Sie befinden sich hier: Themen IT-Grundschutz-Kataloge. Inhalt. Dokumententitel: M 2.119 Regelung für den Einsatz von E-Mail - IT-Grundschutz-Kataloge - Stand 2006
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

M 2.119 Regelung für den Einsatz von E-Mail

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement

Verantwortlich für Umsetzung: Benutzer

Sollen zwischen zwei oder mehreren Kommunikationspartnern Daten elektronisch ausgetauscht werden, so müssen diese zum ordnungsgemäßen Austausch folgende Punkte beachten:

Bei den meisten E-Mail-Systemen werden die Informationen unverschlüsselt über offene Leitungen transportiert und können auf diversen Zwischenrechnern gespeichert werden, bis sie schließlich ihren Empfänger erreichen. Auf diesem Weg können Informationen leicht manipuliert werden. Aber auch der Versender einer E-Mail hat meistens die Möglichkeit, seine Absenderadresse (From) beliebig einzutragen, so dass man sich nur nach Rückfrage oder bei Benutzung von Digitalen Signaturen der Authentizität des Absenders sicher sein kann. In Zweifelsfällen sollte daher die Echtheit des Absenders durch Rückfrage oder - besser noch - durch den Einsatz von Verschlüsselung und/oder Digitalen Signaturen überprüft werden. Grundsätzlich gilt, dass man sich nicht auf die Echtheit der Absenderangabe verlassen kann.

Beim Anschluss an E-Mail-Systeme ist mehrfach täglich zu überprüfen, ob neue E-Mails eingegangen sind. Bei längerer Abwesenheit sollte eine Vertretungsregelung getroffen werden, beispielsweise können eingehende E-Mails an einen Vertreter weitergeleitet werden (siehe auch M 2.274 Vertretungsregelungen bei E-Mail-Nutzung).

Da in vielen Fällen nicht vorhergesagt werden kann, welchen E-Mail-Client ein E-Mail-Empfänger benutzt und welche Software und Betriebssysteme auf dem Transportweg eingesetzt werden, sollten die Benutzer wissen, dass sowohl bei der Übertragung als auch bei der Darstellung von Nachrichten und Anhängen beim Empfänger Probleme auftreten können. Dies tritt kann insbesondere bei der Verwendung ungewöhnlicher Zeichensätze oder Dateiformate, oder auch beim Einsatz veralteter E-Mail-Software auftreten. Treten Probleme auf, kann beispielsweise versucht werden, die Anhänge vor der Übertragung in eine 7-Bit-ASCII-Darstellung umwandeln, z. B. mit uuencode.

Alle Regelungen und Bedienungshinweise zum Einsatz von E-Mail sind schriftlich zu fixieren und sollten den Mitarbeitern jederzeit zur Verfügung stehen. Ein entsprechendes Muster ist der der IT-Grundschutz-Kataloge beiliegenden CD-ROM zu entnehmen.

Die Benutzer müssen vor dem Einsatz von Kommunikationsdiensten wie E-Mail geschult werden, um Fehlbedienungen zu vermeiden und die Einhaltung der organisationsinternen Richtlinien zu gewährleisten. Insbesondere müssen sie hinsichtlich möglicher Gefährdungen und einzuhaltender Sicherheitsmaßnahmen beim Versenden bzw. Empfangen von E-Mail sensibilisiert werden.

Zur Vermeidung von Überlastung durch E-Mail sind die Mitarbeiter über potentielles Fehlverhalten zu belehren. Sie sollten dabei ebenso vor der Teilnahme an E-Mail-Kettenbriefen wie vor der Abonnierung umfangreicher Mailinglisten gewarnt werden.

Benutzer müssen darüber informiert werden, dass Dateien, deren Inhalt Anstoß erregen könnte, weder verschickt noch auf Informationsservern eingestellt werden noch nachgefragt werden sollten. Außerdem sollten Benutzer darauf verpflichtet werden, dass bei der Nutzung von Kommunikationsdiensten

Ergänzende Kontrollfragen: