M 2.401 Umgang mit mobilen Datenträgern und Geräten
Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT
Verantwortlich für Umsetzung: Administrator, Benutzer
Über mobile Datenträger können je nach technischer Auslegung eine große Menge an Daten bei hohen Durchsatzraten ausgetauscht werden. Die Varianten von mobilen Datenträgern waren bis vor einigen Jahren auch noch durchaus überschaubar. Klassischerweise wurden nur auswechselbare Datenträger wie Disketten oder CDs für den Datenaustausch verwendet. Mittlerweile finden sich mobile Datenträger in einer Vielzahl von Varianten, die nicht immer auf den ersten Blick als solche zu erkennen sind. So gibt es beispielsweise Armbanduhren oder Musik-Abspielgeräte mit integriertem Datenspeicher. Die gängige Größe dieser integrierten Datenspeicher beginnt hier bei einigen hundert Megabyte und kann durchaus bis zu mehreren Gigabyte reichen.
Daher sollten für den Umgang mit Wechseldatenträgern und mobilen Geräten einige grundlegende Aspekte berücksichtigt werden. Es ist zu klären,
- welche mobilen Datenträger in der Institution genutzt werden sollen (siehe auch M 2.9 Nutzungsverbot nicht freigegebener Hard- und Software),
- welche tatsächlich genutzt werden und wer diese einsetzt (z. B. über Bestandsverzeichnisse wie in M 2.2 Betriebsmittelverwaltung beschrieben),
- welche Daten auf mobilen Datenträgern gespeichert werden dürfen und welche nicht (siehe auch M 2.217 Sorgfältige Einstufung und Umgang mit Informationen, Anwendungen und Systemen),
- wie die auf diesen mobilen Datenträgern gespeicherten Daten vor unbefugtem Zugriff, Manipulation und Verlust geschützt werden,
- mit welchen Externen Datenträger ausgetauscht werden dürfen und welche Sicherheitsregelungen dabei zu beachten sind (siehe hierzu B 5.2 Datenträgeraustausch),
- wie verhindert wird, dass diese mobilen Datenträger für die unbefugte Weitergabe von Informationen benutzt werden,
- wie gegen die Verbreitung von Schadsoftware über die mobilen Datenträger vorgebeugt wird.
Es sollte außerdem geklärt werden, ob Mitarbeiter ihre privaten mobilen Datenträger und Geräte innerhalb der Institution benutzt werden dürfen, und auch umgekehrt, ob Mitarbeiter private Daten auf dienstlichen mobilen Datenträgern und Geräten speichern oder nutzen dürfen. Ebenso ist zu klären, ob die von Externen mitgebrachten mobilen Datenträger und Geräte innerhalb der Institution eingesetzt werden dürfen, beispielsweise um Dateien auszutauschen.
Je restriktiver die Sicherheitsvorgaben für den Umgang mit mobilen Datenträgern und Geräten sind, desto höher sind auch die Einschränkungen im Arbeitsalltag. Daher sollten alle Sicherheitsvorgaben daraufhin abgewogen werden, ob sie angemessen sind.
Die Vielzahl und Varianten von Datenträgern werden weiter zunehmen. Datenträger werden zunehmend "unsichtbar", da sie in anderen Geräten integriert werden. Es sollte regelmäßig überprüft werden, ob die Sicherheitsvorgaben für den Umgang mit mobilen Datenträgern und Geräten noch aktuell sind, angefangen damit, ob alle Varianten von derzeit gebräuchlichen Datenträgern noch erfasst sind.
Mobile Datenträger können leicht unterwegs verloren oder gestohlen werden. Daher sollten vertrauliche Informationen auf mobilen Datenträgern verschlüsselt werden. Am Besten sollten hierfür Produkte eingesetzt werden, die dafür sorgen, dass automatisch alle Daten, die auf mobilen Datenträger gespeichert werden, verschlüsselt werden (siehe auch M 4.29 Einsatz eines Verschlüsselungsproduktes für tragbare IT-Systeme).
Alle IT-Systeme sollten mit einer Boot-Sperre versehen werden, die ein Starten von externen Medien wie Disketten, CD-ROMs oder USB-Sticks verhindert, damit hierüber nicht unkontrolliert Software eingespielt oder Konfigurationsänderungen vorgenommen werden können. Weitere Hinweise hierzu finden sich in der Maßnahme M 4.4 Geeigneter Umgang mit Laufwerken für Wechselmedien und externen Datenspeichern.
Die für die jeweilige Institution angemessene Vorgehensweise sollte dokumentiert und in einer Sicherheitsrichtlinie für die Mitarbeiter aufbereitet werden. Um die Risiken durch mobile Datenträger angemessen zu mindern, sind verschiedene technische Maßnahmen sinnvoll (siehe z. B. M 4.200 Umgang mit USB-Speichermedien oder M 4.232 Sichere Nutzung von Zusatzspeicherkarten), aber nicht ausreichend. Es ist unerlässlich, die Mitarbeiter hierfür entsprechend zu sensibilisieren.
Prüffragen:
-
Ist die Nutzung privater mobiler Datenträger und IT-Komponenten geregelt?