M 2.309 Sicherheitsrichtlinien und Regelungen für die mobile IT-Nutzung

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter, Leiter IT

IT-Systeme, die außerhalb der eigenen Institution eingesetzt werden, sind mehr Risiken ausgesetzt, als solche, die sich innerhalb geschützter Räumlichkeiten befinden. Trotzdem gibt es eine Vielzahl von Möglichkeiten, mobile IT-Systeme unterwegs zu schützen. Damit diese Möglichkeiten auch genutzt werden, sollte eine Sicherheitsrichtlinie erstellt werden, in der alle umzusetzenden Sicherheitsmechanismen beschrieben sind. Zusätzlich sollte für die Benutzer ein kurzes und übersichtliches Merkblatt für die sichere Nutzung von mobilen IT-Systemen erstellt werden.

Sensibilisierung der Benutzer

Je kleiner und leichter IT-Systeme werden, desto leichtfertiger wird erfahrungsgemäß damit umgegangen. Daher sollten Mitarbeiter für den Wert mobiler IT-Systeme und den Wert der darauf gespeicherten Informationen sensibilisiert werden. Da es bei mobilen IT-Systemen eine große Bandbreite von Varianten und Kombinationsmöglichkeiten gibt (von Handy über PDA zu Laptop mit WLAN-Schnittstelle), sollten sie vor allem über die spezifischen Gefährdungen und Maßnahmen der von ihnen benutzten Geräte aufgeklärt werden.

Die Mitarbeiter sollten auch darüber aufgeklärt werden, dass sie vertrauliche Informationen unterwegs nicht mit jedem austauschen und dies unterwegs auch nicht in Hör- und Sichtweite von Externen machen sollten. Insbesondere sollte die Identität des Kommunikationspartners hinterfragt werden, bevor detaillierte Auskünfte gegeben werden (siehe auch G 3.45 Unzureichende Identifikationsprüfung von Kommunikationspartnern).

Regelungen zur Nutzung mobiler IT-Systeme

Ebenso sind bei der Nutzung von mobilen IT-Systemen diverse Punkte zu regeln:

Mobile IT-Systeme sollten möglichst nicht unbeaufsichtigt bleiben. Falls ein mobiles IT-System in einem Kraftfahrzeug zurückgelassen werden muss, so sollte das Gerät von außen nicht sichtbar sein. Das Abdecken des Gerätes oder das Einschließen in den Kofferraum bieten Abhilfe. Ein mobiles IT-System stellt einen Wert dar, der potentielle Diebe anlocken könnte.

Werden mobile IT-Systeme in fremden Büroräumen vor Ort benutzt, so sind die Sicherheitsregelungen der besuchten Organisation zu beachten.

In fremden Räumlichkeiten wie Hotelzimmern sollten mobile IT-Systeme nicht ungeschützt ausliegen. Alle Passwort-Schutzmechanismen sollten spätestens jetzt aktiviert werden. Das Verschließen des Gerätes in einem Schrank behindert Gelegenheitsdiebe.

Entsorgung von Datenträgern und Dokumenten

Auch unterwegs gibt es häufiger Material, das entsorgt werden soll, schon alleine, damit das Gepäck noch tragbar bleibt. Während es aber innerhalb der eigenen Institution eingeübte Verfahren gibt, wie alte oder unbrauchbare Datenträger und Dokumente entsorgt werden (siehe auch M 2.13 Ordnungsgemäße Entsorgung von schützenswerten Betriebsmitteln), ist dies unterwegs nicht immer möglich. Daher ist vor der Entsorgung ausgedienter Datenträger und Dokumente genau zu überlegen, ob diese sensible Informationen enthalten könnten. Ist dies der Fall, müssen die Datenträger und Dokumente im Zweifelsfall wieder mit zurück transportiert werden. Dies ist auch dann der Fall, wenn die Datenträger defekt sind, da Experten auch hieraus wieder wertvolle Informationen zurückgewinnen können. Auch Shredder-Einrichtungen in fremden Institutionen sollten mit Vorsicht betrachtet werden, da hier nicht unbedingt ersichtlich ist, wer die Entsorgung durchführt bzw. wie zuverlässig diese ist.

Nutzungsverbot von mobilen IT-Systemen

Es sollte überlegt werden, ob die Nutzung oder sogar das Mitbringen von mobilen IT-Systemen in allen oder bestimmten Bereichen einer Behörde oder Institution eingeschränkt werden sollte.

Dies kann z. B. für Besprechungsräume sinnvoll sein (siehe dazu beispielsweise M 5.80 Schutz vor Abhören der Raumgespräche über Mobiltelefone). Wenn die Sicherheitsrichtlinie der Institution es nicht zulässt, dass mobile IT-Systeme mitgebracht werden, muss an allen Eingängen deutlich darauf hingewiesen werden. Dies sollte dann auch regelmäßig kontrolliert werden.

Prüffragen: