M 2.430 Sicherheitsrichtlinien und Regelungen für den Informationsschutz unterwegs

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter

Verantwortlich für Umsetzung: Benutzer, IT-Sicherheitsbeauftragter

Nicht nur innerhalb der Räumlichkeiten einer Institution müssen Informationen angemessen geschützt werden, dies ist natürlich auch außerhalb erforderlich. Mitarbeiter müssen mit sensiblen Informationen auch auf Geschäfts- oder Privatreisen sorgfältig umgehen.

Es sollte eine Sicherheitsrichtlinie erstellt werden, in der beschrieben ist, was Mitarbeiter bei Geschäfts- oder Privatreisen beachten müssen. Diese kann auch in der Richtlinie für die sichere Nutzung mobiler IT-Systeme integriert sein (siehe M 2.309 Sicherheitsrichtlinien und Regelungen für die mobile IT-Nutzung). Zusätzlich sollte für die Mitarbeiter ein kurzes und übersichtliches Merkblatt für das richtige Verhalten unterwegs erstellt werden.

Sensibilisierung der Benutzer

Die Mitarbeiter sollten darüber aufgeklärt werden, dass sie vertrauliche Informationen unterwegs nicht mit fremden Personen austauschen dürfen. Insbesondere sollte die Identität des Kommunikationspartners hinterfragt werden, bevor detaillierte Auskünfte gegeben werden (siehe auch G 3.45 Unzureichende Identifikationsprüfung von Kommunikationspartnern). Vertrauliche Informationen sollten auch nicht in Hör- und Sichtweite von Externen diskutiert oder weitergegeben werden.

Weiterhin müssen die Mitarbeiter darüber informiert sein, welche Informationen unterwegs bearbeitet werden dürfen. Hierzu sollten die Informationen entsprechend klassifiziert sein, damit die Benutzer eventuelle Einschränkungen klar erkennen können (siehe auch M 2.217 Sorgfältige Einstufung und Umgang mit Informationen, Anwendungen und Systemen).

Mitarbeiter sollten unter anderem über folgende Aspekte informiert werden:

Entsorgung von Datenträgern und Dokumenten

Auch unterwegs gibt es häufiger Material, das entsorgt werden soll, schon alleine, damit das Gepäck noch tragbar bleibt. Während es aber innerhalb der eigenen Institution eingeübte Verfahren gibt, wie alte oder unbrauchbare Datenträger und Dokumente entsorgt werden (siehe auch M 2.13 Ordnungsgemäße Entsorgung von schützenswerten Betriebsmitteln), ist dies unterwegs nicht immer möglich. Daher ist vor der Entsorgung ausgedienter Datenträger und Dokumente genau zu überlegen, ob diese sensible Informationen enthalten könnten. Ist dies der Fall, müssen die Datenträger und Dokumente im Zweifelsfall wieder mit zurück transportiert werden.

Weiterhin ist zu beachten, dass Experten auch von defekten Datenträgern unter Umständen wertvolle Informationen zurückgewinnen können. Solche Datenträger dürfen deshalb ebenfalls nicht einfach weggeworfen werden, wenn darauf schützenswerte Daten gespeichert sein könnten.

Auch Akten- und Datenvernichter ("Shredder") in fremden Institutionen sollten mit Vorsicht betrachtet werden, da hier nicht unbedingt ersichtlich ist, wer die Entsorgung durchführt bzw. wie zuverlässig diese ist.

Die Sicherheitsrichtlinie muss daher Regelungen enthalten, wie Mitarbeiter unterwegs mit ausgedienten Datenträgern und Dokumenten umgehen sollen.

Prüffragen: