Bundesamt für Sicherheit in der Informationstechnik

Umsetzungshinweise zum Baustein CON.7 Informationssicherheit auf Auslandsreisen

Schnell zum Abschnitt

1 Beschreibung

1.1 Einleitung

Zahl und Umfang berufsbedingt notwendiger Reisetätigkeiten hat in den letzten Jahren durch die Globalisierung und die dadurch zunehmende internationale Vernetzung von Behörden und Unternehmen stetig zugenommen. Dabei ist das Mitführen von Informationstechnik, sei es z. B. das Notebook, Smartphone, Tablet, Wechselfestplatte oder USB-Stick, sowie Informationen in anderer papierener oder geistiger Form auf Auslandsreisen in der heutigen Gesellschaft gänzlich unabdingbar geworden, um die Aufnahme von Geschäftstätigkeiten außerhalb des regulären Arbeitsumfeldes gewährleisten zu können. Bei Geschäftsreisen, vor allem bei Auslandsreisen, sind eine Vielzahl an Bedrohungen und Risiken für die Informationssicherheit zu beachten, die im normalen Geschäftsbetrieb nicht existieren.

Jede Reise ist grundsätzlich verschieden, da sich aufgrund der Abhängigkeit von Parametern, wie dem Reisezweck (geschäftliche Besprechung, Tagung, Kongress, Seminar), der Reisedauer und dem Reiseziel, jeweils eine neue Bedrohungslage, auch in Bezug auf den Schutz geschäftskritischer Informationen, ergibt.

1.2 Lebenszyklus

Für eine bestmögliche Realisierung der Informationssicherheit auf Auslandsreisen sind eine Reihe von Maßnahmen umzusetzen, beginnend mit der Planung und Konzeption über die Umsetzung bis hin zur Notfallvorsorge. Die Schritte, die dabei durchlaufen werden sowie die Maßnahmen, die in den jeweiligen Schritten berücksichtigt werden sollten, sind im Folgenden aufgeführt.

Planung und Konzeption

Es muss eine Sicherheitsrichtlinie erstellt werden, in welcher der Rahmen der Informationssicherheit auf Auslandsreisen gesetzt wird und vordefinierte Sicherheitsmaßnahmen, Verhaltensanweisungen für Mitarbeiter sowie weiterführende Aspekte aufgezeigt werden (siehe CON.7.M1 Sicherheitsrichtlinie zur Informationssicherheit auf Auslandsreisen).

Außerdem sollte ein Sicherheitskonzept zum Umgang mit tragbaren IT-Systemen auf Auslandsreisen bzw. der Telearbeit erstellt und regelmäßig überprüft werden, das alle Sicherheitsanforderungen und -maßnahmen angemessen detailliert beschreibt.

Umsetzung

Die Verantwortung für die Erstellung, Einführung und Umsetzung der Informationssicherheit auf Auslandsreisen sollte beim Sicherheitsmanagement liegen. Zur angemessenen Umsetzung der Sicherheitsrichtlinie durch Geschäftsreisende sollte eine Sensibilisierung durch Schulung und Trainings verpflichtend sein, um die Wahrnehmungssicht aller Sachverhalte zu verbessern.

Die verschiedenen Sicherheitsanforderungen, die während der Auslandstätigkeit an die Informationssicherheit gestellt werden, sollten dementsprechend von allen Mitarbeitern aufmerksam gelebt werden. Die Berücksichtigung der aufgestellten Sicherheitsanforderungen sowie achtsame Mitarbeiter ermöglichen die Identifizierung von Sicherheitsproblemen und die zeitnahe Reaktion auf diese, um mögliche Schäden zu verhindern bzw. zu mildern. Sicherheitsprobleme und Veränderungen werden so rechtzeitig erkannt, sodass etablierte Sicherheitsmaßnahmen weiterentwickelt bzw. den Reiseszenarien entsprechend angepasst werden können.

Neben den organisatorischen Aspekten einer Reise ins Ausland sind auch technische Vorkehrungen zu treffen und physische Maßnahmen umzusetzen. Hierfür sind insbesondere der Einsatz von Verschlüsselung / Kryptographie, die Möglichkeit des sicheren Löschens von Daten und Informationen sowie die Absicherung der Kommunikation über öffentliche oder unbekannte Internetzugänge, wie z. B. Hotspots, zu betrachten.

Notfallvorsorge

Im Rahmen der Notfallvorsorge sollte sichergestellt werden, dass Sicherheitsvorfälle auf Auslandsreisen detektiert bzw. zeitnah gemeldet oder über die festgelegten Wege eskaliert werden (siehe Baustein DER.1 Detektion von Sicherheitsvorfällen). Die gemeldeten Vorfälle sollten hinsichtlich Notfallrelevanz bewertet werden (siehe Baustein DER.2.1 Behandlung).

Es sollten angemessene Maßnahmen vorgehalten werden, um auf Notfälle bei Reisen ins Ausland reagieren zu können.

Für weitere Informationen bspw. zum personellen Schutz kann der Wirtschaftsschutz-Baustein Reisesicherheit verwendet werden.

2 Maßnahmen

Im Folgenden sind spezifische Umsetzungshinweise im Bereich "Informationssicherheit auf Auslandsreisen" aufgeführt.

2.1 Basis-Maßnahmen

Die folgenden Maßnahmen sollten vorrangig umgesetzt werden:

CON.7.M1 Sicherheitsrichtlinie zur Informationssicherheit auf Auslandsreisen

Mit der Sicherheitsrichtlinie wird nachvollziehbar der Rahmen für die Konzeption und Umsetzung der Informationssicherheit auf Auslandsreisen gesetzt. Sie dokumentiert die wesentlichen Anforderungen und Bedingungen, die es bei Reisen im Ausland in Bezug auf Informationssicherheit zu berücksichtigen gilt.

Die Sicherheitsrichtlinie zur Informationssicherheit auf Auslandsreisen sollte folgende Themenbereiche enthalten:

  • eine kurze Darstellung, was die Institution unter Informationssicherheit auf Auslandsreisen versteht,
  • der Geltungsbereich der Informationssicherheit auf Auslandsreisen,
  • der Stellenwert und die Zielsetzung der Informationssicherheit auf Reisen für die Institution,
  • die zu berücksichtigenden Kernaspekte der Informationssicherheit auf Reisen,
  • die Übernahme der Verantwortung durch die Leitung der Institution und des ISB, die zusätzlich durch die explizite Freigabe mit einer Unterschrift dokumentiert wird,
  • die Übernahme der Verantwortung und Pflichten durch den reisenden Mitarbeiter, diese sollte dokumentiert werden,
  • die Verpflichtung der Leitungsebene und ISB regelmäßige Schulungen und Trainings zur Sensibilisierung der im Ausland tätigen Mitarbeiter durchzuführen,
  • die Referenz auf relevante Gesetze, Richtlinien und Vorschriften, die es in Bezug auf die Informationssicherheit auf Auslandsreisen zu berücksichtigen gilt (z. B. Datenschutz im Ausland, Ein- und Ausreisebestimmungen).

Folgende Kernaspekte sollten in der Sicherheitsrichtlinie typischerweise berücksichtigt werden:

  • Informationspflicht zu länderspezifischen Regelungen, Reise- und Umgebungsbedingungen
  • Beobachtung, Analyse und Bewertung der Risiko- und Sicherheitslage der Destination
  • Umgang mit verlorenen oder gestohlenen IT-Systemen oder Informationen
  • Regelungen zur Durchführung von Schulungen und Sensibilisierungsmaßnahmen
  • Umgang mit tragbaren IT-Systemen (z. B. Aufbewahrung, Passwort, Sichtschutz, nicht unbeaufsichtigt offen liegen lassen)
  • Angemessener Schutz tragbarer IT-Systeme (z. B. Verschlüsselung, Virenschutz)
  • Verschlüsselung, Sicherung und Schutz von Daten und Datenträgern
  • Sicheres und physisches Löschen von Daten und Datenträgern bzw. Dokumenten
  • Einwahl mit VPN-Zugang
  • Einwahl in fremde Netze (in ein sicheres bzw. verschlüsseltes Netz, z. B. Benutzername, Passwort)
  • Sicherheitsregelungen zum Datenaustausch mit Externen
  • Berechtigungsprozess zur Mitnahme und Erfassung von Daten
  • 24/7-Hotline bei Fragen oder Verlustmeldung von tragbaren IT-Systemen

Darüber hinaus kann optional die Eingliederung der Sicherheitsrichtlinie zur Informationssicherheit auf Reisen in das bestehende Managementsystem zur Informationssicherheit in Betracht gezogen werden.

Die Sicherheitsrichtlinie zur Informationssicherheit auf Auslandsreisen ist durch die Leitung schriftlich freizugeben. Sie ist allen internen Mitarbeitern, die eine Auslandstätigkeit ausüben, bekannt zu geben. Die Bekanntgabe sollte dabei so erfolgen, dass allen Mitarbeiter der Stellenwert der Informationssicherheit auf Auslandsreisen deutlich wird.

CON.7.M2 Sensibilisierung der Mitarbeiter zur Sicherheitsrichtlinie Informationssicherheit auf Auslandsreisen [IT-Betrieb, Datenschutzbeauftragter]

Sicherheit im Allgemeinen und Informationssicherheit auf Auslandsreisen im Besonderen kommt nicht ohne aufmerksame und geschulte Mitarbeiter aus. Deshalb stellen Schulungen und Sensibilisierungsmaßnahmen einen wesentlichen Bestandteil der Vorbereitung von Mitarbeitern dar. Im Ausland tätige Mitarbeiter sollten daher kontinuierlich und angemessen für Informationssicherheit auf Auslandsreisen sensibilisiert und regelmäßig geschult werden. Insbesondere sollten ihnen die Gefahren, die durch den unangemessenen Umgang mit Informationen, die unsachgemäße Vernichtung von Daten und Datenträgern, Schadsoftware und unsicheren Datenaustausch entstehen, vermittelt, aber auch die Grenzen der eingesetzten Sicherheitsmaßnahmen aufgezeigt werden.

Ebenso sollten Benutzer hinsichtlich des Schutzbedarfs mobiler IT-Systeme sowie der darauf befindlichen Daten sensibilisiert werden. Dabei sollten spezifische Gefährdungen bzw. entsprechende Maßnahmen bei der Nutzung mobiler IT-Systeme aufgezeigt werden. Auch sollten die Benutzer darauf hingewiesen werden, welche Art von Informationen während ihrer Auslandsaufenthalte auf z. B. dem Notebook oder Smartphone verarbeitet werden dürfen.

Die Reisenden sind dafür verantwortlich, keine Gelegenheiten für den Missbrauch von kritischen, institutionsinternen Informationen und Daten zu schaffen. Die Institution ist ihrerseits dafür verantwortlich, die Basis für den richtigen Umgang mit tragbaren IT-Systemen bzw. Informationen auf Auslandsreisen zu schaffen.

Die Mitarbeiter sollten dazu befähigt und bestärkt werden, bei Ungereimtheiten fachliche Beratung einzuholen bzw. einem Verlust oder Diebstahl vorzubeugen. Außerdem sollten Mitarbeiter auf gesetzliche Anforderungen einzelner Reiseziele in Bezug auf die Reisesicherheit hingewiesen werden. Hier steht der ISB in der Verantwortung, sich über gesetzliche Anforderungen im Rahmen der Informationssicherheit (z. B. Datenschutz, IT-Sicherheitsgesetz) zu informieren und die Mitarbeiter zu sensibilisieren.

Um dies zu erreichen, muss den Mitarbeitern plausibel und nachvollziehbar dargestellt werden, warum und in welchem Maß Informationssicherheit für die Institution, speziell auf Geschäftsreisen, wichtig ist. Sie müssen Gefährdungen und Auswirkungen von Sicherheitsvorfällen genauso kennen wie die erforderlichen Maßnahmen und die relevanten Regelungen in den Sicherheitsdokumenten.

Um Mitarbeiter für Informationssicherheit auf Reisen zu sensibilisieren, müssen sie immer wieder auf verschiedenen Wegen und über verschiedene Medien angesprochen werden. Dazu kann auf bereits etablierte Wege und Medien zurückgegriffen werden, aber auch können Neue gestaltet werden. Als geeignete Wege und Medien bieten sich z. B. an:

  • Newsletter
  • Flyer zum Mitnehmen
  • Kurzanleitungen
  • Videoclips zu ausgewählten Sensibilisierungsthemen

Folgende Aspekte sollten für Mitarbeiter auf Auslandsreisen aufbereitet und von diesen beachtet werden:

  • Inhalte der geltenden internen Regelungen zu Geschäftsreisen ins Ausland und Überblick über zu schützende Informationen, Gefährdungen sowie Maßnahmen zur Sicherheit von Informationen, mit und ohne IT-Einsatz.
  • Arbeitsplatzumgebung: Die Mitarbeiter sind anzuweisen, vor jedem mobilen Einsatz bei Auslandsreisen zu entscheiden, ob die jeweilige Umgebung als mobiler Arbeitsplatz geeignet ist, insbesondere im Hinblick auf die Informationssicherheit.
  • Nutzungsverbot nicht freigegebener Hard- und Software: Alle Mitarbeiter sind vor Auslandsreisen erneut über das Verbot der Nutzung nicht freigegebener Hard- und Software zu informieren.
  • Schadprogramme: Es sollten Sicherheitshinweise bzw. zu berücksichtigende Regelungen an die Mitarbeiter ausgegeben werden, die eine Infektion der tragbaren IT-Systeme mit Schadprogrammen vermeiden bzw. verringern. Sollte dennoch ein tragbares IT-System mit einem Schadprogramm infiziert werden, ist der Vorfall unverzüglich an eine zentrale Meldestelle der Institution zu kommunizieren. Dabei müssen zentrale Ansprechpartner benannt und bekannt gemacht werden. Außerdem sollte die Einhaltung der Regelungen zum Schutz vor Schadprogrammen regelmäßig und stichprobenartig geprüft werden.
  • Passwortgebrauch: Die Benutzer sind anzuweisen, dem Schutzbedarf angemessene Passwörter mit ausreichender Komplexität zu verwenden. Darüber hinaus sollten diese einen besonderen Wert auf die Geheimhaltung ihres Passworts legen. Passwörter sind sofort zu wechseln, sobald sie unautorisierten Personen bekannt geworden sind oder der Verdacht darauf besteht. Der Zugriff auf IT-Systeme der Institution sollte mit einer Multi-Faktor-Authentifizierung abgesichert werden.
  • Verhinderung ungesicherter Netz-Zugänge: Die Benutzer dürfen nicht direkt bzw. ungesichert ein öffentliches Netz bzw. einen Netzzugang fremder Institutionen (WLAN sowie LAN) nutzen, um auf interne Ressourcen zuzugreifen. Solche Zugänge sind generell als nicht vertrauenswürdig einzustufen.
  • Mitnahme von IT-Systemen und Datenträgern: Etablierte Regeln zur Mitnahme von tragbaren IT-Systemen und Datenträgern sollten zur Kenntnis genommen und umgesetzt werden. In einigen Fällen muss zusätzlich der hohe Schutzbedarf bezüglich der Vertraulichkeit von Informationen berücksichtigt werden. Daher sollten mobile IT-Systeme und Datenträger vollständig verschlüsselt werden.
  • Informationspflicht zu Länder-spezifischen Regelungen, Reise- und Umgebungsbedingungen: Bevor Mitarbeiter eine Reise antreten, sollten sie sich über die aktuelle Sicherheitslage sowie gesetzliche und regulatorische Anforderungen informieren. Spezifische Reise- und Sicherheitshinweise können beim deutschen Auswärtigen Amt eingeholt werden, siehe https://www.auswaertiges-amt.de/DE/Laenderinformationen/SicherheitshinweiseA-Z-Laenderauswahlseite_node.html. Informationen zu sicherheitsrelevanten Themen sollten durch den ISB eingeholt und den Mitarbeitern zur Verfügung werden.
  • Kommunikation mit der eigenen Institution und Geschäftspartnern: Für die Kommunikation unterwegs sollten institutionsinterne Regelungen getroffen und gelebt werden (z. B. Nutzung gesicherter Verbindungen). Sowohl E-Mails als auch Festnetz- und Mobiltelefone können leicht ausgespäht werden, weshalb jede Art der Kommunikation zur Weitergabe hochschutzbedürftiger Informationen mit einer Ende-zu-Ende-Verschlüsselung gesichert werden müssen.
  • Aufmerksamkeit der Mitarbeiter während der Auslandstätigkeit: Es sollten Regelungen zum Verhalten der Mitarbeiter im Ausland getroffen werden. Dazu zählt, dass Mitarbeiter zum Schutz geschäftskritischer Daten nicht mit Fremden über den Zweck ihrer Reise und ihren Arbeitgeber sprechen sollten. Dementsprechend sollte ein Mitarbeiter bei ungewöhnlich starker Nachfrage zu Themen der Arbeit oder des Arbeitgebers misstrauisch werden.
  • Annahme von Geschenken: Die Annahme von Geschenken erweist sich oft als schwierig, da in der Regel Gegenleistungen erwartet werden. Daher müssen Mitarbeiter darüber informiert werden, wie in solchen Fällen zu verfahren ist.
  • Keine Verwendung von Geschenken mit digitalem Speicher: Die Annahme bzw. Verwendung von Geschenken mit digitalem Speicher ist immer als äußerst kritisch zu betrachten. Zum Umgang mit derartigen Situationen sollten ebenfalls Regeln definiert werden. Generell empfiehlt es sich, keine Geschenke mit digitalem Speicher, z. B. USB-Sticks anzunehmen und zu verwenden.

Es ist wichtig, diese Sensibilisierungen kontinuierlich durchzuführen und regelmäßig zu wiederholen.

CON.7.M3 Identifikation länderspezifischer Regelungen, Reise- und Umgebungsbedingungen [Personalabteilung]

Bestimmungen zum Umgang mit länderspezifischen Regelungen, Reise- und Umgebungsbedingungen sollten in der Sicherheitsrichtlinie zur Informationssicherheit auf Auslandsreisen definiert sein. Dabei muss einerseits der ISB bzw. die Personalabteilung die jeweils geltenden Regelungen der einzelnen Länder prüfen und die ländereigenen Gegebenheiten im Rahmen der Informationssicherheit sowie der persönlichen Sicherheit an die entsprechenden Mitarbeiter kommunizieren, bevor diese eine Reise antreten. Auf der anderen Seite sind aber auch die Reisenden verpflichtet, sich selbst über das Reiseziel und seine Spezifika ausreichend Hintergrundkenntnisse zu verschaffen.

Voraussetzung hierfür ist, dass entsprechende Regelungen zum Informationsaustausch bei Auslandsaufenthalten erstellt und allen Beteiligten bekannt gegeben worden sind. Die Sicherheitsrichtlinie zur Informationssicherheit auf Auslandsreisen muss regelmäßig aktualisiert werden, vor allem wenn aufgrund geänderter Rahmenbedingungen Anpassungsbedarf besteht.

Umwelteinflüsse im Ausland, wie z. B. eine hohe Luftfeuchtigkeit, Hitze, Kälte oder Staub, können auch die Funktionsfähigkeit von elektronischen Geräten wie Notebooks oder Smartphones beeinflussen. Personalabteilung, ISB und Mitarbeiter sollten sich hier vor Reiseantritt mit den klimatischen Bedingungen des Reiseziels auseinandersetzen und Schutzmaßnahmen treffen, um Mitarbeiter sowie mitgeführte Informationstechnik und Informationen zu schützen. Tragbare IT-Systeme sollten vor besonderen klimatischen Bedingungen bzw. Umwelteinflüssen, wie z. B. Feuchtigkeit durch Regen oder Spritzwasser, gesichert werden. Mobile IT-Systeme sollten nicht extrem niedrigen oder hohen Temperaturen ausgesetzt werden, sofern sie nicht speziell dafür ausgelegt sind. Sowohl Akku als auch Display können durch extreme Temperaturen in ihrer Funktion gestört oder sogar zerstört werden, z. B. wenn IT-Geräte in Autos belassen werden, was jedoch aufgrund der möglichen Diebstahlgefahr nicht empfehlenswert ist.

Die jeweils geltenden Regelungen der einzelnen Länder sollten situativ vor jedem Reiseantritt geprüft werden. Sind bestehende Regelungen zum Informationsaustausch definiert und bekannt gegeben worden? Sollte hier situativ eine Anpassung vorgenommen werden? Sind bestehende Verschlüsselungsarten oder Kommunikationsverfahren geeignet bzw. sicher?

Außerdem kann sich das Problem ergeben, dass Notebooks von Geschäftsreisenden in bestimmten Ländern, wie z. B. den USA, bei der Ein- oder Ausreise durchsucht werden können. Dieser Aspekt steht mit dem Schutz vertraulicher Informationen vor dem Zugriff Dritter im Widerspruch. Denn es ist den US-Behörden nicht nur erlaubt, IT-Systeme zu durchsuchen, sie dürfen diese auch an sich nehmen und Daten kopieren. IT-Systeme können darüber hinaus auch bis zu einem Monat beschlagnahmt werden, was sich für Reisende als problematisch erweisen kann, wenn sie in der Durchführung ihrer Tätigkeit beschränkt oder sogar gehindert werden. Deshalb muss die Institution hier Regelungen erstellen, die den Schutz unternehmensinterner Daten ermöglicht. Ein Beispiel sind Unternehmensregeln, bei denen Passwörter zum Zugriff auf mitgeführte IT-Systeme erst nach erfolgreicher Einreise zugesendet werden, bestimmte Daten vor Reiseantritt sicher gelöscht werden oder keine schützenswerten Daten auf Smartphones gespeichert werden.

CON.7.M4 Verwendung von Sichtschutz-Folien [Benutzer]

Um das Display von Notebooks, Tablets oder Smartphones und damit die dargestellten internen Daten vor neugierigen Blicken anderer zu schützen, ist die Verwendung geeigneter Sichtschutz-Folien eine praxiserprobte Möglichkeit. Diese bedecken das Display des verwendeten Geräts und erschweren es, Informationen auszuspähen (sogenanntes Shoulder Surfing).

CON.7.M5 Verwendung der Bildschirm-/Code-Sperre [Benutzer]

Durch die Verwendung einer Bildschirm-/Code-Sperre wird verhindert, dass Dritte auf Daten auf mobilen Endgeräten, wie z. B. Notebooks oder Mobiltelefonen zugreifen können. Dazu muss ein angemessener Code bzw. ein sicheres Gerätepasswort verwendet werden.

Der Zeitraum, nach dem sich eine Bildschirmsperre wegen fehlender Benutzereingaben automatisch aktiviert, sollte gewisse Grenzen weder unter- noch überschreiten. Der Zeitraum sollte nicht zu knapp gewählt werden, damit die Bildschirmsperre nicht bereits nach kurzen Denkpausen anspringt. Dieser Zeitraum darf aber auf keinen Fall zu lang sein, damit die Abwesenheit des Benutzers nicht von Dritten ausgenutzt werden kann. Eine sinnvolle Vorgabe ist eine Zeitspanne von 10 Minuten für Notebooks und 2 Minuten für weitere mobile Geräte. Der ISB sollte Vorgaben für die Einstellung der Wartezeit machen, die die Sicherheitsanforderungen der jeweiligen IT-Systeme und deren Einsatzumgebung berücksichtigen. Diese Vorgaben sollten möglichst zentral auf den Endgeräten durchgesetzt werden, beispielsweise über Gruppenrichtlinien oder ein MDM.

CON.7.M6 Zeitnahe Verlustmeldung [Benutzer, Notfallbeauftragter]

Mitarbeiter müssen ihrer Institution umgehend melden, wenn Informationen, IT-Systeme oder Datenträger verloren oder gestohlen wurden. Hierfür muss es klare Meldewege und Ansprechpartner innerhalb der Institution geben. Es empfiehlt sich, z. B. eine Notfall-Hotline einzurichten, die täglich 24 Stunden erreichbar ist.

Auf Laptops, Smartphones, Tablets, PDAs und ähnlichen Geräten, aber auch auf mobilen Datenträgern wie USB-Sticks können sich vertrauliche Daten befinden, nach deren Verlust umgehend gehandelt werden muss, beispielsweise:

  • Zugangsdaten wie Passwörter: Alle Zugangsdaten der betroffenen IT-Systeme müssen umgehend geändert werden.
  • Als vertraulich eingestufte Informationen (z. B. Patientenakten): Alle betroffenen Bereiche (z. B. Fachabteilung, Kunden, etc.) müssen benachrichtigt werden, um entsprechende Maßnahmen ergreifen zu können.
  • Zusätzlich sollten auch VPN-Zugänge, Maschinen- oder Client-Zertifikate sowie Computer- und Userkonten gesperrt werden. Falls vorhanden, sollten auch über ein entsprechendes Monitoring Anmelde- oder Eindringversuche erkannt und unterbunden werden.

Bei Verlust von mobilen Endgeräten mit einer Funkverbindung sollten Maßnahmen zum Sperren, Löschen und Lokalisieren der mobilen Endgeräte genutzt werden. Die meisten Mobile-Device-Management-Lösungen bieten diese Funktionen an. Dafür sind im Vorfeld klare Regeln zu definieren und entsprechende Maßnahmen in Absprache mit dem Benutzer, dessen Endgerät verloren ging, unverzüglich zu ergreifen (siehe SYS.3.2.2 Mobile Device Management)

Wenn das verschwundene Notebook oder Smartphone wieder auftaucht, sollte es auf eventuelle Manipulationen untersucht werden, z. B. ob Schrauben geöffnet oder Siegel entfernt wurden oder sich das Gewicht gegenüber dem Ursprungszustand geändert hat. Hat der Benutzer selbst nicht die notwendigen Möglichkeiten hierzu oder besteht ein Verdacht auf Manipulation, sollte das jeweilige Gerät nicht mehr verwendet werden und an einen Spezialisten zur weiteren Überprüfung übergeben werden. Es sollte eine klare Regelung bestehen, wie beim Wiederauffinden des Gerätes noch während der Reise verfahren werden muss. Bei einem mobilen Datenträger sollte die Anforderung CON.7.M9 Sicherer Umgang mit mobilen Datenträgernangewendet werden, um sicherzustellen, dass sich keine manipulierten Programme oder Schadsoftware auf den wiedererlangten Datenträgern befinden.

CON.7.M7 Sicherer Remote-Zugriff [IT-Betrieb, Benutzer]

Da IT-Systeme beim mobilen Arbeiten im Ausland oft in nicht kontrollierbaren Umgebungen betrieben werden, müssen bei Fernzugriffen auf das Netz der Institution spezielle Mechanismen, Verfahren und Maßnahmen zum Einsatz kommen, die den Schutz der IT-Systeme gewährleisten können. Insbesondere mobile VPN-Clients sind hier einer besonderen Gefahr ausgesetzt, da diese physikalisch besonders leicht anzugreifen sind (z. B. Diebstahl, Manipulation). Ist ein VPN-Client kompromittiert, besteht die Gefahr, dass dadurch auch die Sicherheit des LANs beeinträchtigt wird.

