M 2.393 Regelung des Informationsaustausches
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Fachverantwortliche, Mitarbeiter
Informationen können in unterschiedlichen Formen vorliegen. Meistens werden im Bereich des IT-Grundschutzes in Papierform vorliegende Informationen bzw. elektronisch erfasste Informationen betrachtet. Generell müssen alle Informationen angemessen geschützt werden, angefangen von Gedanken und Ideen über geschriebene und gedruckte Darstellungen bis zu elektronischen Nachrichten, Sprach-, Bild oder Videoaufzeichnungen.
Sollen zwischen zwei oder mehreren Kommunikationspartnern Informationen ausgetauscht werden, so sind zu deren Schutz eine Reihe von unterschiedlichen Aspekten zu beachten. Bei jeder Art von Informationsaustausch ist zunächst zu klären,
- wie schutzbedürftig diese sind (siehe M 2.217 Sorgfältige Einstufung und Umgang mit Informationen, Anwendungen und Systemen),
- mit wem diese ausgetauscht werden dürfen (siehe M 2.42 Festlegung der möglichen Kommunikationspartner) und
- wie diese dabei zu schützen sind.
Hierfür sollten klare und verständliche Regelungen vorliegen, die alle Formen des Informationsaustausches abdecken, also zum Beispiel den mündlichen Austausch ebenso wie Datenaustausch per Datenträger, Mail, Fax, (Mobil-) Telefon oder Internet. Generell sollte sichergestellt sein, dass Informationen nicht in falsche Hände, Augen und Ohren gelangen können und sie nicht unbemerkt verändert werden können.
Allen Mitarbeitern sollte bewusst sein, dass sie dafür verantwortlich sind, interne Informationen angemessen zu schützen. Beispielsweise sollten Ideenskizzen auf Papier nicht in Besprechungsräumen liegengelassen werden, Projektplanungen nicht in der Bahn oder im Restaurant diskutiert werden, Anrufern nicht ungeprüft Interna mitgeteilt werden. Schutzbedürftige Informationen sollten nicht unbeaufsichtigt an Druckern oder Faxgeräten ausgedruckt oder gar liegengelassen werden. Wandtafeln und Whiteboards in Besprechungs-, Schulungs- und Veranstaltungsräumen sollten am Ende der jeweiligen Sitzung gereinigt werden, benutzte Flipchart-Blätter sind gegebenenfalls zu entfernen.
Bei Kommunikationspartnern sollte regelmäßig überprüft werden, ob diese berechtigt sind, die jeweiligen Informationen zu erhalten. So könnte sich unter anderem die Firmenzugehörigkeit, die Post- oder E-Mail-Adresse oder die Faxnummer geändert haben und übermittelte Informationen so die Falschen erreichen. Bei einem Erstkontakt sollte zusätzlich die Identität des Gegenüber überprüft werden, da Visitenkarten auf beliebige Namen ausgestellt werden können. Daher ist es zu empfehlen, bei neuen Geschäftspartnern Rückfrage in deren Behörde oder Unternehmen zu halten oder Referenzen einzuholen.
Wie elektronische Informationen beim Datenaustausch zu schützen sind, ist unter anderem ausführlich in den Bausteinen B 5.2 Datenträgeraustausch und B 5.3 E-Mail beschrieben.
Ergänzende Kontrollfragen:
- Sind Regelungen bekanntgegeben worden, was beim Datenaustausch zu beachten ist?
- Sind alle Mitarbeiter für mögliche Gefährdungen beim Datenaustausch ausreichend sensibilisiert?