M 3.14 Einweisung des Personals in den geregelten Ablauf der Informationsweitergabe und des Datenträgeraustausches
Verantwortlich für Initiierung: Leiter Organisation, Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Fachverantwortliche, IT-Sicherheitsmanagement
Mitarbeiter müssen ausreichend darüber informiert werden, welche Rahmenbedingungen und Restriktionen bei der Informationsweitergabe einzuhalten sind (siehe M 2.45 Regelung des Datenträgeraustausches). Wenn sie hierin nur unzulänglich eingewiesen werden, kann dies zu einer Vielzahl von Sicherheitsproblemen führen. Hierzu gehört beispielsweise, dass Mitarbeiter darüber informiert werden,
- mit welchen Kommunikationspartnern welche Informationen ausgetauscht werden dürfen (siehe M 2.42 Festlegung der möglichen Kommunikationspartner),
- welche Arten von Datenträger für Datenträgeraustausch zulässig sind und wie diese abzusichern sind,
- dass die Identität der Kommunikationspartners überprüft werden sollte, bevor vertrauliche Informationen weitergegeben werden.
Außerdem sind die prinzipiellen Schritte für den Ablauf eines Datenträgeraustausches zu fixieren und zu veröffentlichen, z. B. im Intranet. Die Mitarbeiter sind zur Einhaltung der Regelungen zu verpflichten.
Zusätzlich sollten die am Datenträgeraustausch beteiligten Mitarbeiter sensibilisiert werden, welche konkreten Gefährdungen vor, während und nach dem Transport bestehen. Dementsprechend sollten diese Mitarbeiter ausführlich mit den einzuhaltenden Sicherheitsmaßnahmen vertraut gemacht werden.
Bevor digitale Datenträger eingelesen werden, die im Postfach lagen, obwohl sie nicht erwartet wurden, sollte bei den angegebenen Absendern nachgefragt werden, ob sie die Datenträger wirklich geschickt haben (siehe auch M 2.224 Vorbeugung gegen Trojanische Pferde). Bei unbekanntem Absender sollte das IT-Sicherheitsmanagement informiert werden, wenn von der Leitungsebene keine anderen Regelungen für diesen Fall verabschiedet wurden.
Werden bestimmte IT-gestützte Verfahren zum Schutz der Daten während des Austausches eingesetzt (wie etwa Verschlüsselung oder Checksummen-Verfahren), so sind die dafür zuständigen Mitarbeiter in die Handhabung dieser Verfahren ausreichend einzuarbeiten.
Ergänzende Kontrollfragen:
- Sind allen Mitarbeitern die Regelungen für Informationsweitergabe und Datenträgeraustausch bekannt?
- Sind die Mitarbeiter mit den eventuell einzusetzenden Verschlüsselungs- oder Checksummen-Verfahren vertraut?
- Sind alle Mitarbeiter für mögliche Gefährdungen beim Datenaustausch ausreichend sensibilisiert?