Für den sicheren Betrieb der mobilen IT-Systeme müssen diese mit einer sicheren Grundkonfiguration versehen sein (siehe Bausteine SYS.2.1 Allgemeiner Client und SYS.3.2 Mobile Device Management). Für Auslandsreisen sind dabei folgende spezifische Punkte zu berücksichtigen:

  • Für den direkten Anschluss mobiler IT-Systeme an das Internet ist es unabdingbar, sie durch eine restriktiv konfigurierte Personal Firewall gegen Angriffe aus dem Netz zu schützen. Der Virenschutz reicht alleine nicht aus, um alle zu erwartenden Angriffe abzuwehren.
  • Ebenso ist es unbedingt erforderlich, die Software der IT-Systeme auf aktuellem Stand zu halten und notwendige Sicherheitspatches zeitnah einzuspielen. Es ist sinnvoll, vor einem Zugriff auf das Produktivnetz zu überprüfen, ob Personal Firewall, andere Sicherheitsprogramme und Sicherheitspatches auf dem Laptop auf dem aktuellsten Stand sind.
  • Empfehlenswert ist es, über entsprechende Tools diese Prüfungen automatisiert durchzuführen, so dass bei Sicherheitsmängeln der Zugriff auf das interne Netz abgewiesen werden kann.
  • Die auf dem IT-System installierten Internet-Anwendungsprogramme, vor allem Browser und E-Mail-Client, sollten mit sicheren Einstellungen betrieben werden.

Für den sicheren Fernzugriff von Mitarbeitern auf das institutionseigene Netz muss zuvor ein sicherer Remote-Zugang über VPN eingerichtet werden, siehe auch NET.3.3 Virtual Private Networks. Der VPN-Zugang muss kryptographisch abgesichert werden, um ein unbefugtes Lauschen zwischen dem Endgerät und dem Netz der Institution zu verhindern.

Ein mobiles IT-System kann leicht in falsche Hände geraten. Die Verbindung in das interne Netz (der Tunnelaufbau) sollte daher nicht automatisiert, sondern erst nach einer Authentisierung erfolgen. Benutzer müssen über angemessene Zugangsdaten verfügen, um sich einerseits gegenüber dem Endgerät und andererseits dem Netz erfolgreich zu authentisieren.

Außerdem muss die Kommunikation über das VPN verschlüsselt erfolgen. Hierfür muss eine der aktuellen Situation angemessene Schlüssellänge eingesetzt werden. Außerdem muss sichergestellt werden, dass etablierte kryptographische Algorithmen verwendet werden, von denen keine Sicherheitsprobleme bekannt sind.

Außerdem müssen folgende Aspekte für den Einsatz des VPN berücksichtigt werden:

  • Es ist zu regulieren, für welche Geschäftsprozesse und Anwendungszwecke das jeweilige VPN genutzt und welche Informationen darüber kommuniziert werden dürfen.
  • Es muss festgelegt werden, welche Dienste nur genutzt werden dürfen, wenn hierfür ein sicherer Remote-Zugang zur Verfügung steht. Wenn beispielsweise ein Remote-Zugang verfügbar ist, dürfen keine Dienste wie E-Mail an diesem vorbei genutzt werden.
  • Es ist festzulegen, z.B. anhand ihrer Vorkenntnisse, welche Mitarbeiter welche Berechtigungen über den Remote-Zugang bekommen sollen.
  • Geeignete Verfahren zur Identifikation und Authentisierung für die Nutzung des VPN-Zugangs sind festzulegen.
  • Zuständigkeiten und Meldewege für Betrieb und Nutzung von VPN sind zu bestimmen.
  • Es sollte sichergestellt werden, dass alle zwischengespeicherten Authentisierungsinformationen, die den Aufbau eines VPNs ermöglichen, nach dem Ende der VPN-Nutzung automatisch gelöscht werden.
  • Für jedes VPN ist festzulegen, von wo auf welches Netz zugegriffen werden darf.
  • Eine VPN-Sicherheitsrichtlinie ist zu erstellen.
  • Jedem VPN-Benutzer ist ein Exemplar der VPN-Richtlinie oder ein Merkblatt mit einem Überblick der wichtigsten Sicherheitsmechanismen auszuhändigen.
  • Die Richtlinie für die VPN-Nutzung muss den Mitarbeitern erläutert werden, beispielsweise im Rahmen von Schulungen oder Sensibilisierungsveranstaltungen.

CON.7.M8 Sichere Nutzung von öffentlichen WLANs [Benutzer]

WLAN-Hotspots, wie sie an öffentlichen Orten wie beispielsweise in Hotels, Flughäfen, Messehallen, Bahnhöfen, Restaurants und Kongresszentren zu finden sind, sollten immer als unsicheres Netz betrachtet werden, da das dort vorhandene Sicherheitsniveau von außen nur schwer einzuschätzen ist. Der Benutzer muss dafür sensibilisiert werden, dass Hotspots grundsätzlich nicht als vertrauenswürdig eingestuft werden können.

Der Zugriff von mobilen IT-Systemen auf Ressourcen der Institution über öffentlich zugängliche WLANs sollte daher nur über ein Virtual Private Network (VPN) oder mit einer vergleichbaren Absicherung möglich sein.

Weitere Informationen hierzu sind in folgenden Bausteinen zu finden:

  • NET.2.2 WLAN-Nutzung (Allgemein)
  • INF.10 Mobiler Arbeitsplatz (für WLAN Hotspots)
  • NET.3.3 Virtual Private Networks

Für die Nutzung von öffentlichen WLANs im Ausland sollten nachfolgende Regelungen berücksichtigt werden.

Unverschlüsselte WLAN-Hotspots sollten nach Möglichkeit nicht genutzt werden. Es sollten WLAN-Hotspots genutzt werden, die eine verschlüsselte Anmeldung mit Benutzernamen und Passwort erfordern. Dabei müssen die Anmeldedaten vom Hotspot-Betreiber verschlüsselt übertragen werden, damit diese nicht in Reichweite der Funkverbindung mitgelesen werden können.

Unabhängig davon kann der Betreiber eines Hotspots den Datenverkehr mitlesen, wenn dieser nicht geeignet verschlüsselt oder insgesamt durch ein VPN abgesichert ist.

Bei mehreren WLAN-Netzen mit ähnlichen Namen muss darauf geachtet werden, das richtige WLAN-Netz auszuwählen. WLAN-Hotspots können jedoch auch absichtlich unter bekannten Namen von öffentlichen WLAN Netzen aufgebaut werden, um Nutzer anzulocken. Viele Endgeräte bauen außerdem automatisch Verbindungen zu namentlich bereit s bekannten Netzen auf.

Geschäftskritische Daten dürfen nur über externe Hotspots übertragen werden, wenn entsprechende Sicherheitsmaßnahmen und sichere Protokolle verwendet werden. Der Zugriff auf das interne Netz der Institution darf nur über vertrauenswürdige Verbindungen erfolgen. Zudem sollte geregelt werden, ob die Gültigkeit der Hotspot-Zertifikate bei der Authentisierung überprüft werden muss. Es sollte in Betracht gezogen werden, bei Nutzung externer Hotspots auf dem eigenen IT-System separate Benutzerkonten mit einer sicheren Grundkonfiguration und restriktiven Berechtigungen zu verwenden. Keinesfalls dürfen sich Benutzer mit Administratorrechten von einem mobilen Client an externen Netzen anmelden.

CON.7.M9 Sicherer Umgang mit mobilen Datenträgern [Benutzer]

Beim normalen Löschen von Daten wird in der Regel nur die Referenz zu den Daten aufgehoben und die Daten selbst bleiben bis zur erneuten Verwendung des genutzten Speicherbereichs weiterhin vorhanden. Hinzu kommen technische Artefakte, in denen sich Duplikate von zumindest Teilen der Daten befinden.

Wird ein sicheres Verschlüsselungsverfahren für die Daten genutzt, genügt es in der Regel, den Schlüssel und alle seine Kopien sicher zu löschen. Damit liegen die verschlüsselten Daten weiterhin auf dem Datenträger, können aber nicht mehr mit vertretbarem Aufwand entschlüsselt werden. Es wird daher empfohlen, alle Datenträger (auch von stationären Rechnern) grundsätzlich zu verschlüsseln, um das sichere Löschen zu vereinfachen. Die Verwaltung der Schlüssel ist dabei zu dokumentieren, insbesondere die Ablage von Wiederherstellungsschlüsseln.

Eine für den normalen Schutzbedarf ausreichende Löschung kann erreicht werden, indem der komplette Datenträger überschrieben wird. Mit speziellen Softwarewerkzeugen werden dabei die Datenträger einmal oder mehrfach mit vorgegebenen Zeichenfolgen oder Zufallszahlen überschrieben. Die Datenträger müssen intakt sein und sind auch nach dem Überschreiben weiterhin nutzbar.

Für den höheren Schutzbedarf sollte die Überschreibprozedur aus mindestens zwei Durchläufen und einer Verifikation des Überschreibvorgangs bestehen. Als Datenmuster werden Zufallsdaten empfohlen. Eine andere Möglichkeit ist, beim mehrfachen Überschreiben beim zweiten Durchlauf das zum ersten Durchlauf komplementäre Datenmuster (Bit-Folge) zu verwenden. Um Datenträger zu löschen, auf denen Verschlusssachen (VS) gespeichert waren, dürfen nur vom BSI für den jeweiligen Geheimhaltungsgrad empfohlene bzw. zugelassene Produkte eingesetzt werden.

Bei manchen Endgeräten, wie etwa von BlackBerry und Apple, gibt es ebenfalls keinen direkten Zugang zu dem eingebauten Speicher. Es müssen Funktionen des Betriebssystems genutzt werden, um die Daten zu löschen. Nach der Löschung sollte nach Möglichkeit manuell geprüft werden, dass alle Datenartefakte entfernt wurden.

Wurden vertrauliche Daten verarbeitet, sollten Datenträger nach dem Löschen nicht wieder verwendet, sondern direkt geeignet vernichtet werden.

Ist ein sicheres Löschen oder Vernichten nicht möglich, so wird empfohlen, die Datenträger wieder mit in die eigene Institution zu nehmen und dort nach einem geregelten Verfahren zu entsorgen.

In den folgenden Abschnitten werden die konkreten Vorgehensweisen für verschiedene Geräte und Datenträger beschrieben.

Sicheres Löschen von mobilen Festplatten und USB-Sticks

Grundsätzlich können mobile Datenträger ähnlich wie eingebaute Festplatten gelöscht werden. Steht kein Rechner mit der Löschsoftware zur Verfügung, kann auch von einem externen Medium gebootet und geeignete Software genutzt werden.

Mit Verschlüsselung

Wurde der mobile Datenträger mit einem sicheren Verfahren vollständig verschlüsselt oder sind alle Daten in einem sicher verschlüsselten Container abgelegt, ist es ausreichend, das Schlüsselmaterial sicher zu löschen.

Als flankierende Maßnahme sollten alle Kopien von möglichen Schlüsselmaterial (z. B. Recovery Keys) gelöscht werden. Dafür ist eine Dokumentation der Schlüsselverwaltung hilfreich.

Ist unklar, ob alle Kopien des Schlüsselmaterials gelöscht wurden, oder ist die Qualität der Umsetzung der Festplattenverschlüsselung unklar, sollte zusätzlich die Löschung wie in den folgenden Abschnitten beschrieben durchgeführt werden.

Alle durchgeführten Schritte sollten protokolliert werden.

Flash-Speicher basierende Datenträger (USB-Stick, SSD)

USB-Sticks bieten im Allgemeinen keine speziellen Befehle zum Löschen bzw. ist bei SSDs oftmals die Qualität der Umsetzung unklar. Daher sollten auf Flash-Speicher basierende Medien mit einem Zufallsmuster mindestens zweimal vollständig überschrieben werden. Solche Medien besitzen mehr Speicherblöcke als sie zur Verfügung stellen. Die Datenmenge und das Muster beim Überschreiben dienen hier im Gegensatz zur Festplatte dazu, die Lastverteilung des Mediums dazu zu bringen, alle internen Speicherblöcke zu überschreiben.

Da die internen Speicherblöcke von außen nicht direkt adressiert werden können, kann nicht geprüft werden, ob alle Speicherblöcke überschrieben wurden. Allerdings wäre ein Zugriff auf solche Datenartefakte für einen Angreifer auch nur mit sehr hohem Aufwand möglich (Auslöten der Bausteine, Rekonstruieren der Datenstrukturen). Für Daten mit normalen Schutzbedarf und vertrauliche Daten ist dieses Vorgehen daher ausreichend.

Für unverschlüsselte streng vertrauliche Daten empfiehlt sich die physische Zerstörung und entsprechende Entsorgung der Medien, nachdem sie wie beschrieben gelöscht wurde. Vormals verschlüsselte Medien können nach dem Löschen wieder für Bereiche mit der gleichen Klassifizierung eingesetzt werden.

Als defekt deklarierte Medien sollten zuerst an mindestens einem weiteren System geprüft werden. Lassen sie sich dort auch nicht löschen, sollte das Medium physisch vernichtet und dann entsorgt werden, etwa durch ein spezielles Entsorgungsunternehmen.

Alle durchgeführten Schritte sollten protokolliert werden.

Sicheres Löschen von BlackBerry-OS-Geräten

Zum sicheren Löschen aller Daten auf dem BlackBerry muss die „Secure Wipe“-Funktion angestoßen werden. Dies ist über die folgenden Wege möglich:

  • Mittels des Mobile Device Management-Tool BlackBerry Enterprise Service durch die verantwortlichen Administratoren oder durch das Self-Service-Portal durch den Anwender selbst.
  • Bei einem entsperrten Gerät in der App „Einstellungen“ den Menüpunkt „Sicherheit und Datenschutz“ wählen, dort dann die Funktion „Sicherheitslöschung“ anwählen und die Löschung durch Eingabe von „blackberry“ bestätigen.
  • Bei einem gesperrten Gerät mehrfach das falsche Passwort eingeben.

Um die korrekte Löschung zu überprüfen, sollte das Gerät danach testweise mit einem Testnutzer wieder aktiviert werden und geprüft werden, ob sich noch Verknüpfungen, z. B. mit dem Mail-Account des ursprünglichen Benutzers finden lassen.

Bei erhöhtem Schutzbedarf kann der BlackBerry zusätzlich zur Verifikation mit einem Forensik-Tool ausgelesen werden. In diesem Fall muss der Testnutzer über eine gültige Blackberry-ID verfügen. Es wird empfohlen, dafür eine eigene Mailadresse einzurichten und darüber eine Blackberry-ID anzumelden.

Da die Löschung nur von der Betriebssoftware des Geräts ausgelöst wird und kein vollständiger Zugriff auf den eingebauten Datenspeicher möglich ist, ist eine vollständige Verifikation dennoch nicht möglich. Daher sollten Geräte auf denen vertrauliche Daten verarbeitet wurden, nach der sicheren Löschung vernichtet werden.

Alle durchgeführten Schritte sollten protokolliert werden.

Sicheres Löschen von iOS-Devices von Apple

Zum sicheren Löschen aller Daten auf einem iOS-Gerät muss das Zurücksetzen in den Werkszustand über einen der folgenden Wege angestoßen werden.

  • Durch den Anwender über die Löschfunktion über die Onlineplattform icloud.com. Hierzu muss sich der Anwender mit der Apple-ID anmelden unter der das Gerät aktiviert wurde.
  • Durch die verantwortlichen Administratoren der verwendeten Mobile-Device-Lösung, welche den Befehl zum zurücksetzen auf den Werkszustand (Wipe) auslösen.
  • Bei einem entsperrten Gerät in der App „Einstellungen“ den Menüpunkt „Allgemein“ wählen, dort dann die Funktion „zurücksetzen“ anwählen und die Löschung durch Auswahl „Alle Einstellungen“ initialisieren.
  • Bei einem gesperrten Gerät 10mal das falsche Passwort eingeben.

Um die korrekte Löschung zu überprüfen, sollte das Gerät danach testweise mit einem Testnutzer wieder aktiviert werden und geprüft werden, ob sich noch Verknüpfungen z. B. mit dem Mail-Account des ursprünglichen Benutzers finden lassen.

Bei erhöhtem Schutzbedarf kann das iPhone oder iPad zusätzlich zur Verifikation mit einem Forensik-Tool ausgelesen werden. In diesem Fall muss der Testnutzer über eine gültige Apple-ID verfügen. Es wird empfohlen dafür eine eigene Mailadresse einzurichten und darüber eine Apple-ID anzumelden.

Da die Löschung nur von der Betriebssoftware des Geräts ausgelöst wird und kein vollständiger Zugriff auf den eingebauten Datenspeicher möglich ist, ist eine vollständige Verifikation dennoch nicht möglich. Daher sollten Geräte, auf denen vertrauliche Daten verarbeitet wurden, nach der sicheren Löschung vernichtet werden.

Alle durchgeführten Schritte sollten protokolliert werden.

CON.7.M10 Verschlüsselung tragbarer IT-Systeme und Datenträger [Benutzer, IT-Betrieb]

Um zu verhindern, dass schützenswerte Informationen durch unberechtigte Dritte eingesehen werden können, muss vor Reiseantritt durch den Mitarbeiter sichergestellt werden, dass alle schützenswerten Informationen entsprechend den internen Richtlinien abgesichert sind.

Mobile Datenträger und Clients sollten vor Reiseantritt nach unternehmensinternen Verfahren und Regelungen verschlüsselt werden, um schützenswerte Daten vor unbefugten Zugriff zu schützen. Dies gilt insbesondere für wiederbeschreibbare Datenträger. Es besteht die Möglichkeit, Datenträger nur partiell zu verschlüsseln. Im Rahmen der Benutzerfreundlichkeit empfiehlt es sich allerdings, den gesamten Datenträger zu verschlüsseln, wenn dieser nicht für einen Datenaustausch mit Dritten benötigt wird. Eine Verschlüsselung des Datenträgers erreicht man entweder mit Software, wie z. B. BitLocker von Microsoft oder FileVault von Apple, oder auch mit spezieller Hardware. Zur Entschlüsselung von Clients ist ein kryptographischer Schlüssel notwendig, der in Form einer separaten Chipkarte oder eines USB-Tokens verwendet werden sollte. Hierbei sollte der Benutzer den kryptographischen Schlüssel und den verschlüsselten Datenträger bzw. Client getrennt voneinander aufbewahren.

Zudem ist es wichtig, Vorkehrungen gegen Datenverlust zu treffen, um Fehlfunktionen (Stromausfall, Abbruch der Verschlüsselung) systemseitig abzufangen. Darüber hinaus sind folgende Anforderungen sinnvoll:

  • Der genutzte Verschlüsselungsalgorithmus sollte den Anforderungen der Institution entsprechen.
  • Das Schlüsselmanagement muss mit den Funktionen des mobilen IT-Systems harmonisieren.
  • Das mobile IT-System muss die sicherheitskritischen Parameter wie Schlüssel sicher verwalten. So dürfen Schlüssel (auch mittlerweile nicht mehr benutzte) nie ungeschützt, das heißt auslesbar oder unverschlüsselt, abgelegt werden. Sie müssen möglichst getrennt vom verschlüsselten Gerät aufbewahrt werden.

Bei der Verschlüsselung von Daten ist auf vorhandene gesetzliche Regelungen des Ziellandes zu achten. So sind beispielsweise landesspezifische Gesetze über die Herausgabe von Passwörtern und Entschlüsselung von Daten zu beachten.

CON.7.M11 Einsatz von Diebstahl-Sicherungen [Benutzer]

Diebstahl-Sicherungen sind überall dort einzusetzen, wo große Werte zu schützen sind bzw. dort, wo andere Maßnahmen nicht umgesetzt werden können, wie etwa bei Laptops im mobilen Einsatz. Diebstahl-Sicherungen sind außerdem dort sinnvoll, wo Publikumsverkehr herrscht oder die Fluktuation von Benutzern sehr hoch ist. Dabei sollte immer bedacht werden, dass die zu schützenden Werte nur zu einem kleinen Teil aus den Wiederbeschaffungskosten für das Gerät bestehen, sondern bei Laptops und ähnlichen IT-Systemen der Wert der darauf gespeicherten Daten berücksichtigt werden muss.

Verhindern einer "Cold Boot Attacke"

In Bereichen, die nicht ausreichend gegen unbefugten Zutritt geschützt sind, könnte beispielsweise durch eine "Cold Boot Attacke" der Arbeitsspeicher ausgelesen werden. Gleiches gilt für Systeme, die durch "Suspend to RAM" in einen Energiesparmodus versetzt wurden.

Bei einer Cold Boot Attacke werden die Speicherbausteine stark gekühlt, bevor das System ausgeschaltet wird. Der Speicherinhalt bleibt dadurch mehrere Minuten erhalten und kann währenddessen mit geeignetem Gerät ausgelesen werden.

Cold Boot Attacken können nur verhindert werden, wenn Angreifer keine Möglichkeit haben, ungestört auf den Arbeitsspeicher eines aktiven IT-Systems zuzugreifen. Ein Zugriffsschutz, wie ein physisch verriegeltes Computer-Gehäuse, erschwert es, ein IT-System unbefugt zu öffnen, um den Arbeitsspeicher zu kühlen und auszubauen, kann es aber nicht dauerhaft unterbinden. Daher sollte ein unbenutztes IT-System stets ausgeschaltet werden, wenn es in keinem zutrittsgeschützten Bereich steht.

Arten von Diebstahl-Sicherungen

Mit Diebstahl-Sicherungen sollte je nach zu schützendem Objekt nicht nur das IT-System selbst, sondern auch Zubehör ausgestattet werden.

Auf dem Markt sind die unterschiedlichsten Diebstahl-Sicherungen erhältlich. Diese können zunächst in mechanische und elektronische Sicherungen unterteilt werden.

Mechanische Sicherungen

Zu den mechanischen Sicherungen gehören unter anderem Kabelsicherungen, Gehäusesicherungen (um das Gehäuse gegen Öffnung zu schützen), Sicherheitsplatten und Sicherheitsgehäuse. Es gibt hier zum einem Hardware-Sicherungen, die dem Diebstahl von IT-Geräten vorbeugen, z. B. durch das Verbinden des IT-Systems mit einem Schreibtisch. Es gibt zum anderen auch eine Reihe von Sicherungsmechanismen, die das Öffnen des Gehäuses verhindern sollen, um dem Diebstahl von Teilen oder der Manipulation von sicherheitsrelevanten Einstellungen wie dem Entfernen von Sicherheitskarten vorzubeugen.

Bei der Beschaffung mechanischer Sicherungen ist die Wahl eines guten Schlosses wichtig, das über eine auf die jeweiligen Bedürfnisse abgestimmte Schließanlage verfügt. Je nach Produkt sind verschiedene Schließanlagen möglich:

  • gleichschließend: Ein Schlüssel passt auf alle Gerätesicherungen einer Institution, Abteilung und so weiter. Dies hat den Vorteil, dass der Aufwand für die Schlüsselverwaltung geringer ist. Es hat aber auch den Nachteil, dass sehr viele gleichartige Schlüssel im Umlauf sein können und dass im Schadensfall häufig keine Beweissicherung möglich ist.
  • verschiedenschließend: Jede Gerätesicherung hat einen individuellen Schlüssel. Dies hat den Nachteil, dass der Aufwand für die Schlüsselverwaltung höher ist. Es hat aber den Vorteil, dass es weniger Schlüsseldubletten gibt.
  • Hauptschlüsselsystem: Jede Gerätesicherung hat einen individuellen Schlüssel, kann zusätzlich aber auch durch einen Hauptschlüssel geöffnet werden. Dies hat den Vorteil, dass der Aufwand für die Schlüsselverwaltung geringer ist. Es hat aber den Nachteil, dass solche Systeme teurer in der Anschaffung sind.

Die meisten Notebooks, aber auch viele andere Geräte, haben eine kleine Öffnung, welche mit einem Ketten- oder Schloss-Symbol gekennzeichnet ist ("Kensington-Lock"). Diese Öffnung (ca. 3 x 7 mm) befindet sich seitlich oder hinten am Gerät. Es gibt eine breite Palette von Kabelsicherungen und anderen Produkten, welche diese Öffnung für die Sicherung von Geräten nutzt.

Bei Kabelsicherungen muss dann eine Kabelschlinge um ein solides Objekt in der Nähe des Gerätes gelegt, das zugehörige Schloss durch die entstandene Lasche gezogen und abgeschlossen werden.

Für Geräte, die diese Öffnung nicht haben, oder wo diese nicht stark genug ist, gibt es Sicherungsprodukte, bei denen eine stabile Platte auf das Gerät geklebt wird. An dieser wird dann das Sicherungskabel befestigt.

Elektronische Sicherungen

Daneben gibt es elektronische Sicherungen, die beispielsweise einen akustischen Abschreckungsalarm am Gerät selber auslösen, der potentielle Diebe dazu bringen soll, dass Gerät liegen zu lassen. Weitere Sicherungseinrichtungen sind z. B. Warensicherungsanlagen (mit EAS-Antennen oder Sicherungsetiketten) oder auch Kamera- bzw. Videoüberwachungsanlagen.

Es ist zu beachten, dass diese Sicherungen üblicherweise keinen umfassenden Schutz bieten und in unterschiedlicher Qualität verfügbar sind. Allgemein schützen sie vor allem vor "Mitnahme" und weniger vor gezieltem Diebstahl. Ein guter Vergleich sind Fahrradschlösser, die eine ähnliche Nutzenbilanz haben.

Bei Neuanschaffung von IT-Geräten sollte trotzdem darauf geachtet werden, dass diese Ösen am Gehäuse besitzen, um sie an anderen Gegenständen befestigen zu können, und dass die Gehäuse abschließbar sind.

CON.7.M12 Sicheres Vernichten von schutzbedürftigen Materialien und Dokumenten [Benutzer]

Innerhalb der eigenen Institution gibt es in der Regel eingeübte Verfahren, wie alte oder unbrauchbare Datenträger und Dokumente zu entsorgen sind, allerdings ist dies auf Reisen so nicht möglich. Daher ist vor der Entsorgung ausgedienter Datenträger und Dokumente genau zu überlegen, ob diese schützenswerte Informationen enthalten könnten. Ist dies der Fall, müssen die Datenträger und Dokumente im Zweifelsfall wieder mit zum Herkunftsort bzw. zurück in die eigene Institution genommen werden. Vor Ort sollten möglichst wenig schutzwürdige Materialien oder Dokumente erzeugt werden.

Auch Akten- und Datenvernichter ("Shredder") in fremden Institutionen sollten mit Vorsicht betrachtet werden, da hier nicht unbedingt ersichtlich ist, wer die Entsorgung durchführt bzw. wie zuverlässig diese ist.

Weiterhin ist zu beachten, dass Experten unter Umständen auch von defekten Datenträgern wertvolle Informationen zurückgewinnen können. Solche Datenträger dürfen deshalb ebenfalls nicht einfach weggeworfen werden, wenn sich darauf noch schützenswerte Daten befinden könnten.

Werden Unternehmen im Ausland mit der Entsorgung von schützenswerten Betriebsmitteln beauftragt, sind diese daraufhin zu überprüfen, ob der Entsorgungsvorgang verlässlich ist.

Es sollten dem Reisenden Möglichkeiten zum sicheren Löschen auf Reisen oder sicherem Transport ins Unternehmen bereitgestellt werden. Dies kann z. B. in Form:

  • der Bereitstellung von Equipment für die Reise,
  • von Zusammenarbeit mit einem lokalen Dienstleistern,
  • der Zusammenarbeit mit Kurieren,
  • der Nutzung von institutionseigenen Filialen

ermöglicht werden.

Die Sicherheitsrichtlinie muss die Regelungen enthalten, wie Mitarbeiter unterwegs mit ausgedienten Datenträgern und Dokumenten umgehen sollen.

Generell sollten Datenträger bis zur Entsorgung bzw. Abholung vor unbefugten Zugriff gesichert und auf der gesamten Transportstrecke geschützt werden. Auch bei einer Entsorgung nach den entsprechenden Sicherheitsstufen sollten Datenträger zuvor sicher gelöscht werden.

Eine DIN-gerechte Entsorgung von physischen Datenträgern ist allerdings im Ausland nur schwer möglich. Daher wird empfohlen, Dokumente und Datenträger wieder mit in die eigene Institution zu nehmen und dort nach einem geregelten Verfahren zu entsorgen.

2.2 Standard-Maßnahmen

Gemeinsam mit den Basis-Maßnahmen entsprechen die folgenden Maßnahmen dem Stand der Technik im Bereich "Informationssicherheit auf Auslandsreisen".

CON.7.M13 Mitnahme von Daten und Datenträgern [IT-Betrieb, Benutzer]

Die Daten auf IT-Systemen, die außerhalb der eigenen Liegenschaften eingesetzt werden, wie Notebooks, Mobiltelefone, Tablets, mobile Festplatten, Austauschsticks und weitere, müssen ausreichend durch Sicherheitsmaßnahmen geschützt werden. Vor allem sollte die Mitnahme von Datenträgern und IT-Komponenten auf Auslandsreisen klar geregelt werden. Dazu gehören folgende Regeln:

  • Die IT-Systeme dürfen nicht als Fluggepäck aufgegeben werden, sondern sind direkt vom Reisenden (als Handgepäck) mitzuführen.
  • IT-Systeme müssen stets sicher aufbewahrt werden. Bei Dienstreisen sollten sie nicht unbeaufsichtigt gelassen werden. Insbesondere sollten sie nicht in Fahrzeugen zurückgelassen werden.
  • Die Absicherung des Zugriffs auf die IT-Systeme ist mit den vorgeschriebenen Sicherheitsmaßnahmen umzusetzen, z. B. durch PINs oder Passwörter.
  • IT-Systeme oder Datenträger, die schützenswerte Daten enthalten, sollten möglichst komplett verschlüsselt werden. Wenn IT-Systeme eine einfach nutzbare Verschlüsselung ermöglichen, ist es empfehlenswert, dass diese Funktionen auch genutzt werden, wenn lediglich weniger schützenswerte Daten auf den IT-Systemen gespeichert sind. Die kryptographischen Schlüssel sollten getrennt vom verschlüsselten Gerät aufbewahrt werden.
  • Es kann sinnvoll sein, für Auswärtseinsätze dedizierte mobile IT-Systeme zu nutzen. Die Verwaltung, Wartung und Weitergabe solcher extern eingesetzten IT-Systeme sollte geregelt werden. Hierzu können beispielsweise Geräte-Pools eingerichtet werden.
  • Es sollte protokolliert werden, wann und von wem welche IT-Komponenten außer Haus eingesetzt werden und in welchem Land diese sich befinden.

Vor Reiseantritt sollte zunächst geprüft werden, welche internen Daten nicht unbedingt auf dem IT-System gebraucht werden. Ist es nicht notwendig, diese Daten auf dem Gerät zu belassen, sollten diese sicher gelöscht werden (siehe CON.7.M9 Sicherer Umgang mit mobilen Datenträgern). Ergibt sich allerdings die Notwendigkeit, schützenswerte Daten mit auf Reisen zu nehmen, sollte dies nur in verschlüsselter Form erfolgen.

Außerhalb der organisationseigenen Liegenschaften sind die Mitarbeiter für den Schutz der ihnen anvertrauten IT verantwortlich. Darauf und auf die zu ergreifenden Vorsichtsmaßnahmen sind sie hinzuweisen.

Dabei sollte schriftlich geregelt sein, welche mobilen Datenträger auf Auslandsreisen mitgenommen werden dürfen und welche Sicherheitsmaßnahmen dabei zu berücksichtigen sind (z. B. Schutz vor Schadsoftware, Verschlüsselung geschäftskritischer Daten, Aufbewahrung mobiler Datenträger). Mitarbeiter sollten diese Regelungen vor Reiseantritt kennen und beachten .

Es sollte festgelegt werden,

  • welche IT-Systeme bzw. Datenträger außer Haus mitgenommen werden dürfen,
  • wer IT-Systeme bzw. Datenträger außer Haus mitnehmen darf,
  • welche grundlegenden Sicherheitsmaßnahmen dabei beachtet werden müssen (Virenschutz, Verschlüsselung schützenswerter Daten, Aufbewahrung, etc.).

Die Art und der Umfang der anzuwendenden Sicherheitsmaßnahmen für extern eingesetzte IT-Systeme hängen einerseits vom Schutzbedarf der darauf gespeicherten IT-Anwendungen und Daten und andererseits von der Sicherheit der Einsatz- bzw. Aufbewahrungsorte ab.

Aufbewahrung tragbarer IT-Systeme und schützenswerter Informationen

Die Benutzer von tragbaren IT-Systemen sind vor Auslandsreisen besonders darauf hinzuweisen, diese geeignet aufzubewahren. Benutzer mobiler IT-Systeme müssen darauf achten, dass sie die Geräte auch außerhalb der Institution sicher aufbewahren. Gleiches gilt auch für schützenswerte Informationen. Folglich werden Sicherheitshinweise gegeben, die bei der mobilen Nutzung zu beachten sind:

  • Tragbare IT-Systeme sollten nicht unbeobachtet bzw. ungeschützt aufbewahrt werden. Auch beim Verlassen fremder Büroräumlichkeiten sollte darauf geachtet werden, dass die mitgebrachten IT-Systeme und Datenträger nicht ungesichert herumliegen. Deshalb sollte entweder der Raum verschlossen oder die IT-Systeme und Datenträger mitgenommen werden. Bei Verlassen des Raums sollte das Gerät ausgeschaltet oder die Zugriffssperre aktiviert werden, um einen unbefugten Zugriff zu unterbinden. Überall dort, wo andere Maßnahmen wie geeignete Zutrittskontrolle nicht umgesetzt werden können, sollten Diebstahl-Sicherungen eingesetzt werden.
  • Auch in Hotelräumen sollten tragbare IT-Systeme nicht ungesichert zurückgelassen werden. Das Gerät kann z. B. im hotelzimmereigenen Safe eingeschlossen werden, sodass eine erste Hemmschwelle für den Diebstahl oder Missbrauch mobiler IT-Systeme errichtet wird. Hochschutzbedürftige Informationen sollten allerdings auch nicht in einem hoteleigenen Safe aufbewahrt werden.
  • Schützenswerte Informationen, die nicht unbedingt benötigt werden, sollten auf Reisen nicht mitgeführt werden. Ist dies allerdings doch notwendig, sollten Informationen im Handgepäck mitgeführt werden. Das Handgepäck darf nie unbeaufsichtigt bleiben.
  • Wichtige Hinweise und allgemeine Handlungsanweisungen zur geeigneten Aufbewahrung und zum sicheren Transport tragbarer IT-Systeme sollten neben der Aufnahme in die Sicherheitsrichtlinie für die Benutzer separat auf einem Merkblatt zusammengefasst werden.

CON.7.M14 Kryptographisch abgesicherte E-Mail-Kommunikation [Benutzer, IT-Betrieb]

E-Mails sollten von den Mitarbeitern entsprechend den internen Vorgaben der Institution kryptographisch abgesichert werden.

Bei der E-Mail-Kommunikation im Ausland sollten Benutzer ihre E-Mails verschlüsseln, wenn diese vertrauliche Informationen enthalten, damit diese im Rahmen der Ende-zu-Ende-Verschlüsselung inhaltlich nur dem Sender und Empfänger bekannt sind. E-Mails sollten so verschlüsselt werden, dass sie nicht auf dem Weg zwischen Sender und Empfänger manipuliert werden können. E-Mails ohne vertrauliche Informationen sollten zumindest signiert werden, um die Authentizität der Kommunikationspartner sicherzustellen.

Benutzer sollten nicht über öffentliche IT-Systeme auf ihre Mails zugreifen, da hier die Zugangsdaten oder sogar Inhalte der E-Mails in unberechtigte Hände gelangen können. Zu solchen öffentlichen IT-Systemen gehören z. B. Surfstationen in Hotels oder Rechner in Internetcafés. Diese sind nicht vertrauenswürdig.

Umsetzungshinweise und Empfehlungen zur kryptographische Absicherung der E-Mail Kommunikation ist im Baustein APP1.4 Groupware enthalten.

2.3 Maßnahmen für erhöhten Schutzbedarf

Im Folgenden sind Maßnahmenvorschläge aufgeführt, die über das dem Stand der Technik entsprechende Schutzniveau hinausgehen und bei erhöhtem Schutzbedarf in Betracht gezogen werden sollten. Die jeweils in Klammern angegebenen Buchstaben zeigen an, welche Grundwerte durch die Maßnahme vorrangig geschützt werden (C = Vertraulichkeit, I = Integrität, A = Verfügbarkeit).

CON.7.M15 Abstrahlsicherheit tragbarer IT-Systeme [IT-Betrieb](C)

Es sollte vor Beginn der Reise festgelegt werden, welchen Schutzbedarf die einzelnen Informationen haben, die auf mobilen Datenträgern bzw. Clients im Ausland verarbeitet werden. Informationstragende oder auch bloßstellende Abstrahlung dieser Datenträger und Clients kann von anderen empfangen bzw. abgefangen werden, sodass Informationen rekonstruiert und die Vertraulichkeit dieser Daten in Frage gestellt werden können. Die Institution sollte hier prüfen, ob ein solcher Schutzbedarf für vertrauliche Informationen vorliegt, der abstrahlarme bzw. -sichere Datenträger und Clients erfordert.

Hersteller von PC-Bildschirmen werben häufig mit dem Begriff "abstrahlarm" nach MPR II, TCO oder SSI. Diese Richtlinien berücksichtigen jedoch ausschließlich mögliche gesundheitsschädliche Auswirkungen der Gerätestrahlung. Die Messverfahren und Grenzwerte für die Strahlung sind daher für den Nachweis bloßstellender Abstrahlung ungeeignet und ermöglichen wie auch Messungen zur elektromagnetischen Verträglichkeit (EMV) keine Bewertung der Sicherheit gegen unberechtigtes Mitlesen der Daten.

Daneben werden aber auch speziell abstrahlgeschützte IT-Systeme angeboten. Ein detailliertes Prüfkonzept des BSI dient zur abgestuften Prüfung von IT-Geräten bzw. -Systemen. Grundgedanke dieses Konzeptes ist es, den Umfang der Schutzmaßnahmen so gut wie möglich an die vom Anwender angenommene Bedrohungslage anzupassen, um so bei minimiertem Kostenaufwand ein Optimum an Abstrahlsicherheit zu erzielen. So kann z. B. in vielen Fällen ein nach dem Zonenmodell (siehe BSI Konzept zum Schutz staatlicher Verschlusssachen) geprüftes und für den Einsatz in den Zonen 1-3 zugelassenes Gerät (sog. "Zone 1-Gerät") bereits einen hinreichenden Schutz gegen unberechtigtes Abhören vertraulicher Daten infolge bloßstellender Abstrahlung bieten.

Als Beispiel sei erwähnt, dass bei Tastaturen durch die elektromagnetische Abstrahlung der Tastaturmatrix und des Verbindungskabels eine Abhörgefährdung besteht. Dies gilt auch für kabellose Tastaturen. Die Abhörgefährdung ist aber bei kabelgebundenen Tastaturen im Allgemeinen wesentlich geringer als die Abhörgefahr durch den Einsatz von Funkkommunikationsstrecken bei kabellosen Eingabegeräten. Für Systeme mit proprietären Sicherheitsmaßnahmen, die kein Sicherheitszertifikat aufweisen, ist der Sicherheitswert nicht einschätzbar. Der Benutzer geht hierbei das Risiko ein, dass die nicht evaluierte Lösung des Herstellers nur eine minimale Sicherheit bietet, die aber bei weitem nicht ausreicht, um seine Daten effektiv zu schützen.

Bei hohem oder sehr hohem Schutzbedarf in Bezug auf die Vertraulichkeit sollte deshalb geprüft werden, ob ein Hersteller abstrahlgeschützte Geräte gemäß dieser sog. "TEMPEST"-Kriterien in seinem Lieferprogramm anbietet.

Dies kann durch eine Rückfrage beim Hersteller, beim BSI bzw. durch Einsicht in die offizielle Produktübersicht BSI TL 03305, welche auf der Internetseite des BSI unter dem Stichwort Publikationen verfügbar ist, geklärt werden. Dabei gehört zu der Aussage, dass für ein Gerät eine TEMPEST-Zulassung vorliegt, immer auch die Aussage des Zulassungsgrades (z. B. zugelassen für den Einsatz in den Zonen 1-3 gemäß Zonenmodell).

CON.7.M16 Integritätsschutz durch Check-Summen oder digitale Signaturen(I)

Check-Summen werden im Rahmen der Datenübertragung oder auch Datensicherung verwendet, um die Integrität der Daten zu bewahren. Bei Check-Summen (Prüfsummen, Hash) handelt es sich um einen Wert, mit dem die Integrität von Daten überprüft werden kann. Vor z. B. dem Versenden von Daten sollte auf der Senderseite die Check-Summe von gespeicherten bzw. zu übertragenen Daten über ein entsprechendes Programm berechnet werden. Auf der Empfängerseite sollte anhand des gleichen Verfahrens die Check-Summe aus den empfangenen Daten errechnet und beide Check-Summen verglichen werden. Ein Abgleich beider Check-Summen lässt auf die Korrektheit oder auch Manipulation der übertragenen Daten schließen.

Besser noch sollten digitale Signaturen verwendet werden, um die Vertraulichkeit und Integrität von schützenswerten Informationen zu bewahren. Bei digitalen Signaturen handelt es sich um ein asymmetrisches Kryptoverfahren, bei dem z. B. eine E-Mail oder eine Datei mit einem Wert versehen wird, der als digitale Signatur bekannt ist. Diese Signatur kann die Integrität eines Dokumentes über eine Check-Summe und einen Zeitstempel für einen definierten Zeitpunkt sicherstellen. Mithilfe eines passend zugeordneten Verifikationsschlüssels kann der Empfänger dieser Nachricht die Integrität dieser feststellen.

Soll das mobile IT-System über Mechanismen zur Integritätsprüfung verfügen, sind folgende Anforderungen sinnvoll:

  • Es sollten Verfahren zur Integritätsprüfung eingesetzt werden, die absichtliche Manipulationen am IT-System bzw. den darauf gespeicherten Daten sowie ein unbefugtes Einspielen von Programmen zuverlässig aufdecken können.
  • Bei der Datenübertragung müssen Mechanismen eingesetzt werden, mit denen absichtliche Manipulationen an den Meta- und den Nutzdaten erkannt werden können. Daneben darf die bloße Kenntnis der eingesetzten Algorithmen ohne spezielle Zusatzkenntnisse nicht ausreichen, um unerkannte Manipulationen an den oben genannten Daten vornehmen zu können.

CON.7.M17 Verwendung dedizierter Reise-Hardware [IT-Betrieb](CIA)

Zur Verhinderung des unberechtigten Abflusses von schützenswerter Informationen der Institution auf Auslandsreisen (z. B. bei der Einreise oder der Ausreise) sollten den Mitarbeitern vorkonfigurierte Reise-Notebooks zur Verfügung gestellt werden. Diese Reise-Notebooks sollten auf Basis des Minimalprinzips nur die Funktionen und Informationen zur Verfügung stellen, die zur Fortführung der Geschäftstätigkeit unbedingt erforderlich sind.

CON.7.M18 Eingeschränkte Berechtigungen auf Auslandsreisen [IT-Betrieb, Fachverantwortliche](CI)

Vor Reiseantritt sollte die Institution prüfen, welche Berechtigungen der Mitarbeiter wirklich braucht, um seinem Alltagsgeschäft im Ausland nachgehen zu können. Dabei sollte geprüft werden, ob Zugriffsrechte, auf z. B. interne Laufwerke der Institution, für die Reisedauer dem Mitarbeiter entzogen werden können, um einen unbefugten Zugriff auf diese zu verhindern. Der Benutzer hat dann nur auf jene Laufwerke Zugriff, die zur Ausübung seiner Tätigkeit essentiell sind.

Bei Auslandsaufenthalten ist darauf zu achten, dass Benutzerumgebung und Startprozedur für den Benutzer und an seine Aufgabe angepasst sind. Sind Editor-Programme oder Compiler nicht für die Aufgabenerfüllung des Benutzers erforderlich, ist die Nutzung im Ausland zu unterbinden. Die Änderung oder der Abbruch von Startskripten durch den Benutzer ist zu verhindern. Es ist eine Regelung bzgl. der Nutzerumgebung temporärer Benutzerkonten bei Auslandsreisen zu treffen. Bei Auslandsreisen sind vorhandene Sicherheitsmaßnahmen und -merkmale des eingesetzten IT-Betriebssystems wie die Benutzerkontensteuerung (UAC) zu aktivieren, um die Einschränkung der Benutzerumgebung durchzusetzen. Der Zugriff von Auslandsreisenden auf das interne Netz ist auf das erforderliche Maß einzuschränken.

3 Weiterführende Informationen

3.1 Wissenswertes

Hier werden ergänzende Informationen aufgeführt, die im Rahmen der Maßnahmen keinen Platz finden, aber dennoch beachtenswert sind. Derzeit liegen für diesen Baustein keine entsprechenden Informationen vor. Sachdienliche Hinweise nimmt die IT-Grundschutz-Hotline gerne unter grundschutz@bsi.bund.de entgegen.

3.2 Literatur

Weiterführende Informationen zu Gefährdungen und Sicherheitsmaßnahmen im Bereich "Informationssicherheit auf Auslandsreisen" finden sich unter anderem in folgenden Veröffentlichungen:

  • [27001A7] ISO/IEC 27001:2013 - Annex A.7 Human resource security

    Information technology- Security techniques- Information security management systems- Requirements, Insebsondere Annex A, A.7 Human resource security, ISO, 2013

  • [ISFCF2] The Standard of Good Practice

    insbesondere Area CF2 Human Resource Security, Information Security Forum (ISF), 06.2014

  • [NIST80053] Security and Privacy Controls for Federal Information Systems and Organizations

    Special Publication 800-53, Revision 4, NIST, 04.2013 http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r4.pdf

  • [TR03305] BSI TR 03305 zur Abstrahlsicherheit von IT-Systemen

  • [VPN] Empfehlungen zu VPNs

    Weitere Empfehlungen des BSI zum sicheren Aufbau und Betrieb von VPNs finden sich auf der Webseite www.bsi.bund.de, Stichwort Internet-Sicherheit

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK