Bundesamt für Sicherheit in der Informationstechnik

Umsetzungshinweise zum Baustein OPS.1.2.3 Informations- und Datenträgeraustausch

Schnell zum Abschnitt

1 Beschreibung

1.1 Einleitung

Für den Informationsaustausch müssen zunächst Vertrauensbeziehungen zwischen den Kommunikationspartnern aufgebaut werden und geklärt werden, wie die ausgetauschten Informationen geschützt werden müssen und wie sie transportiert werden sollen.

Auch bei einer breitbandigen Netzanbindung kann es aus verschiedenen Gründen sinnvoll oder notwendig sein, für den Informationsaustausch Datenträger zu übermitteln. Datenträger können bei persönlichen Treffen oder auch per Versand ausgetauscht werden. Typischerweise verwendete Datenträger sind Wechselplatten, CD-ROMs, DVDs, USB-Sticks und -Festplatten. Dabei sollte nicht vergessen werden, dass auch Papierdokumente Datenträger sind, für die dieselben Sicherheitsanforderungen zu beachten sind, abhängig vom Schutzbedarf der jeweiligen Informationen.

Daneben wird in diesem Baustein auch die Speicherung der Daten auf dem Sender- und Empfänger-System, soweit es in direktem Zusammenhang mit dem Datenträgeraustausch steht, sowie der Umgang mit den Datenträgern vor bzw. nach dem Transfer berücksichtigt.

Beschrieben wird der Prozess des Informations- und Datenträgeraustausches, z. B. bei persönlichen Treffen, über IT-Netze oder auch per Versand.

1.2 Lebenszyklus

Planung und Konzeption

Im Vorfeld des Informations- und Datenträgeraustausches ist zu klären und verbindlich festzulegen, unter welchen Rahmenbedingungen und mit welchen Kommunikationspartnern ein Austausch stattfinden darf (siehe OPS.1.2.3.M2 Regelung des Informationsaustausches und OPS.1.2.3.M7 Regelung des Datenträgeraustausches).

Beschaffung

Die Auswahl geeigneter Datenträger ist mit den Kommunikationspartnern abzustimmen.

Umsetzung

Um Sicherheitsproblemen beim Informationsaustausch vorzubeugen, sollten geeignete Sicherheitsmaßnahmen festgelegt werden, die für die jeweiligen Schutzbedarf, Datenarten und Transportwege angemessen sind. Um eventuelle Schäden durch unsachgemäße Behandlung der Datenträger beim Transport so gering wie möglich zu halten, sollte eine geeignete Versandart festgelegt werden, die, je nach verwendetem Datenträger (z. B. Schriftstücke, CD-ROM, Magnetband) durchaus unterschiedlich sein kann.

Betrieb

Bei der Durchführung des Informations- und Datenträgeraustauschs ist eine Reihe von Maßnahmen zu beachten, um mögliche Schäden zu vermeiden bzw. in ihren Auswirkungen zu minimieren. Dazu gehören Zugriffs- und Manipulationsschutz, z. B. durch Verschlüsselung ebenso wie bei Datenträgern eine sichere Aufbewahrung und Verpackung sowie eine eindeutige Kennzeichnung, um die Verwechslungsgefahr zu verringern. Zur allgemeinen Hygiene gehört bei digitalen Informationen eine Überprüfung auf Computer-Viren vor dem Versenden oder der Übergabe und ebenfalls nach dem Empfang.

Aussonderung

Wenn Datenträger mit unterschiedlichen Kommunikationspartnern ausgetauscht werden, sollten diese Datenträger vor ihrer erneuten Verwendung physikalisch gelöscht werden, um die Übermittlung von Informationsresten an den falschen Empfänger zu vermeiden.

Notfallvorsorge

Da es nie auszuschließen ist, dass Informationen ihren Empfänger nicht erreichen, beispielsweise weil Datenträger beim Transport verloren gehen, sollten die übermittelten Daten zumindest so lange noch lokal in einer Kopie vorgehalten werden, bis der korrekte Empfang bestätigt wurde. Je nach Art und Zweck des Informations- und Datenträgeraustausches kann auch eine längere Speicherung als Beweismittel für spätere Konflikte erforderlich sein.

2 Maßnahmen

Im Folgenden sind spezifische Umsetzungshinweise im Bereich "Informations- und Datenträgeraustausch" aufgeführt.

2.1 Basis-Maßnahmen

Die folgenden Maßnahmen sollten vorrangig umgesetzt werden:

OPS.1.2.3.M1 Festlegung zulässiger Kommunikationspartner [Leiter Organisation]

Sollen Informationen an einen Kommunikationspartner außerhalb der eigenen Institution übertragen werden, so muss sichergestellt werden, dass der Empfänger die notwendigen Berechtigungen zum Erhalt und zum Weiterverarbeiten dieser Informationen besitzt. Ebenso muss die Identität des Kommunikationspartners überprüft werden, bevor vertrauliche Informationen weitergegeben werden. Werden Informationen zwischen mehreren kommunizierenden Stellen ausgetauscht, so sollte für alle Beteiligten ersichtlich sein, wer diese Informationen ebenfalls erhalten hat beziehungsweise erhalten wird. Um die oben genannten Kriterien zu erfüllen, muss festgelegt werden, welche Kommunikationspartner welche Informationen erhalten dürfen. Hierfür ist es erforderlich, dass alle Informationen entsprechend ihrer strategischen Bedeutung für die Institution klassifiziert sind.

OPS.1.2.3.M2 Regelung des Informationsaustausches [Leiter Organisation]

Informationen können in unterschiedlichen Formen vorliegen. Meistens werden im Bereich des IT-Grundschutzes in Papierform vorliegende Informationen bzw. elektronisch erfasste Informationen betrachtet. Generell müssen alle Informationen angemessen geschützt werden, angefangen von Gedanken und Ideen über geschriebene und gedruckte Darstellungen bis zu elektronischen Nachrichten, Sprach-, Bild oder Videoaufzeichnungen.

Sollen zwischen zwei oder mehreren Kommunikationspartnern Informationen ausgetauscht werden, so ist zu deren Schutz eine Reihe von unterschiedlichen Aspekten zu beachten. Bei jeder Art von Informationsaustausch ist zunächst zu klären,

  • wie schutzbedürftig diese sind,
  • mit wem diese ausgetauscht werden dürfen (siehe OPS.1.2.3.M1 Festlegung zulässiger Kommunikationspartner) und
  • wie diese dabei zu schützen sind, z. B. indem sie verschlüsselt werden.

Hierfür müssen klare und verständliche Regelungen vorliegen, die alle Formen des Informationsaustausches abdecken, also zum Beispiel den mündlichen Austausch ebenso wie Datenaustausch per Datenträger, Mail, Fax, (Mobil-) Telefon oder Internet. Generell muss sichergestellt sein, dass Informationen nicht in falsche Hände, Augen und Ohren gelangen können und sie nicht unbemerkt verändert werden können.

Allen Mitarbeitern muss bewusst sein, dass sie dafür verantwortlich sind, interne Informationen angemessen zu schützen. Beispielsweise dürfen Ideenskizzen auf Papier nicht in Besprechungsräumen liegengelassen werden, Projektplanungen nicht in öffentlichen Verkehrsmitteln oder im Restaurant diskutiert werden, Anrufern nicht ungeprüft Interna mitgeteilt werden. Schutzbedürftige Informationen dürfen nicht unbeaufsichtigt an Druckern oder Faxgeräten ausgedruckt oder gar liegengelassen werden. Wandtafeln und Whiteboards in Besprechungs-, Schulungs- und Veranstaltungsräumen müssen am Ende der jeweiligen Sitzung gereinigt werden, benutzte Flipchart-Blätter sind gegebenenfalls zu entfernen. Mitarbeiter sollten regelmäßig auf solche Aspekte hingewiesen werden, beispielsweise über passende Erläuterungen und Veranschaulichungen im Intranet oder in der Hauszeitung.

Die Empfänger müssen darauf hingewiesen werden, dass die übermittelten Daten nur zu dem Zweck benutzt werden dürfen, zu dem sie weitergegeben wurden. Auch aus Datenschutzgründen (siehe zum Beispiel BDSG, Weitergabekontrolle) sollte eine Übersicht erstellt werden, welche Empfänger berechtigt sind, Informationen, insbesondere personenbezogene Daten, per Datenübertragung oder Datenträgeraustausch zu erhalten.

Beispiel:

Eine Institution schließt mit einem Cloud-Diensteanbieter einen Vertrag zur Nutzung eines definierten Cloud Services. Der gewählte Cloud-Diensteanbieter nutzt zur Leistungserbringung seinerseits Services eines Subauftragnehmers und gibt die Daten der Institution zur Verarbeitung an diesen weiter. Alle Kommunikationswege sowie die Art und der Umfang der weitergegebenen Daten sind in diesem Fall durch den Cloud-Diensteanbieter transparent darzulegen.

Bei Kommunikationspartnern sollte regelmäßig überprüft werden, ob diese berechtigt sind, die jeweiligen Informationen zu erhalten. So könnte sich unter anderem die Firmenzugehörigkeit, die Post- oder E-Mail-Adresse oder die Faxnummer geändert haben und übermittelte Informationen so die Falschen erreichen. Bei einem Erstkontakt sollte zusätzlich die Identität des Gegenübers überprüft werden, da Visitenkarten auf beliebige Namen ausgestellt werden können. Daher ist es zu empfehlen, bei neuen Geschäftspartnern Rückfrage in deren Behörde oder Unternehmen zu halten oder Referenzen einzuholen.

Wie analoge und elektronische Informationen beim Informationsaustausch zu schützen sind, ist unter anderem ausführlich im Baustein APP.1.1 E-Mail/Groupware beschrieben.

OPS.1.2.3.M3 Unterweisung des Personals zum Informationsaustausch [Fachverantwortliche]

Mitarbeiter müssen ausreichend darüber informiert werden, welche Rahmenbedingungen und Restriktionen bei der Informationsweitergabe einzuhalten sind (siehe OPS.1.2.3.M2 Regelung des Informationsaustausches). Wenn sie hierin nur unzulänglich eingewiesen werden, kann dies zu einer Vielzahl von Sicherheitsproblemen führen. Hierzu gehört beispielsweise, dass Mitarbeiter darüber informiert werden,

  • mit welchen Kommunikationspartnern welche Informationen ausgetauscht werden dürfen (siehe OPS.1.2.3.M1 Festlegung zulässiger Kommunikationspartner),
  • dass die Identität der Kommunikationspartner überprüft werden sollte, bevor vertrauliche Informationen weitergegeben werden,
  • in welchen Räumlichkeiten Informationen kommuniziert und verarbeitet werden dürfen,
  • über welche IT-Netze Informationen transportiert werden dürfen und wie diese dabei abzusichern sind,
  • welche Arten von Datenträger für Datenträgeraustausch zulässig sind und wie diese abzusichern sind.

Außerdem sind die prinzipiellen Schritte für den Ablauf eines Informations- und Datenträgeraustausches zu fixieren und zu veröffentlichen, z. B. im Intranet. Die Mitarbeiter sind zur Einhaltung der Regelungen zu verpflichten.

Zusätzlich müssen die am Informations- und Datenträgeraustausch beteiligten Mitarbeiter sensibilisiert werden, welche konkreten Gefährdungen vor, während und nach dem Transport bestehen. Dementsprechend müssen diese Mitarbeiter ausführlich mit den einzuhaltenden Sicherheitsmaßnahmen vertraut gemacht werden.

Bevor digitale Datenträger eingelesen werden, die im Postfach lagen, obwohl sie nicht erwartet wurden, sollte bei den angegebenen Absendern nachgefragt werden, ob sie die Datenträger wirklich geschickt haben (siehe auch OPS1.1.4 Schutz vor Schadprogrammen). Dasselbe ist bei E-Mail oder anderer Kommunikation zu beachten. Bei unbekanntem Absender oder nicht erwarteten Lieferungen sollte das Sicherheitsmanagement informiert werden, wenn von der Leitungsebene keine anderen Regelungen für diesen Fall verabschiedet wurden.

Werden bestimmte IT-gestützte Verfahren zum Schutz der Daten während des Austausches eingesetzt (wie etwa Verschlüsselung oder Checksummen-Verfahren), so sind die dafür zuständigen Mitarbeiter in die Handhabung dieser Verfahren ausreichend einzuarbeiten.

OPS.1.2.3.M4 Schutz vor Schadsoftware [Benutzer]

Unmittelbar vor und unmittelbar nach einer Datenübertragung sowie beim Austausch bzw. beim Versand von Datenträgern müssen diese auf Schadsoftware überprüft werden (siehe OPS1.1.4 Schutz vor Schadprogrammen). Dabei ist darauf zu achten, dass das eingesetzte Schutzprogramm auch Makro-Viren erkennen kann und es sich auf einen aktuellen Stand befindet.

Der Absender sollte ein Protokoll der Schadsoftware-Überprüfung dem übermittelten Datenträger beifügen oder einer Datei, die elektronisch versandt wird, anhängen. Es empfiehlt sich, dieses Protokoll als Kopie zu verwahren. Der Empfänger hätte anhand dieses Protokolls einen ersten Eindruck von der Integrität der übermittelten Daten. Dies entbindet den Empfänger jedoch nicht von einer erneuten Schadsoftware-Überprüfung. Der Absender kann andererseits bei eventuellen Beschwerden bezüglich Schadsoftwareplausibel machen, dass ein Befall bei ihm unwahrscheinlich war.

OPS.1.2.3.M5 Verlustmeldung [Benutzer]

Verlust oder Diebstahl eines Datenträgers beim Datenträgeraustausch oder der Verdacht auf Manipulation muss umgehend gemeldet werden. Das gilt auch für private Datenträger, die dienstlich genutzt werden. Hierfür muss es in jeder Institution klare Meldewege und Ansprechpartner geben. Bei Verlust eines Datenträgers muss schnell gehandelt werden, da es hier nicht nur darum geht, die Daten zu übermitteln, sondern auch darum, potenziellen Missbrauch der betroffenen Informationen zu verhindern.

Wenn sich auf den Datenträgern vertrauliche Daten befunden haben, muss nach deren Verlust umgehend gehandelt werden, beispielsweise:

  • Als vertraulich eingestufte Informationen (z. B. Patientenakten): Alle betroffenen Bereiche (z. B. Fachabteilung, Kunden, etc.) müssen benachrichtigt werden, um entsprechende Maßnahmen ergreifen zu können.

Auch Defekte bei geringpreisigen mobilen Datenträgern sollten gemeldet werden, damit das IT-Management erkennen kann, ob hiervon größere Lieferungen betroffen sind. Insbesondere bei Datenträgern, die für Datensicherungen und Archivierung eingesetzt werden, ist eine hohe Verlässlichkeit und eine lange Lebensdauer wichtig.

Wenn verlorene Datenträger wieder auftauchen, müssen sie auf eventuelle Manipulationen untersucht werden. Besteht ein Verdacht, muss das Gerät entweder gleich entsorgt oder von einem Spezialisten weiter untersucht werden. Um sicherzustellen, dass sich keine manipulierten Programme oder Schadsoftware auf den wiedererlangten Datenträgern befinden, sollten sie physikalisch gelöscht werden (siehe OPS.1.2.3.M8 Physikalisches Löschen von Datenträgern vor und nach Verwendung).

2.2 Standard-Maßnahmen

Gemeinsam mit den Basis-Maßnahmen entsprechen die folgenden Maßnahmen dem Stand der Technik im Bereich "Informations- und Datenträgeraustausch".

OPS.1.2.3.M6 Vereinbarungen zum Informationsaustausch mit Externen [Leiter Organisation]

Bei einem regelmäßigen Informationsaustausch mit externen Partnern sollten die Rahmenbedingungen hierfür vereinbart werden. Dabei sollte geklärt werden, wie das gegenseitige Verständnis vom Schutzbedarf der Informationen ist. Falls notwendig, sollte ein gemeinsames Klassifikationsschema genutzt werden. Außerdem sollte festgehalten werden:

  • ob und wie welche Arten von Informationen zu schützen sind,
  • über welche Übertragungswege der Informationsaustausch überhaupt stattfinden darf,
  • dass Vertraulichkeitsvereinbarungen durch die beteiligten Mitarbeiter unterzeichnet werden (siehe auch OPS.1.2.3.M10 Abschluss von Vertraulichkeitsvereinbarungen),
  • dass Informationen nur dann an Dritte weitergegeben werden dürfen, wenn der Ersteller bzw. Informationseigentümer dem zustimmt,
  • auf welche Art und Weise das im Informationsverbund des Partners etablierte Sicherheitsniveau nachgewiesen wird, beispielsweise per Audit,
  • wie über Sicherheitsvorfälle an die Partner berichtet werden soll,
  • wie Streitfälle über den Umgang mit Informationen eskaliert werden,
  • wie Frühwarnungen über mögliche Sicherheitsprobleme ausgetauscht werden,
  • welche rechtlichen Rahmenbedingungen zu beachten sind.

Bei Sicherheitsvorfällen oder in Notfällen kann die normale Form der Kommunikation zwischen den Partnern gestört sein. Es sollte geklärt sein, ob in solchen Fällen der Informationsaustausch weiter betrieben werden soll. Falls ja, sollten gemeinsam entsprechende Notfallpläne erarbeitet werden.

OPS.1.2.3.M7 Regelung des Datenträgeraustausches [Leiter Organisation]

Der ordnungsgemäße Datenträgeraustausch sollte auf Basis der Vorgaben für den Informationsaustausch geregelt werden (siehe OPS.1.2.3.M2 Regelung des Informationsaustausches). Hierbei sollten im Vorfeld die berechtigten Empfänger sowie geeignete Versandarten für die verschiedenen Arten von Datenträgern und auszutauschenden Informationen festgelegt werden. Außerdem sollte festgelegt werden, wie die Datenträger in der eigenen Institution, beim Transport und beim Empfänger zu schützen sind.

Sollen zwischen zwei oder mehreren Kommunikationspartnern Datenträger ausgetauscht werden, so sind zum ordnungsgemäßen Austausch eine Reihe von Empfehlungen zu beachten.

Abhängig von der Art der Datenträger und des Schutzbedarfs der Daten muss eine geeignete Versandart festgelegt werden. Dabei sind insbesondere die Art der Datenträger und der Schutzbedarf der Informationen zu berücksichtigen.

Neben den in OPS.1.2.3.M14 Datenträgerverwaltung dargestellten Umsetzungshinweisen sollte sich die Versandart der Datenträger am Gefährdungspotential orientieren. Hinsichtlich Verfügbarkeit ist die Versandart derart auszuwählen, dass eine rechtzeitige Zustellung garantiert werden kann. Je mehr Personen mit der Beförderung befasst und je länger die Zeiten sind, in denen der Datenträger unbeaufsichtigt bleibt, desto weniger kann im Allgemeinen die Vertraulichkeit und Integrität garantiert werden. Dementsprechend sind angemessene Versandarten auszuwählen.

Man kann dabei z. B. zwischen folgenden Versandarten wählen:

  • Post (mit verschiedenen Versandangeboten, die unterschiedliche Garantien für die Transportgeschwindigkeit und Absicherung umfassen),
  • Kurierdienste,
  • persönlicher Kurier und
  • persönliche Übergabe.

Für eine Behörde oder ein Unternehmen empfiehlt es sich, eine Liste zu führen, in der für verschiedene Datenträger und deren Schutzbedarf angemessene Versandarten vorgeschlagen werden. Dies erleichtert den Mitarbeitern die Auswahl nicht nur in Bezug auf das bestmögliche Preis-Leistungs-Verhältnis, sondern auch auf die optimale Sicherheit. Diese Liste sollte mindestens folgende Aspekte umfassen:

  • durchschnittliche Transportzeit der Versandart bzw. des Kuriers
  • Vertrauenswürdigkeit der Versandart bzw. des Kuriers
  • Kosten.

Die Adressierung muss eindeutig erfolgen, um eine fehlerhafte Zustellung zu vermeiden. So sollten neben dem Namen des Empfängers auch die Organisationseinheit und die genaue Bezeichnung der Behörde bzw. des Unternehmens angegeben sein. Innerhalb einer Institution sollten Verzeichnisse der gebräuchlichsten Adressen gepflegt werden, damit möglichst aktuelle und korrekte Adressen der Empfänger verwendet werden.

Auch die Adresse des Absenders muss eindeutig und vollständig angegeben werden. Hierfür sollte innerhalb der Institution eine Vorgabe erstellt werden, die den Umfang und den Aufbau der Absender-Angabe einheitlich regelt.

Digitalen Datenträgern sollte (optional) ein Datenträgerbegleitzettel beigelegt werden, der folgende Informationen umfasst:

  • Absender,
  • Empfänger,
  • Art und Menge der Datenträger,
  • Seriennummer (soweit vorhanden),
  • Identifikationsmerkmal für den Inhalt des Datenträgers,
  • Datum des Versandes, gegebenenfalls Datum bis wann der Datenträger spätestens den Empfänger erreicht haben muss,
  • Hinweis, dass Datenträger auf Viren überprüft sind,
  • Parameter, die zum Lesen der Informationen benötigt werden, z. B. Bandgeschwindigkeit.

Jedoch sollte nicht vermerkt werden,

  • welches Passwort für die eventuell geschützten Informationen vergeben wurde,
  • welche Schlüssel für eine Verschlüsselung der Informationen verwendet wurde,
  • welchen Inhalt der Datenträger hat.

Der korrekte Empfang sollte überprüft werden. Bei Sendungen mit hochvertraulichen oder termingebundenen Inhalten sollten die Empfänger über die Absendung und den gewählten Transportweg informiert werden. Bei hohem Schutzbedarf empfiehlt es sich, den Empfänger um eine Empfangsbestätigung zu bitten.

Es sind jeweils Verantwortliche für den Versand und für den Empfang zu benennen. Ergeben sich Hinweise auf Manipulationen oder einen Verlust, ist sofort das Sicherheitsmanagement zu unterrichten.

OPS.1.2.3.M8 Physikalisches Löschen von Datenträgern vor und nach Verwendung [Benutzer]

Neben den in OPS.1.1.8 Löschen und Vernichten enthaltenen Hinweisen zur Löschung oder Vernichtung von Datenträgern sind für den Datenträgeraustausch folgende Punkte zu beachten:

Datenträger, die für den Austausch bestimmt sind, sollten vor dem Beschreiben mit den zu übermittelnden Informationen physikalisch gelöscht werden. Es soll damit sichergestellt werden, dass keine Restdaten weitergegeben werden, für deren Erhalt der Empfänger keine Berechtigung besitzt.

Eine für den normalen Schutzbedarf ausreichende physikalische Löschung kann erreicht werden, indem der komplette Datenträger oder zumindest die genutzten Bereiche mit einem bestimmten Muster überschrieben werden. Bei magnetischen Datenträgern ist bereits ein einmaliges Überschreiben ausreichend. Bei Datenträgern, die auf Flash-Speicher basieren, wie etwa USB-Sticks, kann aus technischen Gründen nicht sichergestellt werden, dass ein vollständiges Überschreiben auch tatsächlich alle gespeicherten Daten löscht. Für den normalen Schutzbedarf ist dies jedoch ebenfalls ausreichend. Bei erhöhtem Schutzbedarf sollte auf die Verwendung von Flash-Speicher verzichtet werden, oder der Speicher sollte vollständig verschlüsselt werden. Möglich ist auch eine Formatierung des Datenträgers, wenn diese nicht wieder rückgängig gemacht werden kann, also keine Schnellformatierung. Es sollte vermieden werden, nur einzelne Dateien zu löschen, hierbei bleiben häufig Restinformationen erhalten, die die Rekonstruktion der gelöschten Dateien ermöglichen. Den Mitarbeitern sollten geeignete Programme zum physikalischen Löschen vor und nach Verwendung von Datenträgern zur Verfügung gestellt werden.

In der Regel sind die übertragenen Daten auch für den Empfänger schützenswert. Analog ist auch hier nach dem Wiedereinspielen der Daten eine physikalische Löschung des Datenträgers vorzusehen.

Auf den Einsatz von nicht-löschbaren Datenträgern (wie z. B. WORMs) ist zum Zwecke des Datenaustausches dann zu verzichten, wenn sich darauf weitere, nicht für den Empfänger bestimmte Informationen befinden, die nicht gelöscht werden können.

OPS.1.2.3.M9 Beseitigung von Restinformationen in Dateien vor Weitergabe [Benutzer]

Vor dem Versenden einer Datei per E-Mail, IT-Netze oder Datenträgeraustausch bzw. vor dem Veröffentlichen einer Datei auf einem Webserver sollte diese daraufhin überprüft werden, ob sie Restinformationen enthält, die nicht zur Veröffentlichung bestimmt sind. Solche Restinformationen können verschiedenen Ursprungs sein und dementsprechend unterschiedlich können auch die Aktionen sein, die dagegen zu unternehmen sind. Die häufigsten Ursachen für solche Restinformationen sind im Folgenden beschrieben.

Generell sollte Standard-Software wie z. B. für Textverarbeitung oder Tabellenkalkulation darauf überprüft werden, welche Zusatzinformationen in damit erstellten Dateien gespeichert werden. Dabei werden einige dieser Informationen mit, andere ohne Wissen des Benutzers gespeichert.

Vor der Weitergabe von Dateien sollten diese zumindest stichprobenartig auf unerwünschte Zusatzinformationen überprüft werden. Dazu sollte ein anderer Editor benutzt werden als der, mit dem die Datei erstellt wurde.

Dabei ist darauf zu achten, dass nicht alle Restinformationen einfach gelöscht werden können, ohne das Dateiformat zu zerstören. Wenn z. B. aus einer Textverarbeitungsdatei einige Bytes gelöscht werden, erkennt das Textverarbeitungsprogramm unter Umständen das Dateiformat nicht mehr. Um Restinformationen zu beseitigen,

  • kann die Datei in einem anderen Dateiformat abgespeichert werden, z. B. als "Nur-Text", als Druckausgabe in PDF oder als HTML,
  • können die Nutzdaten in eine zweite Instanz derselben Standard-Software kopiert werden, wobei auf dem IT-System keine andere Applikation laufen sollte. Dies empfiehlt sich insbesondere bei Dateien mit einer größeren Änderungshistorie.

Um der Weitergabe von Informationen vorzubeugen, die ursprünglich mit Wissen der Ersteller eingebracht worden sind, wie z. B. als "verborgen" formatierter Text, dessen Vorhandensein dann aber vergessen wurde, kann es sinnvoll sein, die Datei ausdrucken. Dabei sollten dann alle Optionen aktiviert werden, die beim Drucken versteckte Informationen mit ausgeben.

Restinformationen im Dateisystem

Wenn eine Datei auf normalem Wege gelöscht wird, so markiert das Betriebssystem diese nur im Dateisystem als gelöscht, ohne die eigentlichen Inhalte ebenfalls zu entfernen. Bei der Weitergabe von Datenträgern ist dies entsprechend zu berücksichtigen, da sonst z. B. gelöschte Zwischenversionen oder temporäre Dateien vom Empfänger wiederhergestellt werden könnten. Daneben haben viele Applikationen das Problem, dass das jeweilige Programm bei der Bearbeitung einer Datei den in Anspruch genommenen Speicherplatz nicht durchgehend mit Applikationsdaten überschreibt, sodass Lücken entstehen können, die ebenfalls alte Datenbestände enthalten können.

Dateien mit sensiblen Informationen sollten also nicht unmittelbar auf einem zur Weitergabe bestimmten Datenträger bearbeitet werden. Stattdessen sollte die finale Version der Datei vor der Weitergabe auf einen gemäß OPS.1.2.3.M8 Physikalisches Löschen von Datenträgern vor und nach Verwendung gelöschten Datenträger kopiert werden.

Zusätzlich sind besondere Eigenschaften des verwendeten Dateisystems zu beachten. So speichert das unter Windows übliche Dateisystem NTFS den Inhalt sehr kleiner Dateien (bis etwa 700 Bytes) direkt in der NTFS-Verwaltungsstruktur, der sogenannten Master File Table (MFT). Bei Dateien dieser Größe handelt es sich häufig um Konfigurationseinstellungen oder Meta-Informationen. Wachsen diese Dateien später, so bleiben die ursprünglichen Inhalte in der MFT unter Umständen erhalten. Außerdem können bei NTFS Informationen in Alternate Data Streams (ADS) gespeichert sein, die nicht direkt sichtbar sind. Handelt es sich um sensible Informationen, so ist eine Weitergabe im Normalfall nicht erwünscht. ADS können mit speziellen Tools betrachtet und entfernt werden, oder man kopiert die Datei in ein Dateisystem, das ADS nicht unterstützt (etwa FAT32 oder exFAT).

Verborgener Text / Kommentare

Eine Datei kann Textpassagen enthalten, die als "versteckt" oder "verborgen" formatiert sind. Einige Programme bieten auch die Möglichkeit an, Kommentare hinzuzufügen, die auf dem Ausdruck und oft auch am Bildschirm ausgeblendet sind. Solche Textpassagen können Bemerkungen enthalten, die nicht für den Empfänger bestimmt sind. Daher müssen in Dateien, bevor sie an Externe weitergegeben werden, solche Zusatzinformationen gelöscht werden.

Änderungsmarkierungen

Bei der Bearbeitung von Dateien kann es sinnvoll sein, hierbei Änderungsmarkierungen zu verwenden. Da diese auf dem Ausdruck und am Bildschirm ausgeblendet werden können, muss vor der Weitergabe von Dateien ebenfalls überprüft werden, ob diese Änderungsmarkierungen enthalten.

Versionsführung

In praktisch allen aktuellen Office-Suites gibt es die Möglichkeit, verschiedene Versionen eines Dokumentes in einer Datei zu speichern. Dies dient dazu, um bei Bedarf auf frühere Überarbeitungsstände zurückgreifen zu können. Dies kann aber sehr schnell zu riesigen Dateien führen, z. B. wenn Graphiken mitgeführt werden. Auf keinen Fall sollte die Option "Version beim Schließen automatisch speichern" gewählt werden, da hier bei jedem Schließen einer Datei die komplette Vorgängerversion zusätzlich gespeichert wird.

Dateieigenschaften

Als Dateieigenschaften oder Datei-Info werden in der Datei Informationen gespeichert, die bei späteren Suchen helfen sollen, Dateien wieder zu finden. Dabei können je nach Applikation Informationen wie Titel, Verzeichnisstrukturen, Versionsstände, Bearbeiter (nicht nur der Unterschreibende), Kommentare, Bearbeitungszeit, letztes Druckdatum, Dokumentnamen und -beschreibungen enthalten sein. Einige dieser Informationen werden von den Programmen selber angelegt und können nicht durch den Bearbeiter beeinflusst werden. Andere Informationen müssen manuell eingegeben werden. Vor der Weitergabe einer Datei an Externe ist zu überprüfen, welche zusätzlichen Informationen dieser Art die Datei enthält.

Schnellspeicherung

Manche Anwendungen, wie ältere Textverarbeitungsprogramme, nutzen die Option der Schnellspeicherung, um nur die Veränderungen seit der letzten Sicherung und nicht das gesamte Dokument speichern zu müssen. Dieser Vorgang nimmt unter Umständen weniger Zeit in Anspruch als ein vollständiger Speichervorgang. Der entscheidende Nachteil ist jedoch, dass die Datei unter Umständen Fragmente der Vorgängerversion enthalten kann, die durch die Überarbeitung hätten beseitigt werden sollen. Grundsätzlich sollten daher Schnellspeicherungsoptionen abgeschaltet werden.

Entscheidet sich der Benutzer trotzdem für die Schnellspeicheroption, sollte er bei folgenden Situationen immer einen vollständigen Speichervorgang durchführen:

  • wenn die Bearbeitung eines Dokuments abgeschlossen ist,
  • bevor eine weitere Anwendung ausgeführt wird, die viel Speicherplatz in Anspruch nimmt,
  • bevor der Dokumenttext in eine andere Anwendung übertragen wird,
  • bevor das Dokument in ein anderes Dateiformat konvertiert wird und
  • bevor das Dokument per E-Mail oder Datenträgeraustausch versandt wird.

Die Benutzer sollten hinsichtlich der Gefahren von Rest- und Zusatzinformationen in Dateien informiert werden und ihnen die Problematik beispielhaft aufgezeigt werden. Es sollten stichprobenhafte Überprüfungen der Dateien auf enthaltene Restinformationen durchgeführt werden. Den Benutzern sollte vermittelt werden, wie sie Rest- und Zusatzinformationen in Dateien vermeiden können.

OPS.1.2.3.M10 Abschluss von Vertraulichkeitsvereinbarungen [Leiter Organisation]

Wenn beim Informationsaustausch vertrauliche Informationen an Externe weitergegeben werden, sollte diese dazu verpflichtet werden, diese ebenfalls vertraulich zu behandeln. Dazu muss zunächst ein gemeinsames Verständnis vom Schutzbedarf der Informationen hergestellt werden. Außerdem sollten Vertraulichkeitsvereinbarungen (Non-Disclosure-Agreements) abgeschlossen werden.

In einer Vertraulichkeitsvereinbarung sollte beschrieben sein,

  • welche Informationen vertraulich behandelt werden müssen,
  • für welchen Zeitraum diese Vertraulichkeitsvereinbarung gilt,
  • welche Aktionen bei Beendigung dieser Vereinbarung vorgenommen werden müssen, z. B. Vernichtung oder Rückgabe von Datenträgern,
  • wie die Eigentumsrechte an Informationen geregelt sind,
  • welche Regelungen für den Gebrauch und die Weitergabe von vertraulichen Informationen an weitere Partner gelten, falls dies notwendig ist,
  • welche Konsequenzen bei Verletzung der Vereinbarung eintreten.

Vertraulichkeitsvereinbarungen können mit einzelnen Personen oder mit anderen Institutionen geschlossen werden. Wird eine Vertraulichkeitsvereinbarung mit einer Institution geschlossen, muss diese alle betroffenen Mitarbeiter darüber unterrichten und diese auf die Einhaltung verpflichten.

In der Vertraulichkeitsvereinbarung kann auch auf die relevanten Sicherheitsrichtlinien und weitere Richtlinien der Institution hingewiesen werden. Eine Vertraulichkeitsvereinbarung bietet die rechtliche Grundlage für die Verpflichtung Externer zur vertraulichen Behandlung von Informationen. Aus diesem Grund muss sie alle relevanten Gesetze und Bestimmungen für die Institution in dem speziellen Einsatzbereich berücksichtigen, klar formuliert sein und aktuell gehalten werden.

Es kann sinnvoll sein, verschiedene Vertraulichkeitsvereinbarungen je nach Einsatzzweck zu verwenden. In diesem Fall muss klar definiert werden, welche Vereinbarung für welche Fälle notwendig ist.

Ein Beispiel für eine Vertraulichkeitsvereinbarung das „Traffic Light Protocol“ (TLP). Dieses wird beispielsweise für die Kommunikation in der Allianz für Cyber-Sicherheit oder zwischen CERTs genutzt. Diese Verpflichtung dient der Schaffung von Vertrauen bzgl. des Schutzes ausgetauschter Informationen durch Regelung der Weitergabe mithilfe des TLP. Das TLP kann auch als Beispiel für die Gestaltung eigener Vertraulichkeitsvereinbarungen genutzt werden, siehe hierzu auch das Merkblatt zur Behandlung vertraulicher Informationen unter [ACS1].

OPS.1.2.3.M11 Kompatibilitätsprüfung des Sender- und Empfängersystems [IT-Betrieb]

Vor einem Informationsaustausch sollten die eingesetzten Systeme und Produkte auf Sender- und Empfängerseite auf ihre Kompatibilität geprüft werden.

Beim Datenträgeraustausch lassen sich Informationen abhängig vom Grad der Kompatibilität von Empfänger- und Sendersystem mehr oder weniger zuverlässig übertragen. Dabei sind je nach Komplexität auszutauschender Daten unterschiedliche Anforderungen an die Kompatibilität zu stellen. Vor Einrichtung eines regelmäßigen Informations- oder Datenträgeraustausches sollte daher die Übereinstimmung folgender Eigenschaften überprüft werden, um im Vorfeld Inkompatibilitäten festzustellen und wo erforderlich Abhilfe zu schaffen:

  • Physikalisches Medium:
    Beim Datenträgeraustausch ist natürlich notwendig, dass die physikalischen Medien von Empfänger- und Sendersystem übereinstimmen. Dabei reicht aber mechanische Äquivalenz noch nicht aus, denn die Nichtübereinstimmung von Parametern wie Geschwindigkeit bei Bändern kann zu Problemen führen.
  • Zeichencode (z. B. ASCII oder EBCDIC):
    Stimmen Sender- und Empfängersystem im verwendeten Zeichencode überein, so sind mit Hilfe des physikalischen Lesens einzelne Sektoren bzw. Blöcke im Klartext lesbar, die unzusammenhängend auf dem Datenträger verteilt sein können. Stimmen die verwendeten Zeichencodes nicht überein, werden die übertragenen Daten falsch interpretiert.
  • Formatierung des Betriebs- bzw. Dateisystem von Datenträgeren:
    Verfügen beim Datenträgeraustausch Sender- und Empfänger-System darüber hinaus über das gleiche Betriebs- und Dateisystem oder sieht das Empfängerbetriebssystem vor, Formatierungen anderer Betriebssystem zu lesen (z. B. können nicht alle Unix-Betriebssysteme NTFS-Datenträger einlesen), dann können alle Dateien, wie sie beim Absender vorlagen, wiederhergestellt werden. Dies ist für Informationen ausreichend, die keiner weiteren Formatierung, wie sie von den meisten Anwendungsprogrammen (z. B. Textverarbeitungsprogrammen) vorgenommen werden, unterliegen.
  • Anwendungssoftware:
    Wurden Anwendungsprogramme zur Erzeugung der zu übermittelten Dateien verwendet, ist auf Versionsgleichheit dieser Programme zu achten, da die Dateiformate evtl. unterschiedlich sein können. Die Versionsgleichheit muss nicht bestehen, wenn die Programmversionen aufwärts- bzw. abwärtskompatibel sind.
  • Sicherheitssoftware und Sicherheitsparameter:
    Werden darüber hinaus Sicherheitsprodukte oder Schutzmechanismen bestimmter Anwendungsprogramme verwendet, so ist die Kompatibilität dieser Produkte sicherzustellen.
    Über die verwendeten Schlüssel oder Passwörter müssen sich Absender und Empfänger auf geeignetem Wege verständigen.

Treten Inkompatibilitäten auf, so sind zusätzliche Vorkehrungen bzw. Produkte bereitzustellen, die eine entsprechende Konvertierung vorsehen, oder die Absender- und Empfängersysteme sind geeignet auszustatten.

OPS.1.2.3.M12 Angemessene Kennzeichnung der Datenträger beim Versand [Benutzer]

Bei einer ausreichenden Kennzeichnung von auszutauschenden Datenträgern ist darauf zu achten, dass Absender und (alle) Empfänger unmittelbar zu identifizieren sind. Die Kennzeichnung der Datenträger bzw. deren Verpackung muss den Inhalt der Datenträger eindeutig für den Empfänger erkennbar machen. Es ist jedoch bei schützenswerten Informationen wichtig, dass diese Kennzeichnung für Unbefugte keinen Rückschluss auf die Art und Inhalte der gespeicherten Informationen zulässt.

Für Verschlusssachen sind in jedem Fall die jeweils gültigen Geheimschutzvorschriften einzuhalten.

Darüber hinaus sollten die Datenträger mit den verwendeten Formaten beziehungsweise den für das Auslesen notwendigen Parametern gekennzeichnet werden. So ist bei der Übermittlung von DVDs unter anderem zu vermerken, ob es sich um Video-, Audio- oder Daten-DVDs handelt. Weitere nützliche Kennzeichnungen können Datum des Versandes bzw. der Erstellung der Daten, eventuelle Versionsnummern oder Ordnungsmerkmale sein.

2.3 Maßnahmen für erhöhten Schutzbedarf

Im Folgenden sind Maßnahmenvorschläge aufgeführt, die über das dem Stand der Technik entsprechende Schutzniveau hinausgehen und bei erhöhtem Schutzbedarf in Betracht gezogen werden sollten. Die jeweils in Klammern angegebenen Buchstaben zeigen an, welche Grundwerte durch die Maßnahme vorrangig geschützt werden (C = Vertraulichkeit, I = Integrität, A = Verfügbarkeit).

OPS.1.2.3.M13 Verschlüsselung und digitale Signaturen [Benutzer](CI)

Einsatz von Verschlüsselung, Checksummen oder Digitalen Signaturen

Werden vertrauliche Informationen oder Informationen mit hohem Integritätsanspruch übertragen und besteht eine gewisse Möglichkeit, dass diese Daten Unbefugten zur Kenntnis gelangen, von diesen manipuliert werden oder durch technische Fehler verändert werden können, sollte ein kryptographisches Verfahren zum Schutz der Daten für den Transport oder die Übermittlung eingesetzt werden.

Vertraulichkeitsschutz durch Verschlüsselung

Vertrauliche Informationen sollten vor einer Übertragung verschlüsselt werden. Das entscheidende Merkmal eines Verschlüsselungsverfahrens ist die Güte des Algorithmus sowie der Schlüsselauswahl. Ein anerkannter Algorithmus, der für den normalen Schutzbedarf ausreicht, ist der Advanced Encryption Standard (AES), siehe auch CON.1 Kryptokonzept.

Um den Anforderungen der Vertraulichkeit der zu übertragenden Informationen zu entsprechen, müssen das IT-System des Absenders und des Empfängers den Zugriffsschutz auf das Verschlüsselungsprogramm ausreichend gewährleisten. Gegebenenfalls sollte dieses Programm auf einem auswechselbaren Datenträger gespeichert, in der Regel verschlossen aufbewahrt und nur bei Bedarf eingespielt und genutzt werden.

Integritätsschutz durch Checksummen, Verschlüsselung oder Digitaler Signaturbildung

Ist für den Datenaustausch lediglich die Integrität der zu übermittelnden Daten sicherzustellen, muss unterschieden werden, ob ein Schutz nur gegen zufällige Veränderungen, z. B. durch Übertragungsfehler, oder auch gegen Manipulationen geleistet werden soll. Sollen ausschließlich zufällige Veränderungen erkannt werden, können Checksummen-Verfahren (z. B. Cyclic Redundancy Checks) oder fehlerkorrigierende Codes zum Einsatz kommen. Schutz gegenüber Manipulationen bieten darüber hinaus Verfahren, die unter Verwendung eines symmetrischen Verschlüsselungsalgorithmus (z. B. Tripel-DES) aus der zu übermittelnden Information einen so genannten Message Authentication Code (MAC) erzeugen. Andere Verfahren bedienen sich eines asymmetrischen Verschlüsselungsalgorithmus (z. B. RSA) in Kombination mit einer Hashfunktion und erzeugen eine "Digitale Signatur". Die jeweiligen erzeugten "Fingerabdrücke" (Checksumme, fehlerkorrigierende Codes, MAC, Digitale Signatur) werden zusammen mit der Information an den Empfänger übertragen und können von diesem überprüft werden.

Weitere Informationen zum Einsatz kryptographischer Verfahren und Produkte finden sich in Baustein CON.1 Kryptokonzept.

Geeignetes Schlüsselmanagement

Die Verwendung kryptographischer Sicherheitsmechanismen (z. B. Verschlüsselung, digitale Signatur) setzt die vertrauliche, integere und authentische Erzeugung, Verteilung und Installation von geeigneten Schlüsseln voraus. Schlüssel, die Unbefugten zur Kenntnis gelangt sind, bei der Verteilung verfälscht worden sind oder gar aus unkontrollierter Quelle stammen (dies gilt auch für die Schlüsselvereinbarung zwischen Kommunikationspartnern), können den kryptographischen Sicherheitsmechanismus genauso kompromittieren wie qualitativ schlechte Schlüssel, die auf ungeeignete Weise erzeugt worden sind. Qualitativ gute Schlüssel werden in der Regel unter Verwendung geeigneter Schlüsselgeneratoren erzeugt. Für das Schlüsselmanagement sind folgende Punkte zu beachten:

  • Schlüsselerzeugung: Die Schlüsselerzeugung sollte in sicherer Umgebung und unter Einsatz geeigneter Schlüsselgeneratoren erfolgen.
  • Schlüsseltrennung: Kryptographische Schlüssel sollten möglichst nur für einen Einsatzzweck dienen. Insbesondere sollten für die Verschlüsselung immer andere Schlüssel als für die Signaturbildung benutzt werden.
  • Schlüsselverteilung / Schlüsselaustausch: Die Kommunikationspartner müssen über aufeinander abgestimmte kryptographische Schlüssel verfügen. Dazu müssen alle Kommunikationspartner mit den dazu erforderlichen Schlüsseln versorgt werden. Schlüsselinstallation und -speicherung: Im Zuge der Schlüsselinstallation ist die authentische Herkunft sowie die Integrität der Schlüsseldaten zu überprüfen. Generell sollten Schlüssel nie in klarer Form, sondern grundsätzlich verschlüsselt im System gespeichert werden. Auf jeden Fall muss sichergestellt werden, dass bei der Installation des Verschlüsselungsverfahrens voreingestellte Schlüssel geändert werden.
  • Schlüsselarchivierung: Für Archivierungszwecke sollte das kryptographische Schlüsselmaterial auch außerhalb des Kryptomoduls in überschlüsselter Form speicherbar und gegebenenfalls wieder einlesbar sein.
  • Zugriffs- und Vertreterregelung: Zugriffs- und Vertretungsrechte sollten geregelt sein. Entsprechende Mechanismen müssen vom Schlüsselmanagement und von den einzusetzenden Kryptomodulen und -geräten unterstützt werden (z. B. Schlüsselhinterlegung für den Fall, dass ein Mitarbeiter das Unternehmen verlässt oder wegen Krankheit längere Zeit ausfällt).
  • Schlüsselwechsel: Im Kryptokonzept muss basierend auf der Sicherheitsrichtlinie festgelegt werden, wann und wie oft Schlüssel gewechselt werden müssen.
  • Schlüsselvernichtung: Nicht mehr benötigte Schlüssel (z. B. Schlüssel, deren Gültigkeitsdauer abgelaufen sind) sind auf sichere Art zu löschen bzw. zu vernichten (z. B. durch mehrfaches Löschen/Überschreiben und/oder mechanische Zerstörung des Datenträgers).

OPS.1.2.3.M14 Datenträgerverwaltung [Leiter Organisation, IT-Betrieb](CIA)

Bei höherem Schutzbedarf sollte eine Datenträgerverwaltung eingerichtet werden, um den Zugriff auf Datenträger im erforderlichen Umfang und in angemessener Zeit gewährleisten zu können. Dies erfordert eine geregelte Verwaltung der Datenträger, die eine einheitliche Kennzeichnung sowie eine Führung von Bestandsverzeichnissen erforderlich macht. Weiterhin ist im Rahmen der Datenträgerverwaltung die sachgerechte Behandlung und Aufbewahrung der Datenträger, deren ordnungsgemäßer Einsatz und Transport und schließlich auch noch die Löschung bzw. Vernichtung der Datenträger zu gewährleisten. Bei analogen Datenträgern haben die meisten Institutionen eine eingespielte und erprobte Verfahrensweise für deren Verwaltungen, nämlich die klassische Aktenführung. Daher werden in dieser Maßnahme die digitalen Datenträger in den Vordergrund gestellt, die einzelnen Empfehlungen gelten aber sinngemäß für alle Arten von Datenträgern.

Bestandsverzeichnisse ermöglichen einen schnellen und zielgerichteten Zugriff auf Datenträger. Bestandsverzeichnisse geben beispielsweise Auskunft über Aufbewahrungsort, Aufbewahrungsdauer, berechtigte Empfänger.

Die äußerliche Kennzeichnung von Datenträgern ermöglicht deren schnelle Identifizierung. Die Kennzeichnung sollte jedoch für Unbefugte keine Rückschlüsse auf den Inhalt erlauben (z. B. die Kennzeichnung eines Magnetbandes mit dem Stichwort "Telefongebühren"), um einen Missbrauch zu erschweren. Eine festgelegte Struktur von Kennzeichnungsmerkmalen (z. B. Datum, Ablagestruktur, lfd. Nummer) erleichtert die Zuordnung in Bestandsverzeichnissen.

Für eine sachgerechte Behandlung von Datenträgern sind die Herstellerangaben, die üblicherweise auf der Verpackung zu finden sind, heranzuziehen. Hinsichtlich der Aufbewahrung von Datenträgern sind einerseits Maßnahmen zur Lagerung (magnetfeld-/staubgeschützt, klimagerecht) und andererseits Maßnahmen zur Verhinderung des unbefugten Zugriffs (geeignete Behältnisse, Schränke, Räume) zu treffen.

Der Versand oder Transport von Datenträgern muss in der Weise erfolgen, dass eine Beschädigung der Datenträger möglichst ausgeschlossen werden kann (z. B. Magnetbandversandtasche, luftgepolsterte Umschläge). Die Verpackung des Datenträgers ist an seiner Schutzbedürftigkeit auszurichten (z. B. mittels verschließbaren Transportbehältnissen). Versand- oder Transportarten (z. B. Kuriertransport) müssen ebenso festgelegt werden wie das Nachweisverfahren über den Versand (z. B. Begleitzettel, Versandscheine) und den Eingang beim Empfänger (z. B. Empfangsbestätigung). Der Datenträger darf über die zu versendenden Daten hinaus, keine "Restdaten" enthalten. Dies kann durch physikalisches Löschen erreicht werden. Stehen hierzu keine Werkzeuge zur Verfügung, so sollte der Datenträger zumindest formatiert werden. Dabei sollte sichergestellt werden, dass mit dem zugrunde liegenden Betriebssystem eine Umkehr des Befehls nicht möglich ist.

Weiterhin ist zu beachten, dass vor Abgabe wichtiger Datenträger eine Sicherungskopie erstellt wird. .

Für die interne Weitergabe von Datenträger können Regelungen getroffen werden wie Quittungsverfahren, Abhol-/Mitnahmeberechtigungen sowie das Führen von Bestandsverzeichnissen über den Verbleib der Datenträger.

Für den Fall, dass von Dritten erhaltene Datenträger eingesetzt werden, sind Regelungen über deren Behandlung vor dem Einsatz zu treffen. Werden zum Beispiel digitale Daten übermittelt, sollte generell ein Computer-Viren-Check des Datenträgers bzw. der Datensätze erfolgen. Dies gilt entsprechend auch vor dem erstmaligen Einsatz neuer digitaler Datenträger. Es ist empfehlenswert, nicht nur beim Empfang, sondern auch vor dem Versenden von digitalen Datenträgern diese auf Computer-Viren zu überprüfen.

Eine geregelte Vorgehensweise für die Löschung oder Vernichtung von Datenträgern verhindert den Missbrauch der gespeicherten Daten. Vor der Wiederverwendung von Datenträgern müssen die gespeicherten Daten vollständig gelöscht werden (siehe hierzu OPS.1.18 Löschen und Vernichten von Daten).

OPS.1.2.3.M15 Sichere Versandart und Verpackung [Poststelle, Benutzer](C)

Für Informationen mit erhöhtem Schutzbedarf sollte geprüft werden, wie diese bei einem Datenträgeraustausch angemessen geschützt werden können. Hierfür muss eine dem Schutzbedarf angemessene Versandart und Verpackung durch den Versender ausgewählt werden. Eine Versandart für hochschutzbedürftige Informationen ist beispielsweise der Einsatz vertrauenswürdiger Kuriere. Grundsätzlich sollten die Daten verschlüsselt werden.

Neben den in OPS.1.2.3.M14 Datenträgerverwaltung dargestellten Umsetzungshinweisen sollte die Versandverpackung von Datenträgern so sein, dass Manipulationen an den Datenträgern durch Veränderungen an der Verpackung erkennbar sind.

Mögliche Maßnahmen sind die Verwendung von

  • Umschlägen mit Siegel,
  • verplombten Behältnissen,
  • Umschlägen, die mit Klebefilm überklebt und anschließend mit nicht-wasserlöslicher Tinte mehrmals unregelmäßig überzeichnet werden,
  • Sicherheitsetiketten, mit denen die Briefhüllen versiegelt werden.

Für den Geheimschutzbereich gibt es spezielle, hierfür eignungsgeprüfte Sicherheitsbriefhüllen, Siegelbänder und Sicherheitsetiketten.

Falls digitale Datenträger über einen Schreibschutz verfügen (z. B. Schieber bei Disketten, Schreibring bei Bändern), so sollte dieser genutzt werden. Je nach Schutzbedarf der auf den Datenträgern gespeicherten Daten sollte geprüft werden, welche der folgenden Sicherheitsmechanismen zweckmäßig sind:

  • Die Dateien sollten möglichst schreibgeschützt auf den Datenträgern gespeichert werden. Hierfür kann beispielsweise der in vielen Office-Programmen vorhandene Zugriffsschutz genutzt werden (siehe auch APP.5.2 Office-Anwendungen).
  • Sollen Manipulationen an den Informationen auf dem Datenträger selbst erkannt werden können, sind Verschlüsselungs- oder Checksummen-Verfahren einzusetzen (siehe OPS.1.2.3.M13 Verschlüsselung und digitale Signaturen).
  • Um unbefugtes Auslesen zu verhindern, sollte der komplette Datenträger oder die einzelnen Dateien verschlüsselt werden.

OPS.1.2.3.M16 Sichere Aufbewahrung der Datenträger vor und nach Versand [Benutzer, Poststelle](CIA)

Vor dem Versand eines Datenträgers ist zu gewährleisten, dass für den Zeitraum zwischen dem Speichern der Daten auf dem Datenträger und dem Transport ein ausreichender Zugriffsschutz besteht. Beschriebene Datenträger sollten so aufbewahrt werden, dass nur berechtigte Benutzer darauf zugreifen können, egal ob es sich um analoge oder digitale Datenträger handelt. Sind die zu übermittelnden Daten vertraulich, so müssen die Datenträger, auf denen sie sich befinden, bis zum Transport in entsprechenden Behältnissen (Schrank, Tresor) verschlossen aufbewahrt werden. Die für den Transport oder für die Zustellung Verantwortlichen (z. B. Poststelle) sind auf sachgerechte und sichere Aufbewahrung und Handhabung der Datenträger hinzuweisen.

OPS.1.2.3.M17 Verifizieren von Datenträgern vor Versand [Benutzer](CI)

Vor dem Versenden eines Datenträgers ist dieser darauf zu überprüfen, ob die gewünschten Informationen - und auch nur diese - vom Datenträger rekonstruierbar sind. Dies ist sowohl bei Schriftstücken als auch bei elektronischen Datenträgern zu kontrollieren. Auch Briefe und andere analoge Datenträger sollten vor dem Versand noch einmal daraufhin gesichtet werden, ob sie einerseits vollständig sind und andererseits keine zusätzlichen Informationen enthalten, die nicht weitergegeben werden sollen. Dies ist vor allem wichtig, wenn aus Vertraulichkeitsgründen Teile von Vorgängen, wie beispielsweise Namensnennungen, nicht an Dritte übermittelt werden dürfen. Hierfür können diese Teilinformationen z. B. durch Schwärzen unkenntlich gemacht werden. Da geschwärzte Informationen aber häufig ohne größeren Aufwand wieder lesbar gemacht werden können, ist es allerdings besser, diese für die Weitergabe aus den Vorgängen ganz zu entfernen, z. B. indem sie vor dem Ausdrucken in einer Kopie der Ausgangsdatei gelöscht werden. Je nach Schutzbedarf der Informationen gibt es hierfür verschiedene Methoden:

  • Dokumente sollten möglichst so strukturiert sein, dass nicht-öffentliche Inhalte einfach abgetrennt werden können, z. B. indem diese nur in einem Anhang erscheinen. Der Anhang sollte dann auch elektronisch in einer eigenen Datei vorliegen, die als vertraulich klassifiziert ist.
  • Falls die Dokumente bereits in einer Form vorliegen, die keine saubere Trennung nach Vertraulichkeit zulassen, müssen schutzbedürftige Inhalte vor einer Weitergabe entfernt werden. Ein Grundproblem dabei ist es, alle sensiblen Informationen zu identifizieren und sorgfältig zu entfernen. Da bereits dies in der Praxis häufig nicht funktioniert, sollte möglichst darauf verzichtet werden, solche Dokumente "entschärft" weiterzugeben. Wenn dies trotzdem erforderlich ist, müssen alle kritischen Informationen entfernt und die Sicherheitsstufen der betroffenen Dokumente neu festgelegt werden. In jedem Fall muss vor der Herausgabe der Dokumente ein erneuter Freigabeprozess durchlaufen werden.
  • Bei Papierdokumenten werden sensible Informationen häufig nur geschwärzt. Dies ist in folgenden Schritten durchzuführen:

    • Zunächst sind auf einer Papierfassung alle kritischen Informationen sorgfältig und in ausreichender Größe zu schwärzen.
    • Anschließend werden diese geschwärzten Dokumente kopiert.
    • Danach wird überprüft, ob die geschwärzten Passagen auf der Kopie tatsächlich nicht mehr lesbar sind.
    • Wenn dies sichergestellt ist und die Freigabe erteilt wurde, kann die Kopie weitergegeben werden. Das geschwärzte Original darf keinesfalls herausgegeben werden, da geschwärzte Passagen auf dem Original häufig leicht wieder lesbar gemacht werden können.

  • Um vertrauliche Informationen in elektronischen Dokumenten zu entfernen, müssen die schutzbedürftigen Passagen zunächst durch andere Zeichen ersetzt und danach geschwärzt werden. Hierfür sollten Zeichenketten fester Länge verwendet werden, beispielsweise "XXXXXXXXXX", damit sich die ursprüngliche Bedeutung auch nicht mehr erraten lässt. Vor der Weitergabe sollte die Dateien daraufhin überprüft werden, ob sie Restinformationen enthalten, z. B. frühere Überarbeitungsstände (siehe auch OPS.1.2.3.M9 Beseitigung von Restinformationen in Dateien vor Weitergabe [Benutzer]).

Elektronische Datenträger sind vor der weiteren Verwendung physikalisch zu löschen, wenn vorher andere Daten darauf gespeichert waren (siehe OPS.1.2.3.M8 Physikalisches Löschen der Datenträger vor und nach Verwendung).

Die korrekte Übertragung kann bei elektronischen Datenträgern überprüft werden, indem ein Programm eingesetzt wird, das die ursprüngliche mit der übertragenen Datei zeichenweise vergleicht.

Vor dem Versand sollten alle Dateinamen auf den Datenträgern aufgelistet werden, um anhand der Namen zu überprüfen, dass nur die für den Empfänger bestimmten Dateien auf diesen Datenträgern enthalten sind.

OPS.1.2.3.M18 Sicherungskopie der übermittelten Daten [Benutzer](A)

Sind die zu übertragenden Daten nur zum Zweck der Datenübertragung erstellt bzw. zusammengestellt worden und nicht auf einem weiteren Medium gespeichert, sollte eine Sicherungskopie dieser Daten vorgehalten werden. Bei Verlust oder Beschädigung der Daten auf dem Transportweg kann der Versand mit geringfügigem Aufwand erneut erfolgen.

3 Weiterführende Informationen

3.1 Wissenswertes

Hier werden ergänzende Informationen aufgeführt, die im Rahmen der Maßnahmen keinen Platz finden, aber dennoch beachtenswert sind. Derzeit liegen für diesen Baustein keine entsprechenden Informationen vor. Sachdienliche Hinweise nimmt die IT-Grundschutz-Hotline gerne unter grundschutz@bsi.bund.de entgegen.

3.2 Literatur

Weiterführende Informationen zu Gefährdungen und Sicherheitsmaßnahmen im Bereich "Informations- und Datenträgeraustausch" finden sich unter anderem in folgenden Veröffentlichungen:

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK