M 3.76 Einweisung der Benutzer in den Einsatz von Groupware und E-Mail

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Benutzer

Die Benutzer müssen vor dem Einsatz von Kommunikationsdiensten und Groupware-Applikationen wie E-Mail geschult werden, um Fehlbedienungen zu vermeiden und die Einhaltung der organisationsinternen Richtlinien zu gewährleisten. Insbesondere müssen sie hinsichtlich möglicher Gefährdungen und einzuhaltender Sicherheitsmaßnahmen, z. B. beim Versenden bzw. Empfangen von E-Mails, sensibilisiert werden. Es ist darauf hinzuweisen, dass ein abnormes Verhalten der Kommunikationssoftware gemeldet werden sollte.

Benutzer müssen darüber informiert werden, dass Dateien, deren Inhalt Anstoß erregen könnte, weder verschickt noch auf Informationsservern eingestellt werden noch nachgefragt werden sollten. Außerdem sollten Benutzer darauf verpflichtet werden, dass bei der Nutzung von Kommunikationsdiensten

Außerdem sollten Benutzer über folgende Punkte informiert werden:

Bei den meisten Groupware-Systemen werden die Informationen unverschlüsselt über offene Leitungen transportiert und können auf diversen Zwischenrechnern gespeichert werden, bis sie schließlich ihren Empfänger erreichen. Auf diesem Weg können Informationen leicht manipuliert werden. Aber auch der Versender einer E-Mail hat meistens die Möglichkeit, seine Absenderadresse (From) beliebig einzutragen, so dass man sich nur nach Rückfrage oder bei Benutzung von Digitalen Signaturen der Authentizität des Absenders sicher sein kann. In Zweifelsfällen sollte daher die Echtheit des Absenders durch Rückfrage oder - besser noch - durch den Einsatz von Verschlüsselung und/oder Digitalen Signaturen überprüft werden. Grundsätzlich sollten sich Benutzer bei E-Mail nicht auf die Echtheit der Absenderangabe verlassen.

Bei E-Mail werden schnelle Reaktionszeiten erwartet. Daher sollte mehrfach täglich der Posteingang überprüft werden. Bei längerer Abwesenheit sollte eine Vertretungsregelung getroffen werden, beispielsweise können eingehende E-Mails an einen Vertreter weitergeleitet werden (siehe auch M 2.274 Vertretungsregelungen bei E-Mail-Nutzung ).

Da in vielen Fällen nicht vorhergesagt werden kann, welchen E-Mail-Client ein E-Mail-Empfänger benutzt und welche Software und Betriebssysteme auf dem Transportweg eingesetzt werden, sollten die Benutzer wissen, dass sowohl bei der Übertragung als auch bei der Darstellung von Nachrichten und Anhängen beim Empfänger Probleme auftreten können. Dies tritt kann insbesondere bei der Verwendung ungewöhnlicher Zeichensätze oder Dateiformate, oder auch beim Einsatz veralteter E-Mail-Software auftreten.

Benutzer sollten auch wissen, dass E-Mails aus den verschiedensten Gründen nicht beim Empfänger ankommen. Vor allem bei zeitkritischen oder wichtigen E-Mails sollten sich die Absender nicht auf eine automatische Empfangsbestätigung verlassen. Besser sollte eine unabhängige Rückmeldung erfolgen, z. B. eine kurze E-Mail mit selbst formulierter Bestätigung.

Löschen von E-Mails

Benutzer müssen darüber informiert sein, dass eine E-Mail, die sie selber über ihre Mailanwendung gelöscht haben, dadurch meistens nicht unwiederbringlich gelöscht ist. Viele Mailprogramme löschen E-Mails nicht sofort, sondern transferieren sie in spezielle Ordner. Benutzer müssen darauf hingewiesen werden, wie sie E-Mails auf ihren Clients vollständig löschen können.

Daneben können E-Mails nach dem Löschen auf den Clients trotzdem noch auf Mailservern vorhanden sein. Viele Internet-Provider und Administratoren archivieren die ein- und ausgehenden E-Mails. Viele Mailanwendungen löschen E-Mails nicht, sondern verschieben sie in einen "Papierkorb"-Bereich, der dann ebenfalls gelöscht werden muss.

Die Benutzer müssen wissen, dass die Vertraulichkeit einer E-Mail nur durch Verschlüsselung gewährleistet werden kann, und dass sie sich nicht auf "schnelles Löschen" nach dem Empfang verlassen können. Dasselbe gilt genauso für andere Groupware-Anwendungen wie z. B. Terminkalender-Einträge.

Veröffentlichung der Regelungen

Alle Regelungen und Bedienungshinweise zum Einsatz von Groupware sollten den Mitarbeitern jederzeit zur Verfügung stehen, z. B. im Intranet.

Prüffragen: