Leitfaden Informationssicherheit auf Dienstreisen
Trotz der vielfältigen Möglichkeiten, die aktuelle Videokonferenzlösungen bieten, sind Dienstreisen zu Tagungen oder anderen externen Terminen feste Bestandteile der Arbeitswelt. Da der Weg zu der Veranstaltung oder der Veranstaltungsort selbst nicht unter der Kontrolle der Universität Ulm stehen, sind besondere Sicherheitsmaßnahmen angeraten:
-
Unterwegs, auf Reisen
- Auf Reisen sollte dafür Sorge getragen werden, dass ein mobiles Gerät regelmäßig mit dem Internet bzw. Unternehmensnetzwerk verbunden wird, um Anti-Malware und Software-Updates durchzuführen.
- Vermeiden Sie vertrauliche Gespräche mit Dritten.
- Gepäck und IT-Equipment sollten nie unbeaufsichtigt gelassen werden.
- IT-Equipment sollte immer außerhalb des Sichtfeldes Dritter gelagert werden, beispielsweise im Kofferraum.
- Unberechtigte Dritte sollten nicht den Monitorinhalt und die Tastatureingaben einsehen können, zum Beispiel in öffentlichen Verkehrsmitteln, Cafés und Restaurants.
- Es ist darauf zu achten, dass unberechtigte Dritte bei vertraulichen Telefonaten außer Hörreichweite sind.
- Sollte kein Internetzugang möglich sein, sind die lokal gehaltenen Daten regelmäßig zu sichern und zeitnah mit dem Netzwerk der Universität zu synchronisieren.
- Es sind möglichst nur die Informationen und Geräte mitzunehmen, die für die Arbeit außerhalb der Universität benötigt werden.
- Vor Reisebeginn sollte sichergestellt werden, dass Festplatten und mitgeführte mobile Datenträger verschlüsselt sind.
-
Umgang mit mobilem Internet und Hot-Spots
- Nach erfolgreichem Verbindungsaufbau mit dem Internet (bspw. über Hotel-WLAN, freies WLAN, lokales Netzwerkkabel etc.) sollte immer eine gesicherte VPN-Verbindung mit dem Netzwerk der Universität Ulm hergestellt werden. Erst danach ist sichergestellt, dass übermittelte Daten geschützt werden und auf sämtliche Dienste des kiz zugegriffen werden kann.
- Drahtlos-Technologien in öffentlichen Bereichen, wie beispielsweise in Zügen oder in Restaurants (ohne VPN) sollten stets vermieden werden.
- Es sind alle Verbindungsversuche und Dateiübertragungen abzulehnen, die nicht selbst initiiert und im Augenblick nicht erwartet werden.
-
Mobile Geräte inkl. Smartphone/Tablets
- Mobile Geräte dürfen nicht unbeaufsichtigt gelassen oder verliehen werden. Sie sind stets vor dem Zugriff unberechtigter Personen zu schützen.
- Mobile Geräte sollten vor unberechtigter Einsicht geschützt werden, beispielsweise durch Verwendung einer Sichtschutzfolie.
- Anmeldedaten (Kennwort, PIN) etc. dürfen nicht auf dem IT-Gerät angebracht werden.
- Alle Geräte müssen bei Aktivierung und bei Zugriff die Eingabe eines Passworts / einer PIN erfordern. Die Mindestlänge des Passworts muss mindestens 6 Zeichen betragen.
- Der Einsatz biometrischer Authentifizierungsverfahren (Fingerabdruck, Gesichtserkennung, Handvenenscanner) darf die Passwort-Eingabe ersetzen.
- Die Zeitspanne bis zur erneuten Authentifizierung nach Benutzer-Inaktivität darf maximal 3 Minuten betragen.
- Die Rechte aller Anwendungen sind zu kontrollieren und soweit es geht einzuschränken (z.B.: Textverarbeitung verlangt das Recht zur Nutzung des GPS, benötigt es aber nicht).
- Das Betriebssystem und alle Anwendungen sind auf dem aktuellen Stand zu halten.
- Alle Geräte müssen beim Einschalten die Eingabe einer PIN / eines Passworts erfordern.
- Die Option der "Fernlöschung" (Zurücksetzen des Gerätes auf Werkseinstellungen) sollte aktiviert werden.
-
Datenhaltung und mobile Datenträger
- Grundsätzlich sollten nur die Daten auf eine Dienstreise mitgenommen werden, die für die Dienstgeschäfte benötigt werden.
- Für den Transport von dienstlichen Daten sollten nur verschlüsselte Datenträger genutzt werden. Es sollte geprüft werden, ob eine Freigabe über den "CloudStore" des kiz den physischen Transport ersetzen kann.
- Es ist sicherzustellen, dass vertrauliche Daten nicht durch Unberechtigte am Monitor eingesehen werden können (z.B. Anbringen einer Bildschirmfolie).
- Der Desktop des PCs ist aufgeräumt zu halten, wenn außer Haus oder gemeinsam mit Externen am Bildschirm gearbeitet wird.
- Es ist sicherzustellen, dass Notizen und Moderationsmedien (Flipcharts, Whiteboards etc.) mit vertraulichem Inhalt abgehängt und mitgenommen oder sicher entsorgt/gereinigt werden.
-
Melden von Sicherheitsvorfällen oder dem Verlust von Geräten und Daten
- Bei Datenschutz-/ und Informationssicherheitsvorfällen (z.B. Verlust von Daten) ist die Datenschutzstelle und/oder der CISO der Universität Ulm umgehend zu informieren.
- Verlorene oder gestohlene Geräte sollten per "Fernlöschung" auf die Werkseinstellungen zurückgesetzt werden. Bitte beachten Sie, dass lokale Daten auf selbst administrierten Geräten nicht automatisch vom kiz gebackupt werden. Die Sicherung dieser Daten muss vom jeweiligen Administrator selbst durchgeführt werden.
Wichtige Tipps
Weiterführende Inforamtionen können Sie auch den seiten des BSI (Bundesamt für Sicherheit in der Informationstechnologie) entnehmen.