M 2.97 Korrekter Umgang mit Codeschlössern
Verantwortlich für Initiierung: IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Benutzer
Werden Schutzschränke mit mechanischen oder elektronischen Codeschlössern verwendet, so muss der Code für diese Schlösser geändert werden:
- nach der Beschaffung,
- bei Wechsel des Benutzers,
- nach Öffnung in Abwesenheit des Benutzers,
- wenn der Verdacht besteht, dass der Code einem Unbefugten bekannt wurde und
- mindestens einmal alle zwölf Monate.
Der Code darf nicht aus leicht zu ermittelnden Zahlen (z. B. persönliche Daten, arithmetische Reihen) bestehen.
Die jeweils gültigen Codes von Codeschlössern sind aufzuzeichnen und gesichert zu hinterlegen (siehe M 2.22 Hinterlegen des Passwortes in analoger Anwendung). Zu beachten ist, dass eine Hinterlegung im zugehörigen Schutzschrank sinnlos ist.
Wenn der Schutzschrank neben einem Codeschloss ein weiteres Schloss besitzt, so ist abzuwägen, ob Code und Schlüssel gemeinsam hinterlegt werden, was im Notfall einen schnelleren Zugriff erlauben würde, oder getrennt hinterlegt werden, so dass es für einen Angreifer schwieriger ist, sich Zugriff zu verschaffen.
Ergänzende Kontrollfragen:
- Wird der Schlosscode nach den o. g. Ereignissen gewechselt?
- Wann wurde der Schlosscode zum letzten Mal gewechselt?
- Wird der Code der Codeschlösser hinterlegt?
- Wo und wie wird er hinterlegt?
- Wo werden evtl. vorhandene Reserveschlüssel zum Schrank aufbewahrt?