Worum geht es?
Gelegenheit macht Diebe, gilt auch hinsichtlich von schützenswerten Informationen. Der kurze Gang in die Küche oder zum Kopierer, der Kollegin schnell was gebracht, dem Lieferanten die Tür geöffnet und schon sind möglicherweise vertrauliche Informationen zugänglich.
In Kapitel 7.7 der ISO/IEC 27001:2022 werden Maßnahmen beschrieben, die den unberechtigten Zugriff auf Informationen in unbeobachteten Momenten verhindern können.
Welche Empfehlungen enthält die ISO 27002 für den Schutz bei Abwesenheit?
Wesentlich sind im hier relevanten Zusammenhang die Vorgaben, was bei Abwesenheit geschehen soll, sei es während einer kurzen Pause oder am Ende des Arbeitstages. Einiges wird sich technisch umsetzen und sogar erzwingen lassen. Anderes muss von den Mitarbeitern bedacht und erledigt werden. Entscheidend ist, dass an unbeaufsichtigten Orten möglichst kein Zugriff auf Informationen und IT ermöglicht wird.
Im Einzelnen rät die ISO 27002 in Kapitel 7.7 folgendes:
- Informationen, die nicht benötigt werden, sollen spätestens dann, wenn der Arbeitsort unbesetzt ist, verschlossen aufbewahrt werden. Die Aufbewahrung muss angemessen sicher sein. Das bedeutet mindestens ein sicheres Möbelstück oder ggf. auch einen Safe.
- Nicht genutzte Endgeräte sind ebenfalls möglichst einzuschließen.
- Endgeräte, auf denen eine Benutzeranmeldung aktiv ist, müssen so gesperrt werden, dass keine Inhalte mehr wahrgenommen werden können und eine Entsperrung nur mit Eingabe einer gültigen Kennung möglich ist. Benutzer sollten die Sperre idealerweise selbst sofort aktivieren. Sie muss nach angemessen kurzer Inaktivität aber auch automatisch greifen.
- Bei Nutzung von Ausgabegeräten ist darauf zu achten, dass Ausgaben sofort entgegengenommen werden. Drucker etwa, sollten in unmittelbarer Nähe aufgestellt sein oder aber ermöglichen, den Druckauftrag persönlich erst am Gerät selbst auszulösen.
- Nicht mehr benötigte Informationen und insbesondere Datenträger müssen sicher entsorgt bzw. vernichtet werden und sind bis zuletzt sicher aufzubewahren. Dies schließt sämtliche vorübergehenden Notizen und Aufzeichnungen mit ein, beispielsweise auf Whiteboards, Notizzetteln oder Anzeigen.
- Auch Benachrichtigungsfunktionen sollten nicht vergessen werden. Popups mit einer Vorschau einer vertraulichen E-Mail sollten nicht eingeblendet werden, wenn gerade ein Bildschirm geteilt wird oder sonst eine Präsentation abgehalten wird.
- Sollte eine Räumung von Gebäuden notwendig werden, sollte auch diese vorbereitet sein. Es ist zu regeln und zu überprüfen, dass keine Werte zurückgelassen oder vergessen werden – auf oder hinter dem Schreibtisch.
Fazit: Lückenlose Regelung ist entscheidend
Die Umsetzung der Empfehlung dieses Kapitels ist eher einfach möglich. Die Mechanismen sind den allermeisten Organisationen vertraut. Praktische Schwierigkeiten bestehen am ehesten in der Lückenlosigkeit der Maßnahmen und in der Konsequenz der Umsetzung. Bei Notebooks greift eine zeitlich knapp gesteuerte Benutzersperre, beim dienstlichen Smartphone nicht unbedingt. Ein Schredder mit grundsätzlich geeigneter Klasse wäre vorhanden, aber er ist nicht leistungsfähig genug oder steht zu weit weg. Abteilungsdrucker werfen Druckaufträge sofort aus und speichern diese dazu auch noch, um am Gerät selbst erneut abgerufen zu werden.
Solche offenen Flanken werden gern übersehen oder aus Bequemlichkeit und anderen Gründen ignoriert.