder Software
  • G 0.22 Manipulation von Informationen
  • G 0.23 Unbefugtes Eindringen in IT-Systeme
  • G 0.24 Zerstörung von Geräten oder Datenträgern
  • G 0.30 Unberechtigte Nutzung oder Administration von Geräten und Systemen
  • G 0.44 Unbefugtes Eindringen in Räumlichkeiten
  • G 0.46 Integritätsverlust schützenswerter Informationen

Die Kreuzreferenztabellen finden Sie aufgrund ihres Umfangs im Downloadbereich.

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK