Zuletzt bearbeitet vor 2 Jahren
von C.Gratl

2.12 IT-Richtlinie

Diese Seite ist ein Entwurf

2.12.1 Sicherer Umgang mit personenbezogenen Daten[Bearbeiten | Quelltext bearbeiten]

Personenbezogene Daten sind alle Informationen, die sich auf eine natürliche Person beziehen und mit denen Rückschlüsse auf die Persönlichkeit möglich werden.

Dazu gehören zum Beispiel Informationen über

  • politische, religiöse und philosophische Überzeugungen
  • ethnische und kulturelle Herkunft
  • Gesundheit
  • Sexualität und
  • Gewerkschaftszugehörigkeit.

Diese und weitere Informationen sind besonders schützenswert.

Halten Sie Ihre und die Daten Ihrer Kolleginnen und Kollegen geheim. Personenbezogene Daten dürfen nur bei schriftlicher Zustimmung der betroffenen natürlichen Person an Dritte weitergegeben werden.

Nach dem Ausscheiden aus dem Betrieb oder dem Wechsel der Arbeitsstelle dürfen Sie personenbezogene Daten, die Ihnen beruflich zugänglich gemacht worden sind, nicht weitergeben oder für andere Zwecke nutzen.

2.12.2 Clean Desk Policy[Bearbeiten | Quelltext bearbeiten]

Die Clean Desk Policy legt fest, wie Sie Ihren Arbeitsplatz beim Verlassen zurücklassen müssen. Unberechtigte Personen (Reinigungspersonal, unbefugte Kolleginnen und Kollegen) dürfen keinen Zugriff auf vertrauliche Daten über Ihren Arbeitsplatz erhalten.

  • Verstauen Sie Dokumente (Ausdrucke, Kopien, etc.), so dass so diese nicht für Dritte zugänglich sind.
  • Errichten Sie keinen "Paperturm". Vernichten Sie regelmäßig Ihre Dokumente, ein Dokumenten-Shredder steht im Archiv.
  • Lassen Sie keine Ausdrucke oder Kopien im Drucker / Kopierer liegen.
  • Bewahren Sie unter keinen Umständen Passwortnotizen an Ihrem Arbeitsplatz auf.
  • Sperren Sie Ihren Computer, wenn Sie Ihren Arbeitsplatz verlassen. Dazu gleichzeitig die "Windowstaste" und die Taste "L" drücken.

2.12.3 Umgang mit mobilen IT-Geräten (Firmeneigentum)[Bearbeiten | Quelltext bearbeiten]

Mobile IT-Geräte (Notebooks, Smartphone, ...) stellen durch Ihre mobile Verwendung ein erhöhtes Sicherheitsrisiko dar. Mobile Geräte sind daher für Diebe ein attraktives Ziel.

  • Lassen Sie das Gerät nicht unbeaufsichtigt.
  • Überlassen Sie das Gerät keiner anderen Person.
  • Achten Sie bei Passworteingaben am Gerät auf einen Sichtschutz.
  • Verwenden Sie Ihren privaten Cloud-Speicher nicht für Unternehemensdaten.
  • Installieren Sie nur Anwendungen, die Ihnen als vertrauenswürdig und sicher bekannt sind und von Ihrer IT-Abteilung freigegeben worden sind.
  • Melden Sie einen Diebstahl oder Verlust umgehend der IT-Abteilung.
  • Achten Sie auf Daten- und Gesprächspaktevolumen, um zusätzliche Kosten für MAB zu vermeiden.
  • Loggen Sie sich nur in sicherer und vertrauenswürdige WLAN-Netze ein.

2.12.4 Datenträger richtig entsorgen[Bearbeiten | Quelltext bearbeiten]

Weggeworfene Datenträger (USB-Stick, Festplatte, CD / DVD, etc.) stellen ein ernstes Sicherheitsrisiko dar.

  • Handelt es sich um Datenträger, die Firmendaten enthalten, müssen diese sicher entsorgt werden.
  • Übergeben Sie die nicht mehr benötigten Datenträgern Ihrer IT-Abteilung.

2.12.5 Dokumente richtig entsorgen[Bearbeiten | Quelltext bearbeiten]

Weggeworfene Dokumente (auch Archivmaterial) stellen ein ernstes Sicherheitsrisiko dar.

Alle Dokumente, die Firmeninformationen enthalten, müssen vernichtet werden. Ein Dokumenten-Shredder steht im Archiv.

2.12.6 Passwörter[Bearbeiten | Quelltext bearbeiten]

Passwörter innerhalb der Systeme von MAB und aller genutzten Fremdsysteme müssen, wenn möglich, folgende Anforderungen erfüllen:

  • Verwenden Sie Passwörter, die mindestens zwölf Zeichen (Windows) bzw. acht Zeichen (andere Systeme) enthalten.
  • Passwörter müssen aus
    • einem Großbuchstaben
    • einem Kleinbuchstaben
    • einer Ziffer und
    • (wenn möglich) einem Sonderzeichen
  • Verwenden Sie niemals persönliche Daten wie Namen, Geburtsdaten oder Telefonnummern.
  • Verwenden Sie keine Trivial-Passwörter wie "Passwort" oder "1234".
  • Verwenden Sie nie das gleiche Passwort für unterschiedliche Zugänge.
  • Speichern Sie Passwörter nie in einer Excel- / Word-Datei o.ä. Ein Passwortmanager kann bei der IT-Abteilung beantragt werden.
  • Passwörter dürfen nicht an andere weitergegeben werden.
  • Passwörter müssen in folgenden Fällen geändert werden
    • Verlust
    • Offenlegung
    • Verdacht auf Kompromittierung
    • Ausscheiden aus dem Unternehmen

2.12.7 Internetnutzung[Bearbeiten | Quelltext bearbeiten]

Beim Surfen im Internet lauern Gefahren, die nicht gleich als solche erkannt werden. Es ist Ihre eigene Verantwortung, Bedrohungen zu erkennen und entsprechend zu reagieren.

  • Webseiten, die nicht als sicher (HTTPS) markiert sind, ist grundsätzlich zu misstrauen.
  • Webseiten, mit einem Download von kostenloser Zusatzsoftware oder Gewinnspielen, ist zu misstrauen.
  • Das Herunterladen von Dateien kann, abgesehen von der Gefahr des Einschleppens von Schadsoftware, zu lizenz- und urheberrechtlichen Problemen führen. Dies gilt auch für Software, die nicht installiert oder ausgeführt wird und lediglich auf dem Computer gespeichert ist.
  • Meiden Sie Seiten, auf denen kommerzielle Software in gecrackter Form, zum Download angeboten wird.
  • Rufen Sie keine Webseiten mit pornografischen, gewaltverherlichenden oder strafrechtlich bedenklichen Inhalten auf.
  • Fragen Sie leiber einmal zu viel bei Ihrer IT-Abteilung nach.

2.12.8 Social Engineering[Bearbeiten | Quelltext bearbeiten]

Social Engineering ist das Manipulieren von Personen, um unbefugt Zugang zu vertraulichen Informationen oder IT-Systemen zu erhalten. Vorwiegend wird dieser Angriff per Telefon oder E-Mail durchgeführt.

Social Engineers geben sich als

  • Mitarbeiter/in,
  • Kollege / Kollegin,
  • Vorgesetzte/r (häufig Geschäftsführer/in),
  • Mitarbeiter/in einer Behörder oder
  • Mitarbeiter/in eines wichtigen Kundenunternehmens aus.

Ihre Opfer werden durch firmeninternes Wissen oder Kenntnisse spezieller Fachbegriffe getäuscht, die ie sich zuvor durch Telefonate oder Gespräche mit anderen Kolleginnen und Kollegen angeeignet haben. Beim Angriff appellieren sie als "gestresste Kollegin bzw. gestresster Kollege" an Ihre Hilfsbereitschaft oder drohen als "Kunde" mit dem Verlust eines Auftrags.

  • Bleiben Sie bei Telefonanrufen oder E-Mails skeptisch, speziell wenn der Wunsch oder der Auftrag der Kollegin oder des Kollegin außergewöhnlich ist.
  • Falls möglich, besprechen Sie die Angelegenheit mit Ihrem Kollegen / Ihrer Kollegin persönlich.
  • Fragen Sie bei verdächtigen E-Mails Ihre IT-Abteilung. Hierzu die verdächtige E-Mail als Anhang an die IT-Abteilung senden.
  • Geben Sie keine vertraulichen Informationen per Telefon oder E-Mail weiter.

2.12.9 E-Mail Nutzung[Bearbeiten | Quelltext bearbeiten]

In Ihrem Posteingang landen Spam-, Hoax- oder Phishing-Mails sowie mit Schadprogrammen verseuchte Nachrichten. Diese Nachrichten mit gefährlichem Inhalt mach ca. zwei Drittel des weltweitem E-Mail-Aufkommens aus.

  • Gebrauchen Sie Ihren gesunden Menschenverstand!
  • Öffnen Sie keine E-Mails, wenn Ihnen Absender oder Betreffzeile verdächtig erscheinen.
  • Öffnen Sie niemals Dateianhänge, die Ihnen verdächtig vorkommen. Auch bei vermeintlich bekannten und vertrauenswürdigen Absendern ist zu prüfen: Passt der Text der E-Mail zum Absender (z.B. englischer Text bei deutschen Absendern, unsinniger Text)? Erwarten Sie die beigelegten Dateien und passen sie zum Absender oder kommen sie völlig unerwartet?
  • Öffnen Sie keine E-Mails mit Spaßprogrammen, da diese Schadsoftware enthalten können.
  • Phishing-Mails, die zur Übermittlung von Passwörtern auffordern müssen gelöscht werden. Die angeforderten Informationen dürfen Sie auf keinen Fall weiter geben.
  • Seien Sie vorsichtig, wenn eine E-Mail Sie dazu auffordert, einen Link anzuklicken. Diese Links können zu gefälschten Webseiten führen, die die dort eingegebenen Information abfangen.
  • Beantworten Sie keine Spam-Mails bzw. bestellen Sie keine Spam-Mails ab, da hierdurch die Gültigkeit der E-Mailadresse bestätigt wird.
  • Benachrichtigen Sie Ihre Kolleginnen und Kollegen über verdächtige Zusendungen.
  • Denken Sie bei Ihrem Urlaubsantritt oder bei Abwesenheit an den Abwesenheitsassisstenten, um die Absender über Ihre Abwesenheit zu informieren.

2.12.10 Mobiles Arbeiten[Bearbeiten | Quelltext bearbeiten]

  • Der mobile Arbeitsplatz sollte vor unberechtigter Einsichtnahme auf Daten und Akten geschützt werden (Clean Desk Policy beachten).
  • Entsorgen Sie keine dienstlichen Unterlagen ohne vorhergehende Vernichtung (Shreddern) im Hausmüll.
  • Melden Sie den Verlust oder die Beschädigung von Hardware umgehend Ihrer IT-Abteilung.
  • Dienstsiegel, wie z.B. Stempel, dürfen nicht mit an den mobilen Arbeitsplatz genommen werden.
  • Benutzen Sie auch am mobilen Arbeitsplatz nur von der IT-Abteilung ausgegebene Hard- und Software. Speichern Sie keine Daten auf privaten Systemen.
  • Achten Sie darauf, dass bei dienstlichen Telefonaten mit vertraulichem Inhalt oder Personenbezug ein Mithören durch unbefugte ausgeschlossen ist.

2.12.11 Private Nutzung der IT[Bearbeiten | Quelltext bearbeiten]

Die Nutzung der IT für private Zwecke ist untersagt (Ausnahme: Firmen-Smartphone unter Verwendung der SecurePIM-App). Dies betrifft sowohl die Nutzung der Geräte an sich (Notebook, Computer, Smartphone,...) als auch Ihres Firmenpostfachs (E-Mail) und den Firmeninternetanschluss.

2.12.12 Wechselmedien[Bearbeiten | Quelltext bearbeiten]

Als Wechselmedien gelten alle externen Datenträgern wie z.B. USB-Sticks, SD Karten, externe Festplatten, CD's, DVD's, Smartphones die per USB angeschlossen werden. Der Einsatz stellt ein großes Sicherheitsrisiko dar.

Das Anschließen und / oder die Nutzung von fremden externen Datenträgern, die nicht durch die IT-Abteilung ausgegeben und kontrolliert worden sind, ist untersagt. Dies gilt speziell, wenn die Datenträger aus externer Quellen stammen oder das private Handy / Smartphone sind.

2.12.13 Warnungen und Fehlermeldungen[Bearbeiten | Quelltext bearbeiten]

Melden Sie Warnungen oder Fehlermeldungen, die Sie selbst nicht verursacht haben bzw. die Sie nicht lösen können, der IT-Abteilung.

2.12.14 Installation und Deinstallation von Applikationen[Bearbeiten | Quelltext bearbeiten]

  • Die Installation von Applikation ist untersagt. Dies gilt sowohl für Windows Geräte (PC's, Notebooks, Server), aber auch für firmeneigene Mobilgeräte wie Smartphone und Tablets.
  • Falls Sie eine Applikation benötigen, senden Sie eine schriftliche Anfrage an Ihre IT-Abteilung. Auch harmlos wirkende Applikation können Schadsoftware enthalten oder lizenzrechtlich nicht für den Firmeneinsatz freigegeben.
  • Die in der IT-Infrastruktur installierten Sicherheitseinrichtungen (wie z.B. persönliche Firewalls oder Virenscanner sowie sicherheitsrelevante Konfigurationen z.B. der Webbrowser oder der Smartphones) dürfen ausschließlich von der IT-Abteilung deinstalliert, deaktiviert, mutwillig umgangen oder in ihrer Konfiguration verändert werden.

2.12.15 Dateispeicherort[Bearbeiten | Quelltext bearbeiten]

Firmendaten müssen auf den Netzlaufwerken gespeichert werden.

Abgerufen von „https://mueller-phs.bluespice.cloud/w/index.php?title=Regeln:IT-Richtlinie&oldid=26540