Informationssicherheit - Sicheres Verhalten am Arbeitsplatz

• Passwortschutz
  Wählen Sie starke Passwörter und halten Sie diese geheim. Ändern Sie Passwörter regelmäßig und verwenden Sie niemals dasselbe Passwort für verschiedene Dienste.
  
  
• Vorsicht bei E-Mails
  Seien Sie wachsam bei der Öffnung von E-Mail-Anhängen und beim Klicken auf Links. Selbst E-Mails von bekannten Absendern können gefährlich sein, falls deren Konten kompromittiert wurden.
  
  
• Schutz sensibler Daten
  Vertrauliche Informationen sollten nicht offen auf dem Schreibtisch liegen gelassen werden. Verwenden Sie Bildschirmschoner mit Passwortschutz und sperren Sie Ihren Computer immer, wenn Sie Ihren Arbeitsplatz verlassen.
  
  
• Datensicherung
  Sichern Sie regelmäßig wichtige Daten und stellen Sie sicher, dass Backups verfügbar und geschützt sind.
  
  
• Physische Sicherheit
  Achten Sie darauf, dass unbefugte Personen keinen Zugang zu Büroräumen erhalten, und melden Sie verdächtige Aktivitäten.
  
  
• Sicherheitsrichtlinien
  Befolgen Sie die IT-Sicherheitsrichtlinien Ihres Unternehmens und nehmen Sie regelmäßig an Schulungen teil, um Ihr Wissen über Informationssicherheit zu aktualisieren.
  
  
• Mobile Geräte
  Seien Sie vorsichtig bei der Nutzung von mobilen Geräten und öffentlichen Netzwerken. Verwenden Sie sichere Verbindungen und speichern Sie keine sensiblen Informationen auf Geräten, die leicht gestohlen werden können.
  
  
• Melden von Vorfällen
  Informieren Sie sofort die IT-Sicherheitsabteilung, wenn Sie einen Sicherheitsvorfall vermuten.

Der Schutz von personenbezogenen Daten und Geschäftsinformationen ist ein zentrales Anliegen von Kreditinstituten, das die Zufriedenheit der Kunden, den ordnungsgemäßen Ablauf des Bankgeschäfts und eine vertrauensvolle Zusammenarbeit der Mitarbeitenden gewährleistet. Die Verarbeitung personenbezogener Daten ist dabei an strikte gesetzliche Vorgaben gebunden.

Die DSGVO ist die primäre Rechtsgrundlage in der Europäischen Union für den Datenschutz. Sie regelt unter anderem:

• Rechtsgrundlage der Datenverarbeitung
  Daten dürfen nur auf der Basis von Einwilligung, Vertragsnotwendigkeit, rechtlichen Verpflichtungen oder berechtigtem Interesse verarbeitet werden.
  
  
• Betroffenenrechte
  Dazu gehören das Recht auf Auskunft, Berichtigung, Löschung und Widerspruch gegen die Verarbeitung.
  
  
• Datenübertragbarkeit
  Betroffene haben das Recht, ihre Daten in einem gängigen Format zu erhalten und zu einem anderen Dienstleister zu übertragen.
  
  
• Datenschutz durch Technikgestaltung
  Die sogenannten technischen und organisatorischen Maßnahmen (TOM) müssen so gestaltet sein, dass sie den Datenschutz von vornherein einbeziehen.

TOMs sind Sicherheitsmaßnahmen, die dazu dienen, die personenbezogenen Daten auf allen Stufen der Verarbeitung zu schützen. Dazu gehören unter anderem:

• Zugriffskontrollen
  Sicherstellen, dass nur berechtigte Personen Zugang zu den Daten haben.
  
  
• Übermittlungskontrollen
  Schutz der Daten bei der elektronischen Übertragung oder dem Transport.
  
  
• Eingabekontrollen
  Dokumentation, wer Daten wann und wie in Datenverarbeitungssysteme eingegeben, geändert oder entfernt hat.
  
  
• Auftragskontrolle
  Verarbeitung von Daten ausschließlich gemäß den Anweisungen des Verantwortlichen.
  
  
• Verfügbarkeitskontrolle
  Schutz der Daten vor zufälliger Zerstörung oder Verlust.
  
  
• Trennungskontrolle
  Trennung von Daten, die zu unterschiedlichen Zwecken erhoben wurden.

Um die Sicherheit vertraulicher Daten bei kurzzeitiger Abwesenheit vom Arbeitsplatz zu gewährleisten, ist es wichtig, geeignete Sicherheitsvorkehrungen zu treffen. Hier sind einige Schritte, die Sie befolgen können, um Ihre Daten zu schützen:

Bei Abwesenheit sollten Sie immer die Bildschirmsperre aktivieren, um zu verhindern, dass Dritte Ihre Daten einsehen können. Dies kann in der Regel durch Drücken einer bestimmten Tastenkombination (z.B. Windows + L auf Windows-Betriebssystemen) erfolgen.

Auf Windows-Computern können Sie unter "Systemsteuerung → Darstellung und Anpassung → Bildschirmschoner" einen passwortgeschützten Bildschirmschoner einrichten. Aktivieren Sie die Option "Anmeldeseite bei Reaktivierung" für zusätzliche Sicherheit.

Wenn Sie mit Terminalservern arbeiten, sollten Sie beim Verlassen des Arbeitsplatzes immer Ihre Session trennen, um unbefugten Zugriff zu verhindern.

Viele Institute setzen zusätzlich zu Benutzernamen und Passwort sogenannte Sicherheitstokens ein, um die An- und Abmeldung am System zu sichern. Diese Tokens bieten eine Zwei-Faktor-Authentifizierung, die ein höheres Maß an Sicherheit gewährleistet. Beim Verlassen des Arbeitsplatzes sollte das Sicherheitstoken immer mitgenommen und der Computer abgemeldet werden.

Die Sicherheit von Informationen und Geräten ist auch außerhalb des Büros von entscheidender Bedeutung, vor allem wenn Mitarbeiter in der Lage sind, mobile Geräte oder Datenträger mit sich zu führen. Hier sind Maßnahmen, die Sie ergreifen sollten, um diese Informationen und Geräte zu schützen:

Diebstahlschutz:

• Mobile Geräte sollten so gesichert sein, dass sie nicht leicht entwendet werden können.
• Nutzen Sie physische Sicherungsmöglichkeiten wie Sicherheitsschlösser oder Aufbewahrungstaschen mit Schlössern.

Verschlüsselung:

• Stellen Sie sicher, dass alle Daten auf mobilen Geräten und Datenträgern verschlüsselt sind.
• Verwenden Sie starke Verschlüsselungsprotokolle, die es Unbefugten erheblich erschweren, auf Ihre Daten zuzugreifen.

Vorsicht bei öffentlichen WLAN-Hotspots:

• Vermeiden Sie, wenn möglich, die Nutzung öffentlicher WLAN-Netzwerke für geschäftliche Aktivitäten.
• Wenn die Nutzung unumgänglich ist, stellen Sie sicher, dass eine sichere VPN-Verbindung (Virtual Private Network) verwendet wird.

Bluetooth-Sicherheit:

• Deaktivieren Sie Bluetooth, wenn es nicht benötigt wird, um unbefugten Zugriff auf Ihre Geräte zu verhindern.
• Verwenden Sie Bluetooth nur in sicheren Umgebungen.

Sichere Passwörter und Kennwörter:

• Verwenden Sie starke Passwörter für alle Geräte und Konten.
• Ändern Sie Passwörter regelmäßig und verwenden Sie niemals dasselbe Passwort für mehrere Dienste oder Geräte.

Aufbewahrung und Transport:

• Tragen Sie mobile Geräte so bei sich, dass sie nicht leicht gestohlen oder verloren gehen können.
• Überlegen Sie, ob die Mitnahme von mobilen Geräten auf Reisen tatsächlich notwendig ist und beschränken Sie dies auf ein Minimum.

Mobile Geräte und wechselbare Datenträger sind häufig Träger vertraulicher Informationen und daher besonders schutzbedürftig. Neben Laptops gibt es eine Vielzahl mobiler Geräte, die für berufliche Zwecke genutzt werden und entsprechend gesichert werden sollten. Dazu gehören

• Smartphones
  Oft genutzt für E-Mails, Kontakte und Dokumente. Sie sollten immer mit einem starken Passcode gesichert sein und Verschlüsselungsmöglichkeiten nutzen.
  
  
• Tablets
  Ähnlich wie Smartphones werden Tablets oft für Präsentationen und den Zugriff auf vertrauliche Daten verwendet. Auch hier ist eine starke Passcode- und Verschlüsselungspolitik notwendig.
  
  
• Notebooks
  Sie bieten Zugang zu Firmennetzwerken und speichern wichtige Dokumente. Sie sollten mit verschlüsselten Festplatten und Sicherheitssoftware ausgestattet sein.
  
  
• Digitalkameras
  Können vertrauliche Bilder oder Videos enthalten und sollten daher bei Nichtgebrauch sicher aufbewahrt werden.

Zusätzlich zu diesen Geräten sollten Sie wechselbare Datenträger nicht vergessen:

• USB-Sticks
  Klein und tragbar, aber oft Ursprung für Datenverluste und -diebstähle. Eine Verschlüsselung ist auch hier unerlässlich.
  
  
• CDs, DVDs, Blu-ray
  Weniger häufig verwendet, aber wenn sie sensible Daten enthalten, müssen sie nach Gebrauch sicher aufbewahrt oder professionell vernichtet werden.
  
  
• Wechselbare Speicherkarten
  Oft in Kameras und anderen mobilen Geräten verwendet, sollten nicht unbeaufsichtigt gelassen werden.
  
  
• Externe Festplatten
  Können große Mengen sensibler Daten enthalten und müssen sowohl physikalisch als auch digital (durch Verschlüsselung) gesichert werden.

Beim mobilen Arbeiten entstehen neue Sicherheitsrisiken, da die räumliche Trennung vom sicheren Unternehmensnetzwerk dazu führt, dass sensible Informationen außerhalb der üblichen Schutzmaßnahmen bearbeitet werden. Dies erhöht das Risiko für verschiedene Arten von Sicherheitsbedrohungen:

• Ausspähen von Informationen
  Durch die Verwendung offener oder unsicherer Netzwerke können vertrauliche Informationen durch Dritte eingesehen werden. Dies gilt für Texteingaben, Datenübertragungen und alle Informationen, die auf einem Bildschirm angezeigt werden und von neugierigen Blicken erfasst werden könnten.
  
  
• Diebstahl oder Verlust des Gerätes oder Datenträgers
  Mobile Geräte und Wechseldatenträger wie USB-Sticks und externe Festplatten sind besonders anfällig für Diebstahl oder Verlust, was zum unberechtigten Zugriff auf darauf gespeicherte Daten führen kann.
  
  
• Datenzugriff und -manipulation
  Durch unsichere Verbindungen wie öffentliches WLAN oder ungesicherte Bluetooth-Verbindungen können Angreifer auf Daten zugreifen oder diese manipulieren.
  
  
• Eindringen von Schadsoftware
  Unsichere Netzwerke können auch als Einfallstore für Viren, Würmer und Trojaner dienen, die sich in das Gerät einschleusen und Daten beschädigen oder entwenden.
  
  
• Datenverlust durch unzureichende Sicherungs- bzw. Backup-Möglichkeiten
  Ohne regelmäßige und zuverlässige Backups können Daten, die auf mobilen Geräten gespeichert sind, leicht verloren gehen – sei es durch technisches Versagen oder Benutzerfehler.

Wenn Sie mobile Geräte oder Datenträger verwenden, sind bestimmte Sicherheitsvorkehrungen unerlässlich, um sowohl die Geräte selbst als auch die darauf gespeicherten Informationen zu schützen. Hier sind einige wesentliche Sicherheitsmaßnahmen

• Gleichbleibende Vorsichtsmaßnahmen
  Behandeln Sie mobile Geräte und Datenträger mit der gleichen Sorgfalt und Vorsicht wie am Arbeitsplatz. Stellen Sie sicher, dass sie stets sicher aufbewahrt werden.
  
  
• Nie unbeaufsichtigt lassen
  Lassen Sie mobile Geräte niemals unbeaufsichtigt. Ein ungesichertes Gerät kann leicht gestohlen werden oder es kann unberechtigter Zugriff erfolgen.
  
  
• Keine Leihe von Geräten
  Vermeiden Sie es, Ihre mobilen Geräte auszuleihen, um die Kontrolle über die Zugriffsberechtigungen und die gespeicherten Informationen zu behalten.
  
  

• Sicherer Aufbewahrungsort
  Wenn Sie ein Gerät vorübergehend nicht benötigen, deponieren Sie es an einem sicheren Ort, wie einem Zimmertresor im Hotel.
  
  
• Daten auf Reisen minimieren
  Nehmen Sie auf Geschäftsreisen nur die unbedingt notwendigen sensiblen Daten mit.
  
  
• Verschlüsselung
  Transportieren Sie sensible Daten stets verschlüsselt, um sicherzustellen, dass sie im Falle eines Diebstahls oder Verlusts nicht zugänglich sind.
  
  
• Schutzmaßnahmen beachten
  Sorgen Sie für aktuellen Virenschutz, Firewall und regelmäßige Sicherheitsupdates, um sich gegen Malware und unerwünschten Zugriff zu schützen.
  
  

• Ausschalten von Funkverbindungen
  Deaktivieren Sie Bluetooth oder WLAN, wenn diese nicht benötigt werden, um unberechtigte Zugriffe zu verhindern.

• Regelmäßige Backups
  Nutzen Sie Backup-Software, die automatisch und regelmäßig Kopien Ihrer Daten erstellt.
  
  
• Speichern auf externen Medien
  Bewahren Sie Kopien Ihrer Daten auf Speichersticks, DVDs, externen Festplatten oder in einer gesicherten Cloud-Umgebung auf.
  
  
• Getrennte Lagerung
  Lagern Sie die Backup-Medien getrennt von Ihren Computern, idealerweise in einem anderen Raum, und sorgen Sie dafür, dass diese verschlüsselt sind, um den Schutz zu erhöhen.

Zum sicheren Löschen von Informationen auf Datenträgern gibt es verschiedene Methoden, die je nach Datenträger und dem Schutzbedarf der zu löschenden Daten ausgewählt werden sollten. Datenträger wie CDs und DVDs, die nicht wiederbeschreibbar sind, können nicht einfach nur gelöscht, sondern müssen physisch zerstört werden, um die darauf gespeicherten Informationen zu entfernen und einen sicheren Datenschutz zu gewährleisten.

Es ist auch wichtig, nicht nur an digitale Datenträger zu denken, sondern auch an physische Dokumente, wie:

• EDV-Drucklisten,
• Akten,
• Aktenauszüge,
• Kontoauszüge und ähnliche Unterlagen.

Für die Vernichtung dieser physischen Dokumente sollte ein Aktenvernichter verwendet werden, der dem gewünschten Sicherheitsniveau entspricht, zum Beispiel gemäß der DIN-Sicherheitsstufen für die Vernichtung von Datenträgern. In manchen Fällen, insbesondere bei sensiblen oder geheimen Informationen, kann auch eine professionelle Vernichtung durch ein spezialisiertes Unternehmen erforderlich sein.