M 3.26 Einweisung des Personals in den sicheren Umgang mit IT

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT, Leiter Personal

Verantwortlich für Umsetzung: Personalabteilung, Vorgesetzte

Viele Sicherheitsprobleme entstehen durch fehlerhafte Nutzung bzw. Konfiguration der IT. Um solchen Problemen vorzubeugen, sollten alle Mitarbeiter und alle externen IT-Benutzer in den sicheren Umgang mit der IT der Institution eingewiesen werden. Hierzu sollten alle Mitarbeiter entsprechend geschult werden (siehe auch M 3.4 Schulung vor Programmnutzung , M 3.5 Schulung zu Sicherheitsmaßnahmen und M 2.198 Sensibilisierung der Mitarbeiter für Informationssicherheit ).

Allen IT-Benutzern muss deutlich gemacht werden, welche Rechte und Pflichten sie bei der IT-Nutzung haben. Den IT-Benutzern sollten spezifische Richtlinien an die Hand gegeben werden, was sie im Umgang mit der IT beachten müssen. In einer solchen Richtlinie sollte verbindlich vorgeschrieben werden, welche Randbedingungen beim Einsatz der betrachteten IT-Systeme einzuhalten und welche Sicherheitsmaßnahmen zu ergreifen sind. Dabei sind die Benutzer klar und unmissverständlich darauf hinzuweisen, was sie auf keinen Fall machen dürfen. Diese Richtlinien sollten verbindlich, verständlich, aktuell und verfügbar sein. Um die Verbindlichkeit zu dokumentieren, sollten sie von der Behörden- bzw. Unternehmensleitung oder zumindest vom IT-Verantwortlichen unterzeichnet sein. Sie sollten kurz und verständlich gehalten sein, so dass sie beispielsweise als Merkzettel aufgehängt werden können. Zusätzlich sollten sie im Intranet abrufbar sein.

Benutzerrichtlinien sollten grundsätzlich nur Regelungen enthalten, die auch umgesetzt werden können. Benutzerrichtlinien sollten so positiv wie möglich formuliert werden. Beispielsweise könnte eine Benutzerrichtlinie statt:

"Benutzer dürfen keine Software selbständig aufspielen."

folgenden Eintrag enthalten:

"Alle IT-Systeme werden in einer Standardkonfiguration ausgeliefert, die auf Ihre spezifischen Arbeitsbedingungen angepasst wurde und Ihnen maximale Sicherheit bietet. Bei Problemfällen können wir Ihnen durch eine Neuinstallation der Standardkonfiguration eine schnelle Problemlösung garantieren. Bitte verändern Sie daher die Einstellungen möglichst nicht. Wenn Sie zusätzliche Hard- oder Software benötigen, wenden Sie sich bitte an den Benutzerservice."

Beispiele für Benutzerrichtlinien finden sich unter den Hilfsmitteln zum IT-Grundschutz.

Eine Benutzerrichtlinie für die allgemeine IT-Nutzung sollte mindestens die folgenden Punkte umfassen:

Neben solchen Richtlinien müssen klare Aussagen darüber vorliegen, welche Benutzer auf welche Informationen zugreifen dürfen, an wen diese weitergegeben werden dürfen und welche Maßnahmen bei einem Verstoß gegen diese Richtlinien unternommen werden.

Bei Verlassen des Arbeitsplatzes sollte sich jeder Benutzer davon überzeugen, dass jedes Arbeitsmittel (Dokumente, Datenträger, etc.) sicher verwahrt ist (siehe auch M 2.37 Der aufgeräumte Arbeitsplatz ). Alle IT-Systeme sollten durch Passwörter gegen unbefugten Zugriff geschützt sein. Bei unbeaufsichtigten IT-Systeme sollten alle offenen Sitzungen beendet worden sein oder zumindest ein Bildschirmschoner aktiviert sein.

Die Grundkonfiguration aller IT-Systeme sollte möglichst eingeschränkt sein. In der Standardkonfiguration von Arbeitsplatzrechnern sollten nur die Dienste vorhanden sein, die von allen Benutzern einer Gruppe benötigt werden (siehe auch M 4.109 Software-Reinstallation bei Arbeitsplatzrechnern ). Weitere Programme oder Funktionalitäten sollten nur dann aufgespielt bzw. freigeschaltet werden, wenn die Benutzer in deren Handhabung eingewiesen und für eventuelle Sicherheitsprobleme sensibilisiert wurden.

Jede Benutzerordnung sollte in Zusammenarbeit mit Vertretern aller beteiligten Gruppen erstellt werden, insbesondere sollten Betriebs- bzw. Personalrat und Datenschutz- sowie IT-Sicherheitsbeauftragte rechtzeitig beteiligt werden. Bei jeder Änderung einer Benutzerordnung ist darauf zu achten, dass diese wieder im Vorfeld beteiligt werden. Die geänderte Benutzerordnung muss allen Benutzern bekannt gegeben werden.

Die Aufgabenbeschreibung sollte alle für die Informationssicherheit relevanten Aufgaben und Verpflichtungen enthalten. Dazu gehört u. a. die Verpflichtung auf die hausinternen Leitlinien zur Informationssicherheit (siehe auch M 2.198 Sensibilisierung der Mitarbeiter für Informationssicherheit ).

Werden IT-Systeme oder Dienste in einer Weise genutzt, die den Interessen der Behörde bzw. des Unternehmens widersprechen, sollte jeder, der davon Kenntnis erhält, dies seinen Vorgesetzten mitteilen.

Prüffragen: