Sie befinden sich hier: Themen IT-Grundschutz-Kataloge. Inhalt. Dokumententitel: M 3.26 Einweisung des Personals in den sicheren Umgang mit IT - IT-Grundschutz-Kataloge - Stand 2006
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

M 3.26 Einweisung des Personals in den sicheren Umgang mit IT

Verantwortlich für Initiierung: Leiter Personal, Leiter IT, IT-Sicherheitsmanagement

Verantwortlich für Umsetzung: Personalabteilung, Vorgesetzte

Viele IT-Sicherheitsprobleme entstehen durch fehlerhafte Nutzung bzw. Konfiguration der IT. Um solchen Problemen vorzubeugen, sollten alle Mitarbeiter in den sicheren Umgang mit der IT eingewiesen werden. Hierzu sollten alle Mitarbeiter entsprechend geschult werden (siehe auch M 3.4 Schulung vor Programmnutzung, M 3.5 Schulung zu IT-Sicherheitsmaßnahmen und M 2.198 Sensibilisierung der Mitarbeiter für IT-Sicherheit).

Den IT-Benutzern sollten spezifische Richtlinien an die Hand gegeben werden, was sie im Umgang mit der IT beachten müssen. In einer solchen Richtlinie sollte verbindlich vorgeschrieben werden, welche Randbedingungen beim Einsatz der betrachteten IT-Systeme einzuhalten und welche IT-Sicherheitsmaßnahmen zu ergreifen sind. Dabei sind die Benutzer klar und unmissverständlich darauf hinzuweisen, was sie auf keinen Fall machen dürfen. Diese Richtlinien sollten verbindlich, verständlich und verfügbar sein. Um die Verbindlichkeit zu dokumentieren, sollten sie von der Behörden- bzw. Unternehmensleitung oder zumindest vom IT-Verantwortlichen unterzeichnet sein. Sie sollten kurz und verständlich gehalten sein, so dass sie beispielsweise als Merkzettel aufgehängt werden können. Zusätzlich sollten sie im Intranet abrufbar sein.

Benutzerrichtlinien sollten grundsätzlich nur Regelungen enthalten, die auch umgesetzt werden können. Benutzerrichtlinien sollten so positiv wie möglich formuliert werden. Beispielsweise könnte eine Benutzerrichtlinie statt:

folgenden Eintrag enthalten:

Beispiele für Benutzerrichtlinien finden sich unter den Hilfsmitteln zum IT-Grundschutz.

Eine Benutzerrichtlinie für die allgemeine IT-Nutzung sollte mindestens die folgenden Punkte umfassen:

Neben solchen Richtlinien müssen klare Aussagen darüber vorliegen, welche Benutzer auf welche Informationen zugreifen dürfen, an wen diese weitergegeben werden dürfen und welche Maßnahmen bei einem Verstoß gegen diese Richtlinien unternommen werden.

Bei Verlassen des Arbeitsplatzes sollte sich jeder Benutzer davon überzeugen, dass jedes Arbeitsmittel (Dokumente, Datenträger, etc.) sicher verwahrt ist (siehe auch M 2.37 "Der aufgeräumte Arbeitsplatz"). Alle IT-Systeme sollten durch Passwörter gegen unbefugten Zugriff geschützt sein. Bei unbeaufsichtigten IT-Systeme sollten alle offenen Sitzungen beendet worden sein oder zumindest ein Bildschirmschoner aktiviert sein.

Die Grundkonfiguration aller IT-Systeme sollte möglichst eingeschränkt sein. In der Standardkonfiguration von Arbeitsplatzrechnern sollten nur die Dienste vorhanden sein, die von allen Benutzern einer Gruppe benötigt werden (siehe auch M 4.109 Software-Reinstallation bei Arbeitsplatzrechnern). Weitere Programme oder Funktionalitäten sollten nur dann aufgespielt bzw. freigeschaltet werden, wenn die Benutzer in deren Handhabung eingewiesen und für eventuelle Sicherheitsprobleme sensibilisiert wurden.

Jede Benutzerordnung sollte in Zusammenarbeit mit Vertretern aller beteiligten Gruppen erstellt werden, insbesondere sollten Betriebs- bzw. Personalrat und Datenschutz- sowie IT-Sicherheitsbeauftragte rechtzeitig beteiligt werden. Bei jeder Änderung einer Benutzerordnung ist darauf zu achten, dass diese wieder im Vorfeld beteiligt werden. Die geänderte Benutzerordnung muss allen Benutzern bekannt gegeben werden.

Die Aufgabenbeschreibung sollte alle für die IT-Sicherheit relevanten Aufgaben und Verpflichtungen enthalten. Dazu gehört u. a. die Verpflichtung auf die hausinternen IT-Sicherheitsleitlinien (siehe auch M 2.198 Sensibilisierung der Mitarbeiter für IT-Sicherheit).

Werden IT-Systeme oder Dienste in einer Weise genutzt, die den Interessen der Behörde bzw. des Unternehmens widersprechen, sollte jeder, der davon Kenntnis erhält, dies seinen Vorgesetzten mitteilen. Gegebenfalls sind disziplinarische Maßnahmen einzuleiten.