M 2.9 Nutzungsverbot nicht freigegebener Hard- und Software
Verantwortlich für Initiierung: Behörden-/Unternehmensleitung, IT-Sicherheitsbeauftragter, Leiter IT
Verantwortlich für Umsetzung: Leiter IT
Es ist durchaus üblich, dass Mitarbeiter eigene Hard- und Software wie beispielsweise private Mobiltelefone, PDAs oder Kameras auch dienstlich oder zumindest in den Diensträumen verwenden. Da die Nutzung von zusätzlicher Hardware über Standardschnittstellen wie USB und weitgehende Plug-and-Play-Funktionalität immer einfacher wird, muss deren Einsatz geregelt werden. Die IT-Sicherheit kann dabei beispielsweise durch externe USB-Speichermedien (z. B. Festplatten, Memory-Sticks) oder private PDAs beeinträchtigt werden.
Es muss daher geregelt sein, wie Hard- und Software abgenommen, freigegeben, installiert bzw. benutzt werden darf. Maßnahmen, die zu diesem Zweck umgesetzt werden sollten, sind z. B.: M 2.216 Genehmigungsverfahren für IT-Komponenten, M 2.62 Software-Abnahme- und Freigabe-Verfahren bzw. Baustein B 1.10 Standardsoftware und M 4.4 Geeigneter Umgang mit Laufwerken für Wechselmedien und externen Datenspeichern.
Das Einspielen bzw. Benutzen nicht freigegebener Hard- und Software muss verboten und außerdem durch technische Möglichkeiten soweit möglich verhindert werden. Bei den meisten Betriebssystemen kann dies durch Einschränkung der Benutzerumgebung erreicht werden. Damit soll verhindert werden, dass Programme mit unerwünschten Auswirkungen eingebracht werden. Zusätzlich soll verhindert werden, dass das System über den festgelegten Funktionsumfang hinaus unkontrolliert genutzt wird. Es kann sinnvoll sein (z. B. um Makro-Viren vorzubeugen), dieses Nutzungsverbot auch auf das Einspielen privater Daten auszudehnen.
Bei Software ist zu dokumentieren, welche Versionen ausführbarer Dateien freigegeben wurden (inklusive Erstellungsdatum und Dateigröße). Die freigegebenen Programme sind regelmäßig auf Veränderungen zu überprüfen.
Nutzungsverbote nicht freigegebener Hard- und Software sollten schriftlich fixiert werden, alle Mitarbeiter sind darüber zu unterrichten. Ausnahmeregelungen sollten einen Erlaubnisvorbehalt vorsehen.
Ergänzende Kontrollfragen:
- Gibt es ein Genehmigungs- und Registrierverfahren für Hard- und Software?
- Sind Nutzungsverbote schriftlich fixiert?
- Sind alle Mitarbeiter über Nutzungsverbote unterrichtet?
- Wird in regelmäßigen Abständen an Nutzungsverbote erinnert?
- Welche Möglichkeiten bestehen, unautorisiert Software einzuspielen oder zu nutzen?
- Welche Möglichkeiten bestehen an den einzelnen Rechnern, Software selbständig zu entwickeln?
- Gibt es Regelungen über die Programmierung und die Weitergabe von Makros aus leistungsfähigen Standardprodukten wie z. B. Textverarbeitung, Tabellenkalkulation und Datenbanken?
- Existieren Listen mit den freigegebenen Versionen ausführbarer Dateien, die insbesondere Erstellungsdatum und Dateigröße beinhalten?
- Wird regelmäßig überprüft, ob die freigegebenen Versionen ausführbarer Dateien verändert wurden?
- Besteht die Möglichkeit, das Einspielen von Software technisch zu verhindern?
- Ist die Nutzung von externen Speichermedien aller Art (z. B. USB-Memory-Sticks, Kameras, PDAs und Mobiltelefonen) geregelt